I DATI SULLE INFRAZIONI DEL REGOLAMENTO UE (GDPR) E SULLE PENALITÀ APPLICATE ANALIZZATI DA ESET
Antonio Ciccia Messina
Babele di sanzioni per violazioni della privacy. Nella Ue c’è un unico regolamento, il «Gdpr» (regolamento n. 2016/679), con sanzioni stellari. Ma i singoli Stati vanno a zig zag e, comunque, le statistiche dicono che attacchi informatici e cyber crimini non fanno altro che aumentare vertiginosamente. In alcuni paesi, come riferisce una ricerca della società Eset frutto di elaborazione di dati tratti da Gdpr Enforcement Tracker (pubblicata sul sito www.eset.com), le sanzioni medie non arrivano a 10 mila euro (Malta conta una sola sanzione di 5 mila euro) e il loro numero complessivo è di poche unità (il Portogallo ne ha avute 4); in altri il numero delle ingiunzioni è dell’ordine di grandezza delle centinaia (in Spagna sono state 273) e le medie più salate sfiorano i 3 milioni (Francia).
Anche stando ai settori di attività/materie, la descrizione dell’andamento delle sanzioni, come riportato da una indagine della società Cms, aggiornata al 1° marzo 2021, evidenzia fenomeni non immediatamente spiegabili: il settore della sanità ha importi medi delle sanzioni (228 mila euro) di gran lunga inferiori al lavoro (oltre 1 milione e 200 mila euro) delle telecomunicazioni (anche qui oltre il milione e 200 mila euro), trasporti e energia (quasi un milione e 400 mila euro). Un settore in cui si concentrano tante violazioni (109) è quello classificato «industria e commercio», che, però, presenta una media di importi di fascia bassa (quasi 65 mila euro).
Quanto a tipi di violazioni, gli importi medi (contati da Eset) mettono sulla fascia bassa la mancanza di collaborazione con i Garanti (quasi 7 mila euro) e l’omessa nomina del «Dpo» (responsabile della protezione dei dati (31 mila euro), mentre in fascia alta abbiamo le carenze e le violazioni in materia dei trattamenti (oltre 436 mila euro), la mancanza di consenso o altre basi del trattamento (627 mila euro). Sul podio più alto, a distanza stellare, la non conformità con i principi generali dei trattamenti (oltre 5 milioni di euro la media delle sanzioni).
È una frammentazione granulare ed estremizzata delle sanzioni, sotto qualsiasi parametro di osservazione le si guardi, che d’altronde era facile prevedere se si considera che il Gdpr prevede due sole fasce di sanzioni (la prima fino a 10 milioni o 2% del fatturato, la seconda fino a 20 milioni di euro o 4% del fatturato).
In sostanza, tutte le numerosissime prescrizioni previste dal Gdpr sono incasellate nell’una o nell’altra fascia e per ognuna di queste due fasce il Gdpr non ha una scaletta di graduazione predefinita: così i Garanti possono applicare per qualunque illecito nessuna sanzione, una sanzione da 1 euro o una sanzione di importo maggiore fino al massimo milionario.
Questo comporta che un illecito può avere una sanzione simbolica oppure una esemplare e con esiti differenti in ciascuno stato della Ue. Tanto da mettere a repentaglio la stessa prevedibilità delle sanzioni.
Che sia un quadro piuttosto complicato, peraltro, lo aveva confermato anche il parlamento Ue (risoluzione del 25 marzo 2021 sull’attuazione del Gdpr), che si è rammaricato «del fatto che l’importo delle sanzioni pecuniarie vari notevolmente da uno Stato membro all’altro» e ha invitato la Commissione Ue e il comitato europeo per la protezione dei dati, Edpb) ad armonizzare le sanzioni mediante linee guida e criteri chiari, «al fine di aumentare la certezza giuridica e di evitare che le imprese si stabiliscano nelle zone che impongono le sanzioni più basse».
Non a caso l’Edpb ha istituito la Task force fining, con l’incarico di predisporre tali linee guida per un’armonizzata applicazione dei criteri di valutazione delle sanzioni amministrative previste dal Gdpr.
Nel frattempo, va avanti la babele di sanzioni, che rischia di mettere in dubbio anche il fatto che a una sanzione segua una cattiva reputazione commerciale del soggetto sanzionato.
