privacy sanzioni 2020

Privacy: nel 2020 inflitte in Europa 341 sanzioni per 307 milioni di euro

 

Nel 2020 le Autorità di controllo europee per la protezione dei dati personali hanno inflitto sanzioni per 307 milioni di euro. La crisi sanitaria non ha fermato nemmeno il Garante per la privacy italiano, al secondo posto nella classifica delle Autorità più attive, con 35 provvedimenti amministrativi.

Dal "Rapporto statistico 2020, sanzioni privacy in Europa" dell'Osservatorio di Federprivacy emerge come il Covid non abbia impedito il controllo della compliance al Regolamento Europeo sulla privacy (GDPR). Nel corso dell’anno, le società europee sono state costrette a pagare multe per oltre 307 milioni di euro.

Sanzioni GDPR in Europa

L’osservatorio ha esaminato le fonti istituzionali dello Spazio economico europeo (See), rilevando nei dodici mesi 341 procedimenti sanzionatori. L’Autorità più attiva risulta essere quella spagnola (Aepd), che ha comminato 133 sanzioni, in media quasi una ogni tre giorni, per un valore di 8 mln di euro totali. Al secondo posto in classifica compare il Garante per la privacy italiano con 35 provvedimenti amministrativi, seguito dall’Autorità rumena che ne ha ordinati 26.

Considerando il valore economico delle sanzioni, l'Autorità francese (Cnil) con soli otto procedimenti ha erogato multe pari a quasi la metà del totale per un valore complessivo di 138,3 milioni di euro. Seguono l'Italia con 58,1 milioni di euro, il Regno Unito con 45 milioni, e la Germania con 37,3 milioni.

Il valore maggiore delle sanzioni irrogate nel 2020 è concentrato nel 2° semestre (86,7%), mentre nel 1° semestre è stato comminato solo il 13,3% del totale. I mesi in cui sono state erogate il maggior numero di multe sono stati giugno e luglio, rispettivamente con 46 e 49 sanzioni, il minimo delle sanzioni (7) è stato invece registrato nel mese di aprile in corrispondenza del primo periodo di lockdown causa Covid-19. Se si guarda il numero delle sanzioni irrogate, il secondo semestre pesa per il 56,1% del totale annuo (191 su 341).

Trattamenti privacy più multati nel 2020

Le sanzioni riguardano nel 59% dei casi veri e propri trattamenti illeciti di dati personali, effettuati in modo non trasparente per l’utente o senza il suo consenso. Quello del telemarketing selvaggio è solo un esempio e sottende ingerenze indebite che vanno oltre il fastidio della telefonata indesiderata, arrivando anche ad attivazioni non lecite di servizi. È sempre più facile ricevere reclami dagli utenti interessati, ormai consapevoli della rilevanza delle informazioni che ogni giorno cedono a terzi, e non è quindi sufficiente avere come fondamento il legittimo interesse alla gestione dei dati: le società europee, per non incorrere in gravi sanzioni, hanno bisogno di una valida base giuridica.
Il mercato digitale è un’opportunità per le aziende, che va però affrontata anche con la giusta sensibilità alla tematica privacy, così da operare in conformità alle normative. Per tale motivo, le imprese ricorrono sempre più frequentemente a consulenti che li guidino e li proteggano dai rischi.

Una violazione su cinque (20%) deriva dall’insufficienza di misure di sicurezza, che viene spesso a galla in seguito al verificarsi di un data breach. Altri esempi di multe sono per il mancato rispetto dei diritti dell’interessato (9%) e per un’informativa sulla privacy inadeguata (nel 3,8% dei casi).

Incidenza economica tipologia violazioni GDPR
Fonte: "Rapporto statistico 2020, sanzioni privacy in Europa", Osservatorio Federprivacy

Settori più multati

Il comparto colpito dal maggior numero di procedimenti nel 2020 è stato quello delle telecomunicazioni, con 69 sanzioni, seguito dal settore dei servizi e da quello del commercio, rispettivamente con 47 e 45 infrazioni, mentre la pubblica amministrazione si è vista arrivare 41 multe delle Autorità di controllo.

Dal punto di vista del valore economico delle sanzioni, i settori dove le sanzioni hanno pesato di più sono stati: internet ed e-commerce con 144,9 milioni di euro di multe (pari al 47% del totale), telecomunicazioni con 62,4 milioni di euro, commercio e attività produttive con 38,1 milioni di euro di sanzioni.

Fonte: "Rapporto statistico 2020, sanzioni privacy in Europa", Osservatorio Federprivacy

In Italia, deroghe Covid limitate

Nel nostro Paese, l'articolo 19 del decreto legge 183/2020 (Milleproroghe) rinvia al 31 luglio 2021 il termine che legittima lo scambio dei dati tra Autorità pubbliche (sanità, protezione civile, enti locali ecc.) ed enti attuatori (anche privati), semplificando inoltre l'informativa e le autorizzazioni a trattare i dati stessi. Questa terza proroga rende possibili i trattamenti dei dati personali indispensabili per le attività di contenimento dell'emergenza e relative misure di profilassi, diagnosi e assistenza sanitaria dei contagiati, oltre che per la gestione emergenziale del Servizio sanitario nazionale. L’attenzione alla privacy non è comunque per niente sospesa, anzi, ma solo conformata per alcuni trattamenti alle esigenze emerse in seguito alla pandemia planetaria.

La stessa norma conferma che restano validi i principi dell'articolo 5 del regolamento UE sulla privacy 2016/679, che esplicita la necessità di tutela dei diritti e delle libertà degli interessati. Questo articolo ha una portata vasta e generica, perché enuncia in generale i principi di correttezza, liceità e proporzione. Quindi, lo scambio di dati può avvenire, ma gli enti devono fare attenzione ed impedire che siano conosciuti da terzi non autorizzati. Sono già sotto il mirino del Garante molte attività di scambio dati tra amministrazioni carpiti da terzi curiosi o di comunicazioni da ente pubblico a privati, suscitati dal timore della diffusione del contagio, ma in assenza di una specifica indispensabilità.

Le leggere semplificazioni normative riguardano, inoltre, le designazioni dei soggetti autorizzati a trattare i dati (ad esempio i dipendenti degli enti): sono obbligatorie, ma durante il periodo di emergenza sanitaria possono essere fatte oralmente. La norma permette infine di non fare l'informativa privacy o di fornire un'informativa semplificata, previa comunicazione orale agli interessati dalla limitazione. Al termine dello stato di emergenza, tutti dovranno rientrare nei ranghi ordinari. Proprio per la portata della disposizione non va dimenticato che le disposizioni sanzionatorie per eventuali illeciti commessi (ad esempio per violazione dei principi dell'articolo 5 del regolamento Ue 2016/679) sono sempre vigenti e che non vi sono norme che abbiano sospeso l'attività di accertamento delle violazioni.

Sanzioni privacy non solo in Europa

Il report 2020 dell’Osservatorio Federprivacy ritiene opportuno segnalare i seguenti procedimenti.

  • In Francia, sanzione di 50 milioni di euro comminata a Google nel 2019 da parte della CNIL e confermata nel giugno del 2020 a seguito del ricorso al Consiglio di Stato francese;
  • Negli USA, sanzione di 80 milioni di dollari comminata alla banca Capital One nel mese di agosto 2020 a seguito di un importante data breach;
  • In Turchia, serie di sanzioni inflitte nel mese di dicembre 2020 a Facebook, Instagram, YouTube, Periscope, e TikTok dalla Turkey’s Information and Communications Technologies Authority (BTK) per la mancata nomina del rappresentante sul territorio richiesto dalla normativa nazionale in materia di protezione dei dati per un importo complessivo di 22,8 milioni (USD);
  • In Canada, sanzione di 9,5 milioni di dollari comminata a Facebook per affermazioni false fuorvianti sulla privacy e sui trattamenti delle informazioni personali dei cittadini canadesi;
  • Nell’Isola di Man, una prima sanzione del Department of Home Affairs per insufficiente riscontro all’esercizio dei diritti degli interessati per un importo di 13.500 euro.

Scarica il report

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI