ll principio di responsabilizzazione e le difficoltà di recepimento
- Posted by Matteo Milanesi
- On 26 Gennaio 2021
- 0 Comments
Il principio di accountability, cardine della nuova normativa è ad oggi anche il meno rispettato. Facciamo il punto sulle prime sanzioni comminate dalle Autorità Garanti in alcuni paesi europei.
L’Autorità Garante per la Protezione dei Dati Personali ha pubblicato i dati del primo anno di applicazione della normativa privacy: dall’entrata in vigore del GDPR al 31 marzo scorso sono stati registrati 7.219 reclami, in costante aumento dal 2018, e ben 946 notifiche di data breach, di cui 641 solo negli ultimi sei mesi.
Sono arrivate anche le prime sanzioni comminate dalle Autorità Garanti: finito il periodo di tolleranza che ha permesso agli attori degli stati membri – e a quelli che, pur avendo l’HQ al di fuori dei confini comunitari, operano all’interno di essi – di adeguarsi alla nuova normativa, hanno preso il via controlli e verifiche.
Dai dati emerge che il denominatore comune è il mancato rispetto del principio dell’accountability – “responsabilizzazione” tradotto in italiano – ma dal significato molto più ricco e sfaccettato nella sua accezione originale.
Uno dei primi e più eclatanti casi è quello dell’Autorità Garante per il trattamento dei dati personali francese (CNIL – Commission Nationale de l’Informatique et des Libertés), la quale ha condannato il colosso Google, comminando una sanzione pari a 50 milioni di euro, per una violazione di Android mobile alle norme del GDPR. All’azienda sono stata fatte due contestazioni: la violazione degli obblighi di trasparenza e dell’obbligo di indicare una base giuridica per il trattamento dei dati relativo alla pubblicità mirata.
Nell’aprile 2018 è stata la volta dell’Autorità Garante portoghese, la quale ha sanzionato un centro medico del distretto di Setùbal in seguito ad alcune verifiche che hanno portato all’accertamento di un accesso indiscriminato e ingiustificato da parte di oltre 500 dipendenti ai dati sanitari dei pazienti.
Anche il nostro paese, così come Germania e Polonia, ha già comminato le prime sanzioni per le violazioni alle nuove disposizioni in materia di tutela dei dati personali; il regolamento prevede sanzioni che vanno da 10 a 20 milioni di euro per i singoli oppure, dal 2% al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per le imprese, ma prevede anche la possibilità per ogni stato membro di affiancare alle sanzioni amministrative sopra citate ulteriori sanzioni per le violazioni non soggette alle precedenti, anche di carattere penale.
Come indicano i dati appena esaminati, il periodo di transizione, concesso alle imprese dalla normativa, è terminato, e si può pertanto dire che il Regolamento sia ormai a pieno regime; intanto, nell’attesa di ulteriori ed eventuali indirizzi giurisprudenziali derivanti da qualche – più o meno piccola – défaillance normativa o applicativa, è consigliabile e opportuno mettersi in regola e assicurarsi che il proprio livello di recepimento interno rispetti i principi sanciti dal GDPR.