Certo, non vi sono studi sul calo di fatturato a seguito di sanzioni ricevute da Garanti della privacy, ma non si hanno nemmeno notizie che possano confermare l’effetto infamante della sanzione per violazione della privacy.
Inoltre, il fatto che a non essere in grado di conformarsi al Gdpr siano anche istituzioni pubbliche nazionali e imprese di enormi dimensioni potrebbe anche mettere alle corde l’effettività stessa delle prescrizioni, le quali, per poter essere recepite nella prassi di imprese e pubblica amministrazione, devono essere realizzabili e non vagamente generiche e devono rendere prevedibile, in maniera certa, quando si evita una sanzione e quando, invece, si va incontro alla irrogazione di una ingiunzione di pagamento da parte dei Garanti.
Cercando di descrivere in positivo il fenomeno, si potrebbe dire che ciò che sta succedendo sta costruendo la graduazione delle sanzioni, ma occorrerebbe un massimario distinto per tipi di illeciti e una uniformità di applicazione che ancora manca (lo dice il parlamento europeo). Fino a che la situazione non si stabilizzerà, imprese ed enti pubblici devono stare sul filo del rasoio.
La violazione della regola del consenso in cima agli illeciti
Violazione della regola del consenso e delle altre basi giuridiche in cima alla lista degli illeciti più sanzionati. Sono, secondo la ricerca Eset, 276 le ingiunzioni irrogate dai Garanti europei per violazione della base legale del trattamento, con una raccolta media di 627 mila euro per sanzioni.
Certo sono violazioni gravi, punite nel massimo fino a 20 milioni o al 4% del fatturato delle imprese. Peraltro violazioni, punite con la medesima sanzione, come le violazioni dei diritti degli interessati, hanno sia una frequenza di irrogazione sia un importo medio per sanzione, entrambi, molto più bassi, pari rispettivamente a circa il 25% e al 38% delle cifre relative alle violazioni delle basi legali del trattamento.
Ancora più bassi sono il numero e l’importo medio delle violazioni degli obblighi di informativa e trasparenza: sono rispettivamente 51 ed euro 183 mila.
Ma il divario si allarga ancora di più se si esaminano altre violazioni. Confrontiamo la mancata stesura di un contratto privacy con l’omissione di misure di sicurezza, entrambi punti con la stessa sanzione amministrativa e cioè fino a 10 milioni o 2% del fatturato per le imprese.
Ebbene, l’identità della sanzione edittale, nella pratica si traduce in sanzioni, per numero e importo, molto più bassi per la prima violazione rispetto alla seconda.
Se si passa alle statistiche relative ai singoli Stati, si assiste al primato della Spagna con 273 sanzioni e una media di 118 mila euro per sanzioni, seguita dall’Italia, con un numero più basso di sanzioni (75), ma un importo medio di oltre un milione e 100 mila euro. Terza la Romania, con 60 sanzioni e un importo medio, decisamente più leggero, pari a 11 mila euro.
Tra l’altro essere in posizioni di bassa classifica quanto a numero di sanzioni non significa mano leggera quanto a importo medio: il Portogallo presenta 4 sanzioni, ma un importo medio di 106 mila euro, la Germania conta 28 sanzioni con una media di 1 milione e 750 mila euro; la Francia ha ancor meno sanzioni (18), ma una media di oltre 3 milioni e 200 mila euro.
Ovviamente non si possono trarre conclusioni tanto affrettate quanto errate: non si può certo dire che in uno Stato ci sia più o meno rispetto della privacy e ciò solo enfatizzando queste statistiche.
Una completa analisi dovrebbe arricchire e incrociare queste informazioni, dando notizia della composizione degli importi medi, così da scoprire se tali importi riflettono una valutazione omogenea o se ci sono discordanze interne (importi elevatissimi ed importi bassissimi).
Altro elemento di arricchimento è l’abbinamento dei dati su sanzioni e singoli Stati, così da scoprire il livello di difformità delle valutazioni tra i vari garanti della privacy.
Che ci sia discordanza lo ha scritto il Parlamento Ue, ma sarebbe utile capire nel profondo questi dati e ricavarne qualcosa di utile non solo per una graduazione delle sanzioni, ma anche, a ritroso, per comprendere se intervenire e come sulla legislazione sostanziale.
Fonte:
