Il punto di vista di:
Avv. Antonio Zama
Ecommerce, franchising, privacy.
Non è che voglio essere sempre critico, per carità, ma anche di fronte a provvedimenti del Garante Privacy che adottano linee guida e che pertanto risultano senz’altro di aiuto per imprenditori e consulenti, occorre mantenere un certo “scetticismo”, almeno sul piano delle ricadute dirette sulle imprese (e non solo). Ammonisce infatti il Garante: “laddove vengano invece adottate misure tecniche diverse da quelle individuate nelle citate linee guida, i titolari del trattamento, in ossequio al principio di responsabilizzazione (artt. 5, par. 2, e 24 del Regolamento), devono essere in grado di comprovare che tali misure garantiscono comunque un livello di sicurezza adeguato al rischio per i diritti e le libertà delle persone fisiche”. In sostanza, una volta fissate le linee guida, diventano subito benchmark sul quale misurarsi e, come dice il Garante, ciò produce la necessità di giustificarsi. E ciò produce e conduce a quello che è ormai in filigrana il mantra di tutti i sistemi di compliance: tracciabilità delle decisioni.
Pornografia legislativa
Possiamo fare mille considerazioni a partire dai dati di seguito descritti, che indubbiamente illustrano minacce, rischi e attacchi alle infrastrutture IT così come la “repressione” che scaturisce dai provvedimenti dei Garanti privacy dei Pasi UE.
Al contempo sarebbe il caso di domandarsi se normative come il GDPR e i relativi corollari non producano – già a medio termine dall’introduzione – al di là di quello che politici, legislatori, regolamentatori e consulenti sbandierano, spesse volte con intento terroristico, un effetto esattamente contrario.
L’inerzia delle imprese che, tra adempimenti burocratici – sempre in evoluzione e per i quali si ha sempre la certezza di essere in difetto – e miglioramenti tecnici, rischiano di privilegiare i primi rispetto ai secondi. Con uno sfogo provocatorio avevo definito a maggio 2018 il GDPR frutto di pornografia legislativa. Del resto era facile prevedere che “Avremmo potuto sentire l’inconfondibile profumo da eccitazione orgasmica delle autorità “indipendenti” a cui – e per disegno delle quali – si consegna un ricchissimo bottino di poteri, per di più con il perverso incentivo circolare: più sanzioni, più rilievo, più legittimazione, più percezione, più crescita, più sanzioni.
” Già, era facile. Ma possiamo metterci in testa che questo circolo vizioso prosegue e proseguirà.
Privacy: la mano pesante dei Garanti europei
Mano pesante dei Garanti privacy dell’Unione Europea. Il dato è sbalorditivo: nel periodo maggio 2018 – novembre 2023 sono state irrogate sanzioni per un valore che supera i 4 miliardi e 286 milioni di euro. Sono stati 6.680 i provvedimenti complessivamente adottati in Europa, mentre in Italia sono state irrogate 598 sanzioni, con un risultato economico che supera i 197 milioni di euro.
Lo ha rivelato il Comitato europeo per la protezione dei dati (Edpb), cioè l’organismo la cui attività è volta a garantire che il regolamento generale sulla protezione dei dati (Gdpr) e la direttiva sull’applicazione della legge sulla protezione dei dati siano applicati coerentemente nei paesi dell’UE, nonché in Norvegia, Liechtenstein e Islanda.
Privacy e sanzioni: cosa accade in Italia?
Come abbiamo già detto, le sanzioni irrogate dai diversi Garanti collocati nell’intera Unione Europea sono state assai rilevanti. Dal 2018, infatti, in Europa il totale ammonta esattamente a 4.286.100.604,65. L’Italia si è particolarmente distinta (se così possiamo dire), portandosi al terzo posto per sanzioni irrogate, con un totale di 197.058.157 euro, piazzandosi al terzo posto immediatamente dopo Irlanda e Lussemburgo. L’Irlanda surclassa tutti, con una cifra di 2.855.412.000 euro, dovuta principalmente al fatto che la nazione nordica è sede di molti colossi del web, come anche il Lussemburgo. Basti pensare che, con una sola ammenda, Amazon è stata condannata a pagare nel 2021 una somma pari a circa 746 milioni e 319 mila euro.
Italia, dunque, al terzo posto in Europa per sanzioni privacy irrogate, davanti a Francia, Spagna e Germania. Rispetto al numero di sanzioni, se in Europa sono state 6680, l’Italia si piazza ancora al terzo posto con 598 provvedimenti, subito dietro alla Germania con 2106 sanzioni e alla Spagna con 1596.
Tra le materie oggetto di sanzione:
liceità e sicurezza del trattamento,
principi relativi al trattamento dei dati personali,
trattamento illecito di dati personali appartenenti a categorie particolari,
diritti degli interessati,
protezione dei dati fin dalla progettazione e per impostazione predefinita e mancata collaborazione con le autorità di controllo e violazioni dei dati personali (c.d. data breach).
