Ad oltre un anno dalla definitiva applicabilità del Regolamento Europeo 2016/679 in materia di protezione dei dati personali si può cominciare a tracciare una casistica di come i vari Garanti Europei si stanno orientando nell’applicazione delle sanzioni in assenza di regole definite.

Ricordiamo, infatti, che il GDPR fissa solo due tipologie di sanzioni amministrative:

  • per violazioni di dati personali: fino a 10 milioni di euro o fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente;
  • per violazioni di dati personali particolari: fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente.

I numeri non mentono: entriamo in argomento con alcuni casi a noi noti:

I numeri non mentono: entriamo in argomento con alcuni casi a noi noti:

  1. L’ICO (Autorità Garante Inglese) ha multato la compagnia di telecomunicazioni EE Limited con una sanzione di 100.000 sterline per aver inviato oltre 2,5 milioni di messaggi di marketing diretto ai propri clienti, senza consenso.

  2. Il CNIL (Autorità Garante Francese) ha pronunciato una sanzione di 400.000 euro nei confronti della società SERGIC per aver protetto in modo insufficiente i dati degli utenti del proprio sito web e implementato modalità di conservazione dei dati inappropriati.

  3. Un’azienda austriaca è stata multata con 4.000 euro per aver usato in maniera non corretta il sistema di videosorveglianza.

  4. Nel settembre scorso British Airways è stata multata per 204 milioni di euro per aver subito un attacco hacker con furto di 380 mila profili, compresi i dati delle carte di credito.

  5. Il CNIL (Autorità Garante Francese) ha condannato Google per operazioni di trattamento non conformi al GDPR. Sanzione da 50 milioni di euro.

  6. Di pochi giorni fa la stangata da 5 miliardi di dollari a Facebook per aver violato le norme sulla privacy nel caso Cambridge Analytica.

Di casi ce ne sono molti altri, meno eclatanti, ma quale insegnamento possiamo trarre da tutto questo?

Iniziamo con il dire che:

  • se è stato avviato un adeguamento “fai-da-te” far eseguire un controllo generale da parte consulenti di comprovata esperienza;
  • se ancora non si è fatto nulla, non perdere tempo ed avviare un processo di revisione dei processi che interagiscono con dati personali, affiancati da consulenti di comprovata esperienza;
  • in conclusione, non dovremmo sottovalutare il problema Privacy.

Il periodo di moratoria concesso dall’autorità Garante Italiana alle aziende per adeguarsi ed avviare processi di compliance è scaduto il 19 maggio 2019 e sono già iniziati in modo più organico e sistematico i controlli a campione sulle aziende e su tutte quelle che verranno portate all’attenzione dell’Autorità da segnalazioni e reclami.

Perché rischiare pensando di essere immuni e che, se ci sarà un controllo, saranno altre le aziende coinvolte?

Condividi questo articolo

Iscriviti alla nostra newsletter

riceverai una volta al mese una mail con i più significativi aggiornamenti riguardanti le tematiche del nostro lavoro suddivise per categoria: consulenza ambientale, salute e sicurezza sul lavoro, sistema di gestione, modelli organizzativi, consulenza privacy e formazione.

(leggi l'informativa)