I Garanti privacy europei hanno staccato 410 milioni di euro di sanzioni nel 2019, secondo un rapporto Federprivacy uscito nei giorni scorsi, ma è un bilancio a chiaro oscuri. Soprattutto per l’Italia, dove il nostro Garante ha sì dato il più grande numero di multe in Europa, ma mediamente di basso importo e risulta almeno in parte ostacolato dall’impasse politica sulle nuove nomine.
Intanto, certo, è un dato di fatto che nel 2019 le sanzioni privacy sono state consistenti, nel complesso. E questo anche grazie all’entrata in vigore, da maggio 2018, del Gdpr, il nuovo regolamento privacy europeo che sta scuotendo il mercato e dando nuovi forti diritti ai consumatori.
L’Italia ha deciso 30 sanzioni per un valore totale di 4,3 milioni di euro. Questo numero – che come detto è il più alto in Europa – segnala il buon livello di attività che il nostro Garante ha tenuto. Già nel primo semestre 2019, inoltre, aveva individuato 779 contravventori su cui non ha ancora stabilito le sanzioni, che alla fine dei procedimenti avranno un valore di 11 milioni di euro (riferisce Federprivacy). Se ne parlerà nel 2020.
Il vero primato nella classifica è del Regno Unito, probabilmente: 312 milioni di euro in sanzioni fatte nel 2019, pari al 76 per cento del totale europeo. Riguardo alle infrazioni più spesso sanzionate in Europa, nel 44 per cento dei casi si è trattato di trattamento illecito di dati, nel 18 per cento sono state riscontrate insufficienti misure di sicurezza. Altre sanzioni riguardano omessa o inidonea informativa agli utenti (9%) o mancato rispetto dei diritti degli interessati (13%), mentre il 9% delle sanzioni sono scattate a seguito di incidenti informatici e “data breach”.
Nessuna delle sanzioni italiane utilizza inoltre il Gdpr (riguardano infrazioni rilevate prima della sua entrata in vigore); unica eccezione quella per la piattaforma di voto del M5S gestita dall’associazione Rousseau e di appena 50mila euro. A ben vedere, nemmeno in questa sanzione c’è la forza vera del Gdpr: è stata determinata in base a principi che c’erano già nelle norme precedenti al nuovo regolamento europeo. Il Gdpr può fare la differenza perché introduce nuovi principi e diritti per i consumatori, con sanzioni fino a 20 milioni di euro o fino al 4 per cento del fatturato. Il blocco delle sanzioni Gdpr è “dovuto in parte anche alle nomine del Collegio dei Garanti, in attesa di essere rinnovate da giugno scorso”. Situazione “che non permette di avviare azioni forti applicative del Gdpr“, dice l’avvocato Andrea Lisi. Nelle ultime ore le forze politiche hanno accelerato sugli accordi per