Sanzioni per violazione del GDPR: non solo multe, ma anche provvedimenti correttivi. E no, occorre sfatare il mito: la mano del Garante non colpisce soltanto le grandi aziende.
Il poco ambito record di maxi sanzioni per violazioni del GDPR
Tra i Guinnes dei primati in cui nessuno ambisce primeggiare, vi sono certamente quelli per le sanzioni più elevate emesse dai vari Garanti per la Protezione dati Personali (vogliamo una buona volta smettere di chiamarla privacy?) per le violazioni del GDPR. Tra le sanzioni più pesanti troviamo quella per cinquanta milioni a Google emessa in Francia. La colpa? Aver trattato i dati degli utenti non adeguatamente informati. In Germania ne è stata emessa una da 35 milioni nei confronti di H&M per avere monitorato in maniera impropria i dipendenti addirittura invitati a partecipare a riunioni di lavoro quando erano in ferie.
TIM e Wind hanno subito sanzioni per 27.8 e 17 milioni di euro per le invasive e asfissianti attività di telemarketing. Non poteva mancare Facebook: 7 milioni di euro per non avere informato con chiarezza e immediatezza gli utenti su come monetizzava i loro dati. La Regione Lazio si è vista presentare un conto di 75.000 euro per mancata nomina del fornitore come responsabile del trattamento dei dati ai sensi dell’articolo 28 GDPR e violazione del principio di accountability. Da questo punto di vista, le sanzioni del Garante “non discriminano” tra settore pubblico e privato.
Non solo grandi nomi…
Anche aziende che non hanno sede in Europa, ovviamente, sono state oggetto di sanzione. Il sito www.locatefamily.com, che dichiara trecentocinquanta milioni di utenti, non ha nominato il suo legale rappresentante in Unione Europea. Per questo il Garante olandese ha deciso che questa dimenticanza vale 523.000,00 euro. Al confronto sembrano quindi noccioline i 20.000 euro cui è stato condannato al pagamento un dentista per avere richiesto dati eccessivi ad un paziente. Allo stesso modo è quasi un regalo la sanzione emessa nei confronti di un’azienda regionale di protezione ambiente per 8.000 euro. La causa? Aver subito un data breach a causa del furto di un dispositivo contenente dati personali.
Alert > Ispezioni Garante Privacy 2022: iniziano i controlli mirati
Non solo sanzioni pecuniarie: i vincoli imposti dai provvedimenti correttivi
Non ci stancheremo poi di fare presente come, oltre alle sanzioni, vi siano ulteriori costi per aziende e professionisti. In caso di sanzione è assai probabile debbano subire altre conseguenze dovute a provvedimenti correttivi. Questi possono giungere fino al divieto di trattare dati con conseguente paralisi di un’attività. In ogni caso le sanzioni richiamano l’attenzione sull’obbligo, per i soggetti che trattano dati personali, di garantire una sicurezza adeguata al rischio. Per farlo è necessaria l’adozione di idonee misure di protezione, anche tecniche e organizzative.
Il GDPR, ricordiamo, non prevede norme rigide o misure ben specificate, bensì un adeguamento al suo disposto sulla base delle dimensioni aziendali, dei dati trattati e per i rischi che questi effettivamente possono correre. Privacy by design e by default, cioè customizzate anche sulla base dell’impegno economico richiesto. Investimenti a volte minimali, ma che devono essere comunque fatti per evitare ben più gravi tipi di conseguenze non solo economiche.
Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!
