Il GDPR: un obiettivo, una sfida, un vantaggio

Consapevolezza GDPR
Secondo lo "Special Eurobarometer 487a"  di marzo 2019, la consapevolezza del GDPR tra i cittadini europei è attualmente pari al 67%. Si può dedurre, pertanto, che un numero sempre più crescente di cittadini ha avuto modo di conoscere e confrontarsi con la normativa europea in tema di protezione dei dati personali.
L'Autorità di controllo nazionale: le attività svolte e le violazioni
La maggiore attenzione alla protezione dei dati personali è confermata dal fatto che, durante il 2018, l'Autorità di controllo nazionale ha dato riscontro a 22.800 quesiti, che hanno riguardato gli adempimenti legati all'applicazione del Regolamento europeo. Inoltre, la medesima Autorità ha ulterioremente fornito riscontro a oltre 5.600 quesiti, reclami e segnalazioni con specifico riferimento a differenti settori, tra cui il marketing telefonico, la videosorveglianza e la sanità, oltre ad aver reso 44 pareri relativamente alla normativa sulla trasparenza dei trattamenti effettuati.
Unitamente allo svolgimento dell'attività di consulenza, l'Autorità ha anche effettuato ispezioni ed accertamenti - 150 nell'anno passato - volti a verificare le attività di trattameto di dati personali realizzati in numerosi e delicati settori, sia nell'ambito pubblico che privato. In aggiunta, il Garante per la protezione dei dati personali ha effettuato comunicazioni - 27 - di notizie di reato all'autorità giudiziaria, in particolare per la mancata adozione di misure minime di sicurezza a protezione dei dati e per l'illecito controllo a distanza dei lavoratori.  
(Relazione annuale 2018 del Garante)
I
L'inadeguatezza al Regolamento europeo ha portato, nel 2018, alla contestazione di 707 violazioni amministrative, per la maggior parte concernenti il trattamento illecito di dati personali, la mancata adozione di misure di sicurezza, il telemarketing, l'omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali. Le sanzioni amministrative riscosse per tali violazioni ammontano complessivamente a oltre 8 milioni 160 mila euro, segnando il 115% in più rispetto al precedente anno (Relazione annuale 2018 Garante).
Unitamente a tali sanzioni amministrative previste dal Regolamento europeo, vi sono anche le sanzioni penali stabilite dalla normativa nazionale. La tutela dei dati personali è, pertanto, realizzata mediante le previsione di un apparato sanzionatorio misto; a rigore di quanto appena affermato, è possibile concludere che il Titolare di un trattamento di dati personali ha ingenti responsabilità per assicurare e garantire un adeguato trattamento e per evitare, in tal modo, di subire la comminazione di ingenti pene e sanzioni.

Le sanzioni del GDPR
I casi applicativi che, nella prima metà del 2019, hanno giustificato la comminazione delle sanzioni amministrative pecuniarie ai sensi del Regolamento europeo sono state varie e numerose. Citando le principali, si menziona la sanzione di 219.538 euro inflitta dal Garante Privacy polacco, a marzo dell'anno corrente, al Titolare di una società che non ha rispettato l'obbligo di informativa ai sensi dell'articolo 14 GDPR. Diversi soggetti interessati - circa 6 milioni - non erano a conoscenza del fatto che venisse effettuato un trattamento sui loro dati personali e, di conseguenza, non erano in grado di poter esercitare i loro diritti. Per ragioni affini, il Garante Privacy francese ha comminato nei confronti di Google LLC una sanzione di 50 milioni di euro per violazione dell'obbligo di trasparenza. Gli utenti non erano messi nella condizione di comprendere chiaramente le finalità del trattamento, il periodo di conservazione dei dati e tutte le altre informazioni necessarie ai sensi dell'articolo 13 GDPR a causa del carattere disseminato delle informazioni fornite. Tali sanzioni sottolineano l'importanza dell'adozione di informative relative al trattamento dei dati personali che siano correttamente redatte e opportunamente adeguate alla tipologia di attività esercitata.

Relativamente al settore della telefonia, che risulta essere particolarmente controllato dalle Autorità, l'esempio più eclatante è rappresentato dalla sanzione di 21.700 euro inflitta dal Garante Privacy bulgaro ad una società di telecomunicazione per aver effettuato un trattamento di dati personali degli utenti senza un'adeguata base giuridica. I dipendenti della società, infatti, hanno utilizzato i dati dei soggetti interessati per ulteriori finalità senza aver ricevuto il consenso degli abbonati, violando così l'articolo 5 comma 1 lettera a) e l'articolo 6 del GDPR. Tale sanzione costituisce un esempio di come il trattamento effettuato debba essere svolto sempre lecitamente e debba essere, in ogni caso, legalmente giustificato. Gli illeciti realizzati dalle società di telefonia sono stati diversi e rilevanti tanto che l'Autorità ha svolto differenti ispezioni presso i call center e ha suggerito al legislatore modifiche normative volte a rafforzare le garanzie dei cittadini.
Un'altra attività oggetto di particolare attenzione è stata il controllo a distanza dei lavoratori. In tale ambito, le sanzioni sono previste direttamente dalla normativa interna. Il provvedimento del Garante del 2010 prevede sanzioni per l'omissione del cartello informativo (da 6.000 a 36.000 euro), per l'omessa o errata notificazione al Garante (da 20.000 a 120.000 euro) e per la cessazione illecita dei dati raccolti (da 10.000 a 60.000 euro). Unitamente alla predette sanzioni, sono punibili con la reclusione da 6 a 24 mesi anche i danni (anche non patrimoniali) causati dall'inosservanza delle norme e con la reclusione da 6 mesi a 3 anni le dichiarazioni di falsità al Garante. 
Conclusioni  
Tutte le sanzioni inflitte rappresentano un segnale forte per ciascun Titolare del trattamento e costituiscono un ottimo parametro di valutazione dello stato di protezione dei dati personali nel territorio europeo. A ragione di ciò, la conformità sia alla normativa europea sia a quella nazionale deve costruire un obiettivo primario per ciascun Titolare che intenda svolgere un'attività di trattamento di dati personali. In seguito all'adozione del Regolamento, è chiaro l'attegiamento che l'Unione Europea ha voluto assumere in relazione al tema della tutela e protezione dei dati personali e dei singoli soggetti interessati. Ogni Titolare è attualmente posto nelle condizioni di assumersi le proprie responsabilità e di adottare tutte le garanzie necessarie al fine di tutelare in modo idoneo ed adeguato tutte le persone fisiche interessate al trattamento. Agendo in tal senso si contribuisce alla realizzazione di uno spazio di libertà, sicurezza e di giustizia e si rafforzano le economie del mercato interno oltre che il benessere delle persone fisiche.
Maria Cristina Bonizzi