Le sanzioni privacy sono un ginepraio. Per tentare di trovare il bandolo della matassa il Comitato Europeo per la protezione dei dati personali (Edpb), ha diffuso in consultazione pubblica le Linee guida n. 4 del 12/5/2022 sulle sanzioni del Gdpr (Regolamento Ue 2016/679). Sono, però, Linee Guida che costringono i garanti della privacy a districarsi in una babele di calcoli.
Dolo significa volontà, intenzionalità della condotta. Il dolo si può desumere da alcune circostanze esterne. Tra le circostanze indicanti il carattere doloso di una violazione, i garanti europei (WP29) hanno inserito il trattamento illecito autorizzato esplicitamente dall'alta dirigenza del titolare del trattamento oppure effettuato nonostante i pareri del responsabile della protezione dei dati o ignorando le politiche esistenti, per esempio ottenendo e trattando dati relativi ai dipendenti di un concorrente con l'intento di screditare tale concorrente sul mercato.
Rebus sanzioni privacy in caso di estinzione della persona giuridica che ricopre il ruolo di titolare del trattamento. In materia di privacy la responsabilità delle sanzioni va attribuita, infatti, al titolare del trattamento e, quindi, quando si parla di un ente, all'ente stesso. Questa regola è seguita dalla giurisprudenza civile (si veda per esempio la Corte di cassazione, con le ordinanze n. 18292/2020 e n. 8184/2014 o, ancora la pronuncia n. 13657/16). Con esse si statuisce che, in materia di privacy, si deroga al principio della imputabilità personale della sanzione e si configura un'autonoma responsabilità della persona giuridica. Cioè risponde l'ente e non un trasgressore persona fisica.
Una multa di 45mila euro è stata comminata dal Garante Privacy ad un Comune siciliano per aver installato alcune telecamere per il controllo della raccolta differenziata dei rifiuti in violazione della disciplina che tutela i dati personali.
La SDPI, l'ispettorato statale per la protezione dei dati (una delle due autorità di controllo presenti in Lituania) responsabile del monitoraggio dell'applicazione del Gdpr e della legge sulla protezione dei dati, ha erogato una sanzione di 15.000 euro all’amministrazione Comunale di Vilnus.La sanzione è stata inflitta a causa della mancanza di misure tecniche ed organizzative adeguate nel trattamento dei dai relativi ad un minore adottato.
Privacy Ue a tinte tricolori. Il decreto legislativo di armonizzazione dell'ordinamento italiano al Regolamento Ue 2016/679 (operativo dal 25 maggio 2018) ripesca nella sostanza gran parte del Codice della Privacy (dlgs 196/2003), che formalmente è abrogato per intero. Passano il guado, tra gli altri, i regolamenti privacy per i dati sensibili del settore della pubblica amministrazione, le norme di tutela delle società e persone giuridiche contro le telefonate indesiderate; previsti, infine, sconti sulle sanzioni amministrative per le violazioni amministrative del vecchio codice.
La competente autorità di controllo per la protezione dei dati ha comminato una multa record da 746 milioni di euro ad Amazon per violazioni della privacy correlate alle sue pratiche pubblicitarie. Si tratta della sanzione più alta in assoluto da quando è stato introdotto il Gdpr, che da sola ammonta a più del doppio dei 307 milioni di euro di sanzioni che erano state complessivamente irrogate lo scorso anno.
Le informazioni contenute in registri pubblici, liberamente consultabili dai professionisti nell’ambito della propria attività, non possono essere così utilizzate per attività promozionali. Il principio di finalità (o di limitazione della finalità) significa per i professionisti e per le aziende che il trattamento dei dati personali deve essere effettuato per una finalità specifica e ben definita e solo per scopi ulteriori, specifici e compatibili con la finalità iniziale.
Il governo ungherese ha annunciato l’intenzione di sospendere le disposizioni della normativa UE sulla protezione dei dati personali, prevista dal GDPR, altrimenti conosciuto come Regolamento generale sulla protezione dei dati personali, fino a quando lo “stato di emergenza” non sarà cessato. Le nuove misure, annunciate il 4 maggio, includono la sospensione dei diritti di accesso e di cancellazione delle informazioni personali e la sospensione del potere di presentare un reclamo o di esercitare il diritto a un ricorso giurisdizionale in materia di privacy.
L’ordinanza ingiunzione nei confronti di Deutsche Bank S.p.A. del 16 giugno 2022 offre la possibilità di analizzare nuovamente una tema che Titolare e Responsabile del Trattamento non devono sottovalutare: il riscontro alle istanze di esercizio dei diritti.
