Secondo il report pubblicato da DLA Piper, che riporta il quadro degli interventi dei Garanti Privacy europei ai sensi del GDPR 679/2016, a quasi quattro anni dalla sua entrata in vigore sono state emesse sanzioni per 272,5 milioni di euro, di cui 158,5 mln negli ultimi 12 mesi. Il Garante italiano è in cima a questa classifica con più di 69,3 mln di euro, seguito dalle autorità tedesche e francesi. In Italia, a differenza degli altri paesi, le sanzioni più elevate non vengono comminate per eventi come i data breach conseguenti ad un cyber attacco ma sono collegate al trattamento dei dati personali da parte di aziende di telemarketing, telecomunicazioni, distribuzione trasporti e ristorazione.
L’applicazione del GDPR Privacy sembra avere grandi difficoltà anche nella pubblica amministrazione. Secondo i dati del Garante, dall’inizio del 2020 al primo quadrimestre 2021 sono state emesse 80 ingiunzioni, la maggior parte (71%) dirette verso la PA. La distribuzione delle sanzioni nella pubblica amministrazione riguarda vari settori: ministeri, scuole, università, asl, ospedali, forze dell’ordine, una capitaneria di porto. Ma l’incidenza maggiore, ben il 31%, riguarda i comuni.
Tra le cause principali non c’è mancanza di volontà o dolo ma la difficoltà di inseguire le innovazioni normative, così come la carenza di regolamenti attuativi, che espongono alla violazione delle norme anche involontaria. Dopo anni dall’entrata in vigore del GDPR non sono ancora state emanate tutte le norme che ne dovrebbero dispiegarne gli effetti, ad esempio le regole deontologiche per la PA, la ricerca scientifica, i media e l’informazione, mancano le misure di semplificazione per le piccole e medie imprese e quelle di garanzia per sanità, genetica e biometria.
Il Regolamento Ue, malgrado sia in vigore dal 2018, non ha ancora portato all’auspicata unificazione normativa del Vecchio Continente in materia di privacy e protezione dei dati, al contrario si sono manifestate criticità nell’inserire queste norme nel quadro normativo delle varie nazioni.
La difficoltà nell’essere in regola è evidenziata dal fatto che proprio la pubblica amministrazione, non solo quella locale, è in alcuni casi inadempiente. Tra i sanzionati è incappato anche il MiSE con una multa da 75mila euro per non avere nominato il Responsabile della protezione dati entro i termini e per aver diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager. In conclusione, in un quadro così complesso ed articolato non è possibile per le aziende e la pubblica amministrazione orientarsi da sole. Per evitare sanzioni e segnalazioni c’è una sorta di obbligo indotto nel rivolgersi ai nuovi professionisti del settore che sono gli unici ad avere un quadro sufficientemente chiaro da poter districarsi nel quadro normativo in continua evoluzione e garantire alle aziende una certa sicurezza.
di Cristiano Montesi (per informazioni e approfondimenti: info@taskforcemanagement.it)
