Le modifiche al codice della privacy per adeguare la normativa italiana al GDPR introducono nuove ipotesi di reato per chi non è in regola. L’obiettivo è aggiornare la disciplina in materia di trattamento dei dati alle esigenze della digital transformation, all’impiego delle nuove tecnologie, al fenomeno dei big data e dei grandi archivi. Innovativa, tra le altre, è l’ipotesi di reato di “comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”, che punisce chiunque comunichi o diffonda un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala.
A quattro anni dall’entrata in vigore del GDPR, può risultare interessante effettuare una analisi degli interventi delle Autorità Garanti per trarne delle indicazioni, delle lesson learned utili per i diversi attori per operare in maniera consapevole il trattamento dei dati personali. In questa sede si pone l’attenzione sul contesto della Pubblica Amministrazione, che svolge un ruolo primario nell’ecosistema privacy, sia per il rispetto dei diritti dei cittadini, sia per il ruolo propulsivo che può avere nei confronti della sfera privatistica delle nostre società.
Come si ricorderà, nell’agosto 2020 in piena emergenza pandemica, ebbe clamore sulle prime pagine estive dei giornali l’attività che l’Inps stava conducendo per procedere all’erogazione del bonus Covid-19, per supposti riflessi sulla privacy di chi ricopriva incarichi di parlamentare o di amministratore regionale o locale. E il prosieguo della questione fornisce utili spunti di riflessione: al ricorso promosso dall’Inps è seguita, in questi giorni, la sentenza n. 4735 / 2022 della XVIII sezione civile del Tribunale di Roma che ha annullato la sanzione comminata a suo tempo dal Garante.
Sono state 341 le sanzioni per violazioni della protezione dei dati personali lo scorso anno nei 30 paesi dello SEE. Ben 133 dei 341 provvedimenti amministrativi complessivi sono stati irrogati dal garante spagnolo, ma l’autorità più severa è quella francese con 138,3 milioni di euro concentrati in soli 8 procedimenti. Nel 59% dei casi le multe riguardano trattamenti illeciti per scarsa trasparenza, mancanza di consenso o altra valida base giuridica. Bernardi: “Mercato digitale è un’opportunità ma necessario sviluppare maggiore sensibilità per i temi della privacy”. Settore più bersagliato quello delle telecomunicazioni con 69 sanzioni.
Attenzione a chiedere la carta d’identità all’interessato che desidera esercitare il diritto di accesso ai suoi dati personali, perché una prassi del genere potrebbe violare la privacy della persona e costare cara alla vostra azienda. È questo il caso di una società editoriale che esigeva copia del documento d’identità in formato digitale, e per questo si è vista infliggere una sanzione di oltre mezzo milione di euro.
Non sono esenti dalle sanzioni del Garante della protezione dei dati personali neppure le associazioni che di solito tutelano esse stesse i cittadini e li difendono dalle violazioni in materia di privacy. Lo ha sperimentato Altroconsumo, che ha ricevuto una multa da 100.000 euro dall’autorità di Piazza Venezia.
L’ospedale che contatta un familiare per urgenti finalità terapeutiche senza rivelare cause e contenuti del trattamento sanitario non vìola la privacy della paziente. Come riporta il Sole 24 Ore del 5 aprile 2022, il tribunale di Ravenna ha infatti annullato l’ordinanza-ingiunzione dell’Autorità per la Protezione dei dati personali, cancellando la sanzione di 50 mila euro che era stata precedentemente inflitta all’Azienda sanitaria locale.
Il Garante privacy di Amburgo ha condannato H&M, la nota multinazionale dell’abbigliamento, per una grave violazione della privacy dei dipendenti verificatasi presso la sede di Norimberga, in Germania (il comunicato stampa in lingua inglese è disponibile nel sito dell’Autorità. Il provvedimento integrale non risulta, allo stato, disponibile, ma da quello che emerge dal comunicato stampa si comprende che il management del centro servizi di Norimberga, dal 2014 al 2019, ha monitorato diverse centinaia di dipendenti, violando – come dichiarato dalla multinazionale nel proprio sito internet – le istruzioni e le line guida aziendali.
Violazione della regola del consenso e delle altre basi giuridiche in cima alla lista degli illeciti più sanzionati. Sono, secondo la ricerca Eset, 276 le ingiunzioni irrogate dai Garanti europei per violazione della base legale del trattamento, con una raccolta media di 627 mila euro per sanzioni.
Chiarire subito il quadro normativo in materia di privacy, tirando fuori dai cassetti il decreto legislativo varato in prima lettura lo scorso 21 marzo e, poi, uscito dai radar. E tradurre in un impegno formale le parole con le quali il Garante ha aperto la strada a un approccio "equilibrato e pragmatico" nella fase di transizione dei primi mesi.
