Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

privacy

“Sconto di pena” GDPR: quando la comunicazione attenua la sanzione

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Le sanzioni GDPR non sono solo punitive, ma spingono verso accountability e prevenzione. L’articolo 166 del Codice della Privacy introduce pubblicazione dei provvedimenti e campagne istituzionali come pene accessorie. Prevede anche un possibile attenuante per iniziative comunicative precedenti, con attenzione ai rischi di privacy washing

Pubblicato il 16 mar 2026
Monica Perego

Ingegnere, consulente e formatore, Consultia Srl

privacy digital omnibus; convenzioni Consip; ISO/IEC 27701; BIM delete act california; formazione whistleblowing
AI Questions Icon
Chiedi allʼAI Nextwork360
Riassumi questo articolo
Approfondisci con altre fonti

Il GDPR ha previsto un apparato sanzionatorio concepito per assicurare una tutela concreta dei diritti e delle libertà fondamentali delle persone fisiche connesse al trattamento dei dati personali.

Le sanzioni amministrative previste dal GDPR pur dovendo essere “effettive, proporzionate e dissuasive”[1] non perseguono una finalità esclusivamente repressiva, ma si collocano all’interno di una strategia più ampia, orientata a favorire un’evoluzione culturale all’interno delle organizzazioni, basata sui principi di accountability, prevenzione e rispetto sostanziale delle disposizioni normative.

Gdpr, sanzioni e responsabilità: tutto ciò che c’è da sapere

In tale quadro, come previsto anche dal previgente Codice della Privacy[2], il Garante Privacy (GPDP) è istituzionalmente chiamato[3] a promuovere la diffusione della cultura della protezione dei dati. Accanto all’esercizio dei poteri correttivi e sanzionatori, l’azione del GPDP si caratterizza infatti per una costante attività informativa ed educativa, rivolta sia agli operatori economici che ai cittadini. Il corrente Consiglio del Garante è addirittura stato criticato, a torto o ragione, per i numerosi interventi effettuati anche a titolo personale.
Un articolo, del Codice della Privacy ci riserva delle sorprese.

L’articolo 166 del Codice della Privacy

Forse non è così noto che il novellato Codice della Privacy prevede[4] che possa essere “applicata la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante”. L’insieme di queste sanzioni costituisce di fatto un corpus che il GPDP ha in vari provvedimenti espressamente chiamato “Giurisprudenza dell’Autorità”, ampiamente utilizzato da tutti i professionisti del settore per tenersi aggiornati sugli orientamenti dell’Autorità, come in un regime di common law.

Nell’ottica di far contribuire gli Enti sanzionati alla funzione divulgativa del Garante, è inoltre prevista l’ulteriore pena accessoria della realizzazione di “campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione”. Una sorta di lavoro di pubblica utilità applicato alle imprese.

Specularmente, e qui si ha l’aspetto più interessante, è previsto anche uno “sconto delle pena” per gli Enti che abbiano in qualche modo contribuito autonomamente e volontariamente ai compiti istituzionali dell’Autorità. Infatti, “nella determinazione della sanzione ai sensi dell’articolo 83, paragrafo 2, del Regolamento, il Garante tiene conto anche di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione”.

L’indicazione è veramente generica e l’opera di comunicazione sulla “consapevolezza del diritto alla protezione dei dati personali” potrebbe toccare ambiti molto distanti tra loro. Non solo privacy, dunque, ma anche cybersecurity e utilizzo consapevole dell’intelligenza artificiale, dei social media e degli strumenti tecnologici in generale, essendo oramai i temi indissolubilmente connessi.

Questa previsione evidenzia l’intento del legislatore di valorizzare gli sforzi concreti e documentati del trasgressore a diffondere la cultura del GDPR internamente ed esternamente all’Ente, premiando l’impegno strutturato, volontario e continuativo nella promozione dei diritti degli interessati. Tali iniziative, se autentiche e coerenti, possono essere lette dall’Autorità come un approccio proattivo alla compliance alla diffusione della cultura della protezione del dato personale, finalizzato alla minimizzazione dei comportamenti non conformi interni alla struttura e ad una maggiore consapevolezza degli stakeholder.

Nei confronti degli interessati, infatti, una comunicazione efficace contribuisce ad aumentare il livello di consapevolezza circa le modalità di trattamento dei propri dati, i diritti esercitabili e i canali di contatto con il titolare, favorendo un esercizio più informato e consapevole dei propri diritti.

Concretizzare l’impegno

Concretizzare tale impegno non è facile, fermo restando che per essere riconosciuta efficace tale attività deve essere esercitata in modo continuativo e non sporadico. Conseguentemente, richiede delle risorse economiche conseguibili solo con il pieno commitment dei vertici aziendali.

Le campagne di comunicazione, così come indicato nel Codice, devono possedere alcune caratteristiche, come ben evidenziato nel summenzionato articolo:

  • essere istituzionali – ovvero promosse, aggiornate, sostenute e finanziate in modo regolare e continuativo
  • volte alla promozione della consapevolezza del diritto alla protezione dei dati personali – e quindi essere coerenti con il business aziendale con valenza non solo informativa;
  • realizzate dal trasgressore anteriormente alla commissione della violazione – e quindi pianificate in anticipo, mantenute e “storicizzate”.

