Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

gdpr

Sanzioni privacy: il nodo della prevedibilità e le responsabilità delle aziende

Il caso delle due sentenze TIM e Eni Gas e Luce è emblematico: l’Autorità ha solo dato un primo assaggio di ciò che il trattamento illecito di dati personali può comportare. Sta all’azienda abbassare i livelli di rischio sanzione a tendere verso lo zero e non verso il 4% del fatturato

05 Feb 2020
Rocco Panetta

avvocato, managing partner di Panetta & Associati, esperto di Internet e Privacy, Country Leader per l’Italia di IAPP International Association of Privacy Professionals


A volte ritornano. Temi che ci hanno impegnato all’indomani dell’entrata in vigore del GDPR e che anche durante la discussione in Parlamento del d.lgs. 101/2018 che ha modificato il Codice Privacy non hanno dato tregua. Mi riferisco, ad esempio, all’assenza, nel GDPR in tema di sanzioni di un valore minimo a cui parametrare l’eventuale sanzione, lasciata alla discrezionalità amministrativa dell’Autorità, la quale dovrà tenere conto di elementi di fatto e di diritto fino ad un massimo del 4% del fatturato annuo del trasgressore.

Il caso delle due sentenze TIM e Eni Gas e Luce, entrambe irrogate nel mese di gennaio 2020 dal Garante Privacy è emblematico. In entrambi i casi è stata applicata una sanzione al di sotto dell’1 per cento del fatturato dei trasgressori, nonostante le censure evidenziate siano significative. Molti commentatori hanno lamentato l’eccessiva aleatorietà del GDPR sul punto e quindi lo strapotere dell’Autorità.

Sanzioni privacy, anche in Italia servono linee guida per quantificarle

L’accountability che piace tanto perché all’italiana viene letta non come responsabilizzazione e affidamento autorevole, ma come “faccio ciò che mi pare”, è un’arma a doppio taglio e l’Autorità ha solo dato un primo assaggio di ciò che il trattamento illecito di dati personali può comportare.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Come più volte ribadito, il minimo edittale c’è ed è pari a zero. Sta all’azienda abbassare i livelli di rischio sanzione a tendere verso lo zero e non verso il 4% del fatturato, seppure nella consapevolezza che il rischio zero e la compliance 100% non è di questo mondo. Per come conosco l’Autorità, siamo (ancora) in buone mani. Funzionari e dirigenti conoscono il lavoro e la materia a puntino, ed hanno quel giusto livello di flessibilità e tolleranza che deriva dal senso delle cose e dalla misura del contesto e forse anche per questo la sanzione nei casi citati si è fermata a meno dell’1%. Certo solo la giurisprudenza nel tempo potrà darci indicazioni più o meno affidabili, sulla prevedibilità dell’azione dell’Autorità. Ma è lo stesso spirito del GDPR che ha introdotto l’aleatorietà e l’interpretazione nella materia della protezione dei dati.

Siamo tutti chiamati a fare un passo in avanti e a diventare adulti nel mondo di Alice nel Paese delle Meraviglie, sperando di non farci troppo male.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4