In ragione delle mancate o non mantenute promesse sulle sanzioni a più di due anni dalla piena vigenza del GDPR, è acceso il dibattito sul presunto imminente fallimento del regolamento. Ciò che imporrebbe addirittura un ripensamento del meccanismo – peraltro non semplice – di irrogazione delle sanzioni per violazione delle norme sul trattamento dei dati, sono tre elementi:
- L’assenza sulla scena di Irlanda e Regno Unito tra le Autorità più attive nell’enforcement ad oggi (GDPR enforcement in Europa), a favore della presenza sul podio delle solite autorità che storicamente hanno guidato la lista delle più attive e capaci nell’enforcement, tra cui Italia, Francia, Spagna, Germania, Svezia e Paesi Bassi;
- L’assenza, tra i soggetti ad oggi sanzionati, delle grandi aziende multinazionali, americane ma anche cinesi ed in minor quantità europee;
- Il mancato utilizzo della sanzione nella misura massima del 2% o del 4% del fatturato, a seconda del tipo di trasgressione individuata.
Dunque, potrei anche dire, nulla di nuovo. Da circa venticinque anni sono più o meno questi gli argomenti e le critiche che vengono mosse al sistema di protezione dati personali e all’azione ed intervento delle Autorità di controllo e garanzia preposte. Ma andiamo con ordine e vediamo se alla fine questi assunti saranno confermati, o piuttosto sconfessati.
La situazione delle autorità di Irlanda e UK
Che l’Irlanda sia da sempre la Bella Addormentata del sistema non è una novità ed in una certa misura anche l’Inghilterra. Infatti, fino al 2018 l’Irlanda non aveva dotato la sua Data Protection Authority nazionale di poteri, personale e norme idonee a fare enforcement efficiente. Non è dunque semplice “improvvisare” un meccanismo idoneo a condurre ispezioni e fare follow up. Ci vuole tempo, preparazione e donne ed uomini dedicati. Analogamente, il Regno Unito fino al 2012 aveva escluso, tra i poteri riconosciuti per legge all’ICO, l’Information Commissioner, il Garante inglese, quello di irrogare alcuna sanzione. Ed anche quando tali poteri furono attribuiti, essi erano stati limitati entro la soglia massima quasi risibile di 500.000 sterline.
Eppure considerato che il mondo degli affari parla inglese e che le multinazionali americane e orientali hanno da sempre prediletto Londra, prima, e Dublino, poi, come loro hub europei d’elezione – non solo per ragioni legate alla lingua e alla cultura inglese, o per più bieche ed opportunistiche ragioni fiscali, ma anche in considerazione del maggior favore rispetto alle dinamiche dell’economia dei dati, che passa anche attraverso minori o zero sanzioni – l’assenza sulla scena sanzionatoria di queste due nazioni è stata interpretata – a torto – nel mondo come una assenza tout court di enforcement nel settore della privacy. A nulla sono valsi, negli anni i record cumulati dal Garante spagnolo ed italiano sulle sanzioni pre-GDPR. A nulla è servito il dinamismo della CNIL, il Garante francese, o gli innovativi provvedimenti del nostro Garante nei diversi settori di interesse di aziende e pubbliche amministrazioni.
Passando ai dati resi disponibili circa l’enforcement del GDPR, al primo posto come valore cumulato delle sanzioni irrogate nel biennio, siede Roma. Il nostro Garante, che ha iniziato ad irrogare sanzioni su violazioni di legge ai sensi del GDPR a dicembre 2019, ha cumulato circa 50 milioni di euro di sanzioni. Al secondo posto siede Parigi, poi Stoccolma e Madrid che sarebbe prima per numero di sanzioni irrogate, poi Berlino e Amsterdam. Dublino, come detto, non pervenuta. Londra rappresenta un caso a sé, avendo infatti nel 2019 annunciato ben due mega sanzioni che cumulativamente avrebbero fatto toccare il record di circa 400 milioni di euro, ma che di fatto non sono mai state irrogate, complice, forse, la Brexit prima e il Covid poi.
Le mancate sanzioni ai Big
Per quanto riguarda l’assenza sulla scena delle grandi aziende Over the Top, direi che la cosa non stupisce affatto. Anzitutto sia consentito dire che sebbene taluni meccanismi, a partire dalla scelta del regolamento in luogo della direttiva, e le sanzioni rapportate al fatturato al posto delle precedenti sanzioni con massimi e minimi edittali, sono stati pensati e scritti probabilmente per rendere più efficace l’azione di enforcement anche nei riguardi di quegli operatori economici stranieri e presenti in più giurisdizioni, allo stesso tempo il GDPR non è una norma che si applica solo a Google, Facebook e Alibabà. Il GDPR si applica a tutti a partire dalla moltitudine di aziende c.d. domestiche, nazionali e multinazionali, e alle pubbliche amministrazioni nazionali che rappresentano molto dei trattamenti che ci riguardano ogni giorno, dagli ospedali alle scuole, dalle banche alle aziende di telecomunicazioni e cosi via.
Sono varie e diversificate le politiche che devono attuarsi a livello nazionale e sovranazionale per regolamentare il mercato dei dati. Da sole le sanzioni non bastano, sebbene tuttavia servano e vadano applicate quando necessario.
Il falso mito delle sanzioni troppo basse
Un falso tema è quello della assenza ad oggi di sanzioni parametrate al massimo delle percentuali previste dal GDPR. Almeno con riferimento alle sanzioni irrogate dal Garante a partire da dicembre 2019 appare evidente come il criterio della percentuale sia stato adeguatamente tenuto in conto.
Il fenomeno della circolazione dei dati personali è molto complesso. Tale complessità non è ancora chiara a tutti. Di certo lo è per le autorità garanti che con cautela, da sempre, si approcciano all’uso del bazooka, cosi come è chiaro a quanti operano e seguono le dinamiche della privacy da decenni. Dietro ogni trattamento ve ne sono collegati a centinaia; cosi come le finalità e modalità del trattamento e la natura dei dati trattati è molteplice. Per non parlare della complessa catena dei soggetti coinvolti nella governance dei trattamenti e le loro rispettive responsabilità attribuite ex lege e/o in via contrattuale. La vicenda dell’irrogazione delle sanzioni è funzione di tutte queste variabili e di molto di più. Non si può effettuare un calcolo a cuor leggero: è quanto da sempre cerco di trasmettere ai miei Clienti che a volte mi chiedono di stimare l’incidenza del rischio di eventuali sanzioni.
Conclusioni
Occorre dunque sgombrare il campo da semplificazioni e sensazionalismi che poco aiutano alla comprensione del delicato fenomeno dell’enforcement nel settore della protezione dei dati personali. Bene ha fatto ad agosto 2020 Anna Cataleta su Linkedin, a richiamare con autorevolezza l’attenzione di tutti gli operatori ad incrementare i controlli ed a rilanciare i programmi di compliance, per non farsi trovare scoperti in caso di controlli di autorità.
In particolare qui in Italia, ora che il nuovo Garante si è insediato e si prepara alla sua prima stagione operativa, non reggono più gli alibi, peraltro palesemente infondati di una autorità con scarso mordente in quanto dedicata alla sola ordinaria amministrazione – abbiamo infatti tutti visto come proprio nel periodo di proroga del precedente Collegio sono state irrogati quasi 50 milioni di euro di sanzioni in questi due anni. Forse l’Inghilterra e l’Irlanda continueranno ad essere le Belle Addormentate di questa nostra Europa meno unita che in passato, ma di certo l’Italia e gli altri importanti Paesi dell’Unione non lo sono affatto.