Le campagne possono assumere diverse forme e le azioni poste in essere, fermo restando che alcuni settori si prestano maggiormente rispetto ad altri, non sono necessariamente appannaggio delle sole imprese operanti negli ambiti maggiormente esposti ai rischi privacy.

Alcune misure trasversali rispetto al settore di appartenenza potrebbero ad esempio essere le seguenti:

  • sezione FAQ, costantemente aggiornata, nella quale viene indicato come sono tutelati i diritti degli interessati in modo esplicito e con un linguaggio comprensibile, quindi ben oltre gli obblighi di una informativa chiara e trasparente;
  • realizzazione e divulgazione, anche verso l’esterno, di un report di trasparenza annuale dove sono illustrate spiegare le scelte tecnologiche adottate per la tutela dei dati personali, se e come vengono utilizzati algoritmi e soluzioni di AI (ad esempio nelle valutazioni dei sinistri per una assicurazione), con evidenze della coerenza tra comunicazione e comportamento aziendale;
  • realizzazione di strumenti pratici e interattivi come quiz sulla privacy, tutorial passo-passo per gestire le impostazioni privacy, esempi di casi di richieste da parte interessati che possono/non possono (con la relativa motivazione) esercitare i propri diritti o chatbot che rispondono a domande comuni sul tema.
  • newsletter pubbliche o campagne social, anche sotto forma di video con una sezione ricorrente dedicata alle tematiche della protezione dei dati, della cybersicurezza, dell’uso responsabile dell’AI;
  • creazione di contenuti educativi multicanale destinati a soggetti vulnerabili, con il utilizzando un linguaggio semplice, infografiche ed altri media volti a rendere accessibili concetti che spesso appaiono tecnici o burocratici;
  • finanziamento di iniziative di sensibilizzazione, ad esempio nelle scuole, nelle comunità locali, o presso le associazioni di consumatori, in materia di protezione dei dati personali, cybersicurezza o di uso responsabile dell’AI;
  • finanziamento di attività di ricerca scientifica, mediante collaborazioni con università finalizzata alla pubblicazione di ricerche tematiche, anche mediante l’attiva partecipazione di propri dipendenti ad un Dottorato di Ricerca Industriale;
  • organizzazione di eventi di sensibilizzazione a tema destinate ai propri dipendenti ma aperte anche a clienti, fornitori, partner e loro familiari.

L’elenco potrebbe continuare. Per tutte le misure considerate/da considerare, rimane essenziale che le soluzioni individuate evidenziano, in modo marcato, la componente “continuativa”.

Misure per alcuni settori specifici

Realtà con significative risorse economiche a disposizione, come ad esempio banche, assicurazioni, imprese nel settore farmaceutico, sanitario e telco potrebbero realizzare campagne narrative ed emozionali verticalizzate sul loro specifico ambito. Invece di limitarsi agli aspetti normativi, tali soggetti potrebbero sviluppare storie concrete, magari targettizzate per differenti fasce di età, finalizzate a mostrare il modo corretto di tutelare i dati dei propri clienti presentando all’interessato comprensibili scenari concreti e . Di seguito alcune ipotesi di campagne:

Settore farmaceutico

  • campagna “La tua salute, i tuoi dati” con infografiche che spiegano la differenza tra dati anonimi per la ricerca e dati personali;
  • partnership con ospedali per distribuire guide pratiche sui diritti dei pazienti riguardo le cartelle cliniche elettroniche;
  • podcast con medici ed esperti legali che discutono casi pratici di gestione del consenso informato.

Settore bancario e finanziario

  • video-tutorial che mostrano come controllare chi accede ai propri dati finanziari, come revocare consensi non necessari e quali misure di cybersicurezza può implementare anche un soggetto privato;
  • webinar mensili su temi per comprendere come proteggere i dati nelle operazioni di mobile banking;
  • collaborazione con associazioni consumatori per la divulgazione delle principali casistiche di truffe digitali e phishing.

Settore assicurativo

  • campagne video con casi pratici che illustrano i dati vengono usati per calcolare premi e gestire sinistri;
  • sezione dedicata del sito con FAQ video su temi come telemedicina, scatole nere auto, wearable;
  • collaborazione con autoscuole per moduli formativi sulla protezione dati nelle polizze auto.

Settore retail

  • campagna su acquisti consapevoli con quiz interattivi sul sito che aiutano i clienti a capire quali dati condividono durante gli acquisti online;
  • video in-store e online che spiegano come funzionano i programmi fedeltà e la profilazione e cosa succede ai dati dal momento dell’acquisto.

Settore telco

  • campagna educativa destinata alle scuole su privacy digitale e social media;
  • soluzione app, con una componente ludica, che insegna ai giovani i principi di protezione dati attraverso scenari interattivi;
  • report mensile inviato ai clienti, che hanno accettato di essere profilati, con consigli pratici personalizzati;
  • eventi pubblici con dimostrazione dal vivo di come impostare correttamente privacy su smartphone e dispositivi connessi.

ESCo (Energy Service Company)

  • uso dei dati nei servizi energetici evoluti (smart meter, telelettura, efficienza energetica, piattaforme di monitoraggio energetico, soluzioni di domotica);
  • come riconoscere i falsi operatori e difendersi dal phishing su contratti energetici;
  • come difendersi dal telemarketing non conforme.

Settore editoriale

  • copertura mediatica dei fatti di cronaca legati alla cybersicurezza, alle fake news, al deep porn;
  • campagne di sensibilizzazione sui temi legati al diritto all’oblio, con apertura di canali dedicati per gli interessati.

Enti di formazione e società di consulenza

  • catalogo di attività formativa in materia di privacy/cybersicurezza/uso responsabile dell’AI rendendo gratuiti una parte di moduli formativi a catalogo, anche costantemente aggiornati, anche sotto forma di pillole.

Questi esempi mostrano come ogni settore possa adattare il messaggio alle specificità del proprio rapporto con i dati degli interessati di cui dispone o potrebbe disporre. L’importante è rendere accessibili concetti che spesso appaiono tecnici o burocratici o ancora che possono spaventare come la cybersicurezza.

Un aspetto critico da considerare: il “privacy washing”,

Fermo restando il valore di quanto sopra riportato, non va dimenticato che a parità di altre condizioni, una pari sanzione comminata nei confronti di un soggetto che ha dimostrato una maggiore attenzione alle tematiche privacy violerebbe infatti sia il principio di efficacia, che impone alla misura sanzionatoria di incidere realmente sul comportamento del destinatario, che e quello di dissuasività, volto a prevenire la reiterazione della violazione.

Conseguentemente, al fine del suo riconoscimento anche in sede ispettiva, è necessario che risulti espressione autentica di un approccio responsabile con coerenza tra i contenuti comunicati e la realtà operativa praticata dall’organizzazione sia verso i dati dei propri dipendenti e collaboratori sia verso quelli di altri interessati come clienti, utenti, prospect.

Questo tema assume un rilievo centrale nell’analisi delle opportunità e dei rischi connessi alle campagne di sensibilizzazione in materia di protezione dei dati: se da un lato la comunicazione istituzionale può rappresentare una sorta di “tesoretto” da utilizzarsi in caso di inciampi, dall’altro essa potrebbe trasformarsi in una “arma a doppio taglio” qualora dovesse risultare meramente strumentale a quest’ultimo scopo o in caso di palese “privacy washing”, vale a dire l’utilizzo della comunicazione istituzionale per veicolare un’immagine di elevata conformità alla normativa privacy, non supportata da un’effettiva adesione sostanziale ai principi e agli obblighi previsti dal Regolamento. In tali ipotesi, i messaggi divulgativi metterebbero in maggior risalto comportamenti incoerenti, senza neppure la giustificazione della buona fede. La mancanza di autenticità nell’approccio alla compliance potrebbe, per gli stessi principi di efficacia e dissuasività, conseguentemente esporre il Titolare a valutazioni più severe da parte dell’Autorità di controllo.

Rimane dunque importante essere sempre in grado di documentare le azioni intraprese, anche ai fini della loro valorizzazione in sede istruttoria, incapsulando l’attività divulgativa in un processo strutturato, con ruoli e responsabilità ben definiti e con tracciamento della verifica della coerenza dei contenuti non solo con il sistema di gestione della privacy dell’organizzazione ma anche con le attività di audit interne e in coerenza complessiva con le campagne marketing promosse dalla stessa organizzazione.

Conclusione

La rilevanza attribuita alle attività di comunicazione e di sensibilizzazione in ambito privacy (da estendere anche ai temi della cybersicurezza e dell’approccio responsabile all’uso dell’AI) non rappresenta un tratto peculiare ed esclusivo del diritto della protezione dei dati personali, ma si colloca all’interno di una più generale evoluzione dell’ordinamento giuridico, orientata a valorizzare la cultura della compliance e la dimensione preventiva nella valutazione delle responsabilità. In linea con quanto già osservabile in ambiti quali la responsabilità da reato degli enti (d.lgs. n. 231/2001), la tutela dei consumatori e la disciplina della sostenibilità, anche nel settore della privacy la comunicazione assume il ruolo di parametro della maturità e della consapevolezza organizzativa, potendo incidere in senso attenuante sulla responsabilità ovvero, laddove risulti incoerente o meramente formale, assumere rilievo aggravante.

Note

[1] GDPR Art. 83

[2] D.lgs 196/2003 h) curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati; (ABROGATO)

[3] GDPR Art. 57 1. Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo: (..)
b) promuove la consapevolezza e favorisce la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori; (..)
d) promuove la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente regolamento;

[4] D. Lgs 196/2003, Art. 166.7

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Monica Perego
Ingegnere, consulente e formatore, Consultia Srl
Seguimi su
Z
Stefano Francesco Zuliani
guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

0
Lascia un commento, la tua opinione conta.x