21/01/2020 - Dati, la p.a. è cattiva custode 

P.a. alla sbarra in tutta Europa per violazioni della privacy. Con il 17% del totale delle sanzioni comminate nel 2019 (pari a 190) è la prima della classifica degli enti sanzionati, classifica che vede al secondo posto il settore delle telecomunicazioni, con 28 procedimenti (14,7%). È quanto emerge dal rapporto statistico dell' Osservatorio di Federprivacy «Sanzioni privacy in Europa 2019», che ha contato le sanzioni pubblicate da fonti istituzionali dei trenta paesi dello Spazio economico europeo (See). Parlando del conto complessivo, ammonta a circa 410 milioni di euro il totale delle sanzioni pecuniarie ingiunte dalle autorità europee di controllo per la protezione dei dati personali.

L' autorità più severa in assoluto è risultata quella del Regno Unito (Ico), che ha irrogato multe per 312 milioni di euro, pari al 76% del totale complessivo delle nazioni prese in esame. Nella graduatoria invece delle autorità più attive, vi sono al terzo posto quella romena (Anspdcp) con 20 sanzioni comminate, seconda quella spagnola (Aepd) con 28, e prima quella italiana con 30 provvedimenti sanzionatori irrogati nel 2019 per un totale di 4.341.990 euro. A proposito dei singoli stati, il rapporto Federprivacy evidenzia che vi sono autorità di controllo che attendono ancora di irrogare le prime sanzioni con il regolamento Ue, come quelle di Irlanda e Lussemburgo, dove hanno la propria sede europea la maggior parte delle multinazionali straniere che trattano dati personali su larga scala.

Tra le infrazioni che sono state più spesso sanzionate, nel 44% dei casi hanno riguardato trattamenti illeciti di dati, nel 18% dei procedimenti sono state riscontrate insufficienti misure di sicurezza, e una multa su cinque è scaturita dalla omessa o inidonea informativa (9%) o dal mancato rispetto dei diritti degli interessati (13%), mentre il 9% delle sanzioni sono scattate a seguito di incidenti informatici o altri data breach. I settori che risultano più colpiti sono la pubblica amministrazione con il 17% del totale delle multe, e le telecomunicazioni con 28 procedimenti sanzionatori (14,7%) sul totale dei 190 comminati nel 2019. Guardando però al valore economico complessivo delle sanzioni, la pubblica amministrazione è al 6° posto. Il settore più colpito è stato quello dei trasporti (quasi il 50% del totale delle sanzioni). I primi due settori (trasporti, alberghiero) hanno ricevuto il 74% delle multe inflitte.

Passando dalla adozione delle ingiunzioni alla successiva fase della esecuzione e cioè della effettiva riscossione, Federprivacy riporta che il Garante italiano, attualmente in regime di prorogatio con poteri limitati alla gestione degli affari di ordinaria amministrazione e quelli indifferibili e urgenti, ha comunque continuato a svolgere regolarmente le proprie attività ispettive, e già alla fine del primo semestre del 2019 aveva proceduto all' iscrizione a ruolo di 779 contravventori con una riscossione complessiva prevista di circa 11 milioni di euro.

I dati Federprivacy completano, in un quadro più analitico e internazionale, e confermano, relativamente al caso Italia, l' indagine svolta da ItaliaOggi (si veda ItaliaOggi del 17 dicembre 2019), dalla quale emergevano 27 ingiunzioni di pagamento di sanzioni pecuniarie adottate dal Garante della privacy dal 1° gennaio 2019 al 14 dicembre 2019. In base ai dati relativi alle ingiunzioni, gli enti più sanzionati nel settore pubblico sono enti locali e scuola, rispettivamente con il 38% e il 31%. Nel settore privato il 72% delle sanzioni è stato irrogato a imprese.

Tutte le sanzioni ingiunte dal Garante italiano sono state irrogate per violazione del vecchio Codice della Privacy (dlgs 196/2003). Le cifre sopra riferite, tra l' altro, sono fisiologicamente destinate a lievitare, una volta che le autorità garanti inizieranno ad applicare le sanzioni del regolamento Ue sulla protezione dei dati n. 2016/679 (operativo dal 25 maggio 2018): l' articolo 83 del Gdpr prevede sanzioni, per singola infrazione, fino a 20 milioni di euro o fino al 4% del fatturato totale mondiale annuo delle imprese. Dunque, una sola sanzione potrebbe coprire e superare il totale delle somme iscritte a ruolo dal Garante italiano nel 2019.