La consultazione pubblica indetta dall’EDPB sulle linee guida per armonizzare le sanzioni in UE e qualche dato comparato e settoriale sui primi anni di applicazione  dal GDPR Enforcement Tracker Report di CMS. Da tale report emerge un “iceberg dei casi”: c’è grande visibilità delle sentenze che costituiscono dei precedenti o che comminano alti importi (molte delle quali riferite alle big tech), meno nota è la  casistica “minore” che interessa tutte le imprese.

La consultazione. Società private, enti pubblici, associazioni e tutte le persone interessate avranno tempo fino a lunedì 27 giugno per inviare commenti e proposte di modifica alle nuove linee guide, adottate in via provvisoria dall’EDPB (Comitato europeo per la protezione dei dati), organismo di coordinamento delle autorità garanti della privacy nazionali in Europa, sulle sanzioni comminate per le violazioni del GDPR.

Le nuove regole hanno l’obiettivo di armonizzare le modalità di calcolo delle sanzioni amministrative, per evitare disparità di trattamento tra un Paese europeo e l’altro. L’aggiornamento proposto dai Garanti per la protezione dei dati personali suddivide le modalità di calcolo della sanzione in cinque fasi: la prima è quantitativa, valutazione del numero di casi di condotta sanzionabili e del numero di violazioni; la seconda, una volta individuato un punto di partenza (quantificabile) per il calcolo della sanzione, classifica le violazioni in base alla loro natura, alla gravità della violazione e al fatturato dell’impresa; la terza individua eventuali fattori aggravanti o attenuanti che possono influire sull’importo della sanzione pecuniaria; la quarta definisce il valore massimo della sanzione in base alle disposizioni del GDPR; la quinta analizza se l’importo soddisfa i requisiti di efficacia, dissuasività e proporzionalità previsti dal GDPR. Nella valutazione della deterrenza pesa anche la dimensione aziendale (l’esempio fatto nel comunicato del Garante è la grande multinazionale e la piccola impresa), e l’occasionalità vs  la reiterazione della violazione (es. telemarketing, su cui di recente la nostra autorità ha avviato il lavoro di redazione di un codice di condotta).

L’Enforcement tracker: fra i top 10 di tutti i settori 5 sanzioni alle big tech. Da un interessante rapporto e strumento di tracking comparativo sul GDPR allestito da CMS (network internazionale di avvocati) sui primi anni di applicazione del Regolamento risulta che è sicuramente necessario un allineamento della normativa in materia di sanzioni. E che già nei primi anni di applicazione le violazioni e le conseguenti multe macroscopiche sono comminate agli OTT. Nel settore media, broadcasting, telecom dall’ executive summary del GDPR Enforcement Tracker Report, giunto alla sua terza edizione, risulta che: ad oggi, le multe in questo settore ammontano a 596 milioni di EUR, sulla base di 177 sanzioni in 18 giurisdizioni (+ 476 milioni e + 70 sanzioni rispetto all’ETR 2021). Considerando l’importo aggregato in tutti i settori, pari a circa 1,6 miliardi di euro,  media, telecomunicazioni e broadcasting contribuiscono per oltre un terzo del totale. Includono anche quattro multe nelle prime cinque , tutte comminate ai giganti di Internet alla fine del 2021: la Commissione irlandese per la protezione dei dati ha inflitto la seconda multa più grande (225 milioni di EUR) a WhatsApp per violazione del principio di trasparenza dei dati ; la CNIL francese ha comminato la terza (90 milioni di euro contro Google LLC), la quarta (60 milioni di euro contro Facebook Ireland) e la quinta (60 milioni di euro contro Google Ireland) per pratiche illecite di cookie.

La motivazione più comune per le multe nel settore media, telecomunicazioni e broadcasting rimane una base giuridica insufficiente per le operazioni di elaborazione dei dati, come richiesta dall’art. 6 GDPR. I casi costituiscono un precedente per tutti i gestori di siti web e dimostrano che i sistemi di gestione del consenso ai cookie devono essere riconsiderati. Tali sistemi devono facilitare la scelta per gli utenti, compreso il rifiuto dei cookie. La significativa sanzione contro WhatsApp indica anche l’importanza del rispetto del principio di trasparenza. Le aziende devono elaborare una politica sulla privacy facilmente accessibile e intelligibile per tutte le operazioni di trattamento dei dati rilevanti, inclusa la condivisione dei dati con le società del gruppo.

Fonte CSM – GDPR Enforcement Tracker Report 2022

La sanzione GDPR più alta fino ad oggi, per un importo di 746 milioni di euro, è stata inflitta dal Garante in Lussemburgo nei confronti di Amazon Europe Core S.à.r.l. nel luglio 2021 per mancato rispetto dei principi generali di trattamento dei dati (ETid-778). Seguono la sanzione irlandese contro WhatsApp Ireland Limited (circa 225 milioni di euro, settembre 2021, ETid-820) e la sanzione francese di Google (circa 90 milioni di euro, dicembre 2021, ETid-978).

La motivazione più frequente per la sanzione sanzione è la “base giuridica insufficiente per il trattamento dei dati”. Segue la categoria ombrello “principi generali di trattamento dei dati” (art. 5 GDPR. 223 sanzioni, media 3,5 milioni di euro) e “misure tecniche e organizzative insufficienti per garantire la sicurezza delle informazioni” (198 sanzioni, media 400.000 EUR) e “adempimento insufficiente dei diritti dell’interessato” (95 sanzioni, media 180.000 EUR).

Italia seconda per numero di multe comminate dopo la Spagna: ma sul record incidono i casi resi visibili. La Spagna è, per il terzo anno consecutivo, in testa alla classifica di gran lunga per numero di multe per Paese, seguita ancora una volta da Italia e Romania. Lussemburgo, Irlanda e Francia sono in testa alla classifica degli importi medi delle multe e della somma totale delle multe per paese, riflettendo ancora una volta l’impatto delle multe da record per le big tech imposte nel 2021. Le multe del GDPR ricordano un iceberg, dice il rapporto: in cima ci sono i casi che costituiscono precedente/record di multe. Al di sotto di essi si trovano gli altri casi pubblicamente noti, ovvero quelli elencati nell’Enforcement Tracker. Come per il vero iceberg, tuttavia, il vero pericolo può nascondersi sotto la superficie dell’acqua: è qui che si trovano le fattispecie “invisibili” che non sono pubblicati dalle DPA (Data Protection Authorithies) e conosciuti in altro modo.