Il 19 maggio scorso è terminato il periodo di tolleranza verso i soggetti ancora non conformi al GDPR: da quel momento in poi, dunque, il Garante per la protezione dei dati personali ha potuto lasciarsi alle spalle l’approccio morbido, applicando le sanzioni previste dal GDPR nella loro completezza.

Le imprese hanno avuto molto tempo per adeguarsi al nuovo regolamento generale sulla protezione dei dati, ma guardando alla situazione attuale, si scopre che ci sono ancora molte realtà non conformi alle prescrizioni relative al trattamento dei dati personali. Il processo di adeguamento è infatti lungo e complesso ed è proprio per questo motivo che sono stati realizzati dei software di GDPR Compliance.

Le sanzioni GDPR: le tue tipologie

Mentre le prime sanzioni GDPR hanno già iniziato a colpire alcune realtà, molte imprese non sanno ancora a quanto possano corrispondere le multe GDPR in Italia. Va quindi sottolineato che esistono due tipologie di sanzioni, stabilite in misura proporzionale al livello di gravità dell’inadempienza.

  • Nel caso delle violazioni più leggere entra in gioco il comma 4 dell’articolo 83; in questo contesto le sanzioni possono arrivare fino a 10 milioni di euro oppure possono essere pari al 2% del fatturato mondiale totale annuo dell’impresa o del gruppo;
  • Per le trasgressioni più gravi si deve invece fare riferimento al comma 5 dell’articolo 83: qui la sanzione può arrivare fino a 20 milioni di euro, o se necessario, raggiungere una somma pari al 4% del fatturato mondiale annuo dell’azienda inadempiente.

Tra le violazioni più importanti, e che dunque rientrano nella seconda categoria, ci sono quelle relative al trattamento dei dati, al rispetto dei diritti degli interessati e al trasferimento di informazioni personali verso un Paese terzo.

Va peraltro evidenziato il fatto che l’Autorità non ha solamente poteri sanzionatori, ma anche correttivi: in certe situazioni la sanzione può essere ridotta o persino sostituita da un ammonimento oppure, per esempio, da un’ingiunzione che obbliga l’impresa ad adeguarsi in tempi brevissimi.

GDPR situazione attuale: le sanzioni in Italia nel 2019

Tra le sanzioni GDPR in Italia nel 2019 spicca, per notorietà del soggetto colpito, il provvedimento n.93 dell’aprile del 2019 comminato dal Garante all’Associazione Rousseau; in seguito a una segnalazione di un avvenuto data breach nel 2017, l’associazione era già stata oggetto di controllo, al termine del quale era stato chiesto il riesame delle condizioni di sicurezza.

Da qui, durante il 2018, l’Autorità aveva sì rilevato dei miglioramenti sul fronte di sicurezza, ma non sufficienti, tanto da individuare violazioni del principio di liceità dei trattamenti e della riservatezza degli interessati, nonché l’assenza di misure tecniche adeguate per far fronte alle esigenze normative. Il risultato di tale controllo è stato quindi una sanzione di 50 mila euro.

Altro caso importante per quanto riguarda le multe GDPR in Italia è quello di un medico, sottoposto a una sanzione di 16.000 euro per aver utilizzato gli indirizzi di circa 3.500 ex pazienti per inviare mezzo posta dei messaggi di sostegno a un candidato delle elezioni politiche, senza ovviamente chiedere il consenso agli interessati: da qui, per l’appunto, la multa per trattamento illecito di dati personali.

In linea generale, guardando sia alle sanzioni GDPR in Italia nel 2019, sia a quelle europee, si scopre che le maggiori vulnerabilità sono relative alle norme di base del trattamento dei dati, così come risultanti dagli articoli 5 e 6, e alle misure tecniche e organizzative per garantire la sicurezza rispetto al rischio, descritte all’articolo 32.

Quest’ultimo punto, inoltre, non risulta chiarissimo. È dunque doppiamente importante, per tutelare l’impresa e il titolare del trattamento (che è per l’appunto il responsabile delle eventuali misure assenti) avvalersi di un GDPR Compliance Software come quello sviluppato da Zucchetti, per gestire in modo semplice, veloce ed efficace le attività previste dal regolamento europeo per il trattamento dei dati.