Entra in vigore il Gdpr: quali sono le sanzioni per le aziende

Le multe possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo. Il regolamento prevede diverse aggravanti e alcuni "sconti". Ma molto dipenderà dalle scelte delle autorità nazionali

Il 25 maggio entra in vigore il Gdpr (General data protection regulation). È il nuovo regolamento europeo sulla protezione dei dati personali: un cambiamento importante, che spinge cittadini Ue, imprese e autorità di vigilanza a diverse novità e correzioni, anche sostanziali.

Le sanzioni per le imprese

A maggiori obblighi (una più trasparente gestione dei dati e responsabilità dirette in caso di falle informatiche) corrispondono sanzioni più rigide. L'indirizzo è comune, su base europea, con linee guida identiche per tutti i Paesi coinvolti. Ma l'applicazione sarà su base statale, perché gestita dai singoli organismi nazionali (nel caso dell'Italia dall'Autorità garante per la protezione dei dati personali). Sarà quindi particolarmente significativo il passaggio dalla carta alla prassi. Il punto di partenza è l'articolo 83 del Gdpr, che contiene le “condizioni generali per infliggere sanzioni amministrative pecuniarie”: devono essere “effettive, proporzionali e dissuasive”. E devono essere valutate “per ogni singolo caso”. C'è quindi forte discrezionalità, anche perché le autorità devono badare a una serie di elementi che inaspriscono o alleggeriscono le sanzioni.

Gdpr, sconti e aggravanti

Il Gdpr indica la necessità di valutare “la natura, la gravità e la durata della violazione”. Che tra le altre cose si pesa in base al numero degli utenti interessati, al danno subito e all'oggetto dell'infrazione. Altra aggravante è “il carattere doloso o colposo della violazione”. Cioè se esiste una chiara responsabilità o, peggio ancora, la volontà di infrangere le norme. Le aziende possono rendere la propria posizione meno problematica se dimostrano di avere adottato “misure tecniche e organizzative” adeguate e di aver agito per “attenuare il danno subito dagli interessati”. Per uno “sconto” sarà valutato “il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi”. E anche “la maniera in cui l'autorità di controllo ha preso conoscenza della violazione”. Tradotto: sanzioni più leggere per chi indica le violazioni in modo tempestivo, molto più pesanti se invece la segnalazioni non arriva dai responsabili dell'azienda. Saranno punite con multe più salate le imprese che hanno già “eventuali precedenti”. A questo elenco di fattori ne vanno aggiunti altri “eventuali” e “applicabili alle circostanze caso per caso”: ad esempio, spiega l'articolo 83, “i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione”.

Quanto valgono le sanzioni

Il Gdpr inasprisce le sanzioni amministrative, che possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale totale annuo dell'esercizio precedente. Se però le violazioni che riguardano trattamento e trasferimento dei dati sono particolarmente gravi, oppure se una società non obbedisce a un ordine delle autorità europee, le sanzioni possono arrivare anche a 20 milioni di euro o al 4% del fatturato mondiale.

L'impegno per il Garante

La valutazione dei casi intensificherà il lavoro delle singole autorità nazionali. In altre parole, a prepararsi al Gdpr non devono essere solo le aziende ma anche gli organismi di controllo. Sono pronti? Per loro stessa ammissione, no. Reuters ha inviato un questionario ai garanti europei per la protezione dei dati personali. In 24 (18 autorità statali e sei sulle 16 federali tedesche) hanno risposto. In 17 hanno affermato di non essere preparati. Mancano fondi, oppure lo staff è insufficiente. In 11 si aspettano di reperirli in in futuro, ma non certo in tempo per essere a pieno regime il 25 maggio. Antonello Soro, presidente dell'Autorità garante per la protezione dei dati personali in Italia, ha affermato di avere a disposizione per il 2018 un budget di 25 milioni di euro (la metà del necessario) e 122 persone (ne servirebbero 300). Una versione simile a quella di molti suoi colleghi. Sempre rispondendo al questionario di Reuters, Viljar Peep, il capo dell'Estonian Data Protection Inspectorate, ha individuato un punto critico: vista la discrezionalità e le risorse in campo, la qualità dell'applicazione del Gdpr dipenderebbe dalla “cultura amministrativa” dei funzionari. Con il rischio di generare, almeno all'inizio, un quadro frammentato tra i diversi Paesi.