Sanzioni privacy: il nodo della prevedibilità e le responsabilità delle aziende | Agenda Digitale

gdpr

Sanzioni privacy: il nodo della prevedibilità e le responsabilità delle aziende

Il caso delle due sentenze TIM e Eni Gas e Luce è emblematico: l’Autorità ha solo dato un primo assaggio di ciò che il trattamento illecito di dati personali può comportare. Sta all’azienda abbassare i livelli di rischio sanzione a tendere verso lo zero e non verso il 4% del fatturato

05 Feb 2020
Rocco Panetta

avvocato, managing partner di Panetta & Associati, esperto di Internet e Privacy, Country Leader per l’Italia di IAPP International Association of Privacy Professionals


A volte ritornano. Temi che ci hanno impegnato all’indomani dell’entrata in vigore del GDPR e che anche durante la discussione in Parlamento del d.lgs. 101/2018 che ha modificato il Codice Privacy non hanno dato tregua. Mi riferisco, ad esempio, all’assenza, nel GDPR in tema di sanzioni di un valore minimo a cui parametrare l’eventuale sanzione, lasciata alla discrezionalità amministrativa dell’Autorità, la quale dovrà tenere conto di elementi di fatto e di diritto fino ad un massimo del 4% del fatturato annuo del trasgressore.

Il caso delle due sentenze TIM e Eni Gas e Luce, entrambe irrogate nel mese di gennaio 2020 dal Garante Privacy è emblematico. In entrambi i casi è stata applicata una sanzione al di sotto dell’1 per cento del fatturato dei trasgressori, nonostante le censure evidenziate siano significative. Molti commentatori hanno lamentato l’eccessiva aleatorietà del GDPR sul punto e quindi lo strapotere dell’Autorità.

Sanzioni privacy, anche in Italia servono linee guida per quantificarle

L’accountability che piace tanto perché all’italiana viene letta non come responsabilizzazione e affidamento autorevole, ma come “faccio ciò che mi pare”, è un’arma a doppio taglio e l’Autorità ha solo dato un primo assaggio di ciò che il trattamento illecito di dati personali può comportare.

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

Come più volte ribadito, il minimo edittale c’è ed è pari a zero. Sta all’azienda abbassare i livelli di rischio sanzione a tendere verso lo zero e non verso il 4% del fatturato, seppure nella consapevolezza che il rischio zero e la compliance 100% non è di questo mondo. Per come conosco l’Autorità, siamo (ancora) in buone mani. Funzionari e dirigenti conoscono il lavoro e la materia a puntino, ed hanno quel giusto livello di flessibilità e tolleranza che deriva dal senso delle cose e dalla misura del contesto e forse anche per questo la sanzione nei casi citati si è fermata a meno dell’1%. Certo solo la giurisprudenza nel tempo potrà darci indicazioni più o meno affidabili, sulla prevedibilità dell’azione dell’Autorità. Ma è lo stesso spirito del GDPR che ha introdotto l’aleatorietà e l’interpretazione nella materia della protezione dei dati.

Siamo tutti chiamati a fare un passo in avanti e a diventare adulti nel mondo di Alice nel Paese delle Meraviglie, sperando di non farci troppo male.

@RIPRODUZIONE RISERVATA

Articoli correlati