Ad agosto 2020 il sito di informazione finanziaria Finbold ha pubblicato i risultati degli studi volti a determinare i Paesi che nel corso della prima metà del 2020 hanno violato maggiormente le linee guida del GDPR.
Ne è emerso che l’Italia è la nazione europea che ha pagato l’importo più alto di multe, pari a 45,6 milioni di euro su un totale di circa 60 milioni in tutta Europa, ovvero il 75,8% del totale delle multe. Segue, ma a netta distanza, la Svezia, con 7 milioni di euro di multe pagate e i Paesi Bassi a quota 2 milioni.
Con riferimento alla quantità di verbali contestati alle aziende, è invece la Spagna a dominare la classifica, con 76 sanzioni irrogate sul numero totale di 124, tutte comunque di “lieve entità” se si considera che l’ammontare complessivo delle multe non supera i 2 milioni di euro.
All’apparenza sembrerebbe quindi che le imprese italiane siano più indisciplinate o che il Garante per la Privacy nazionale sia particolarmente rigoroso nell’applicazione della normativa. In realtà, a fronte di un numero relativamente basso di sanzioni comminate (solo 13), a rilevare in Italia è l’entità delle multe.
Seppure siano coinvolte aziende, scuole, università, regioni, comuni e ospedali, le sanzioni più alte risultano quelle comminate alle compagnie telefoniche.
La multa più alta è infatti stata inflitta a Tim, per 27,8 milioni di euro, a seguito delle centinaia di segnalazioni ricevute dal Garante in ordine alla ricezione di comunicazioni commerciali non richieste effettuate senza il consenso degli interessati e perché nelle APP fornite dalla società venivano fornite informazioni errate e non trasparenti sul trattamento dei dati. Anche la Wind veniva sanzionata, per 16,7 milioni di euro, a causa di diverse attività illecite di trattamento dei dati relative al marketing diretto e all’impossibilità per i clienti di esercitare il diritto di revoca del consenso e di opporsi al trattamento per finalità di marketing diretto. Al terzo posto si trova poi Iliad, sanzionata con una multa di 800mila euro per violazioni della protezione dei dati riguardanti il trattamento dei dati dei clienti per l’attivazione delle carte Sim e le modalità di registrazione dei dati di pagamento.
Sul database dell’UE, ove si possono trovare le sanzioni comminate ai singoli paesi europei comprensive di nomi delle strutture multate, motivazioni e ammontare delle multe, si nota come la violazione più ricorrente riguardi le “basi giuridiche insufficienti per il trattamento dei dati”, in espressa violazione dell’art. 6 del Gdpr.
Vista la diligenza del Garante nazionale nel verificare il rispetto della normativa e l’importanza, in termini economici, delle sanzioni inflitte, è quindi opportuno predisporre tutti gli adeguamenti necessari, da un lato predisponendo della documentazione a regola d’arte per farsi autorizzare dai propri clienti al trattamento dei loro dati e dall’altra creando un sistema di gestione aggiornato e in linea con quanto richiesto dal Gdpr (un consiglio per la raccolta a regola d’arte dei dati e delle autorizzazioni al trattamento, è ad esempio di utilizzare un software al posto del vecchio cartaceo, maggiormente rischioso in quanto rende i dati meno sicuri rispetto al rischio di perdita/divulgazione e ne complica il monitoraggio rispetto alle date di scadenza delle autorizzazioni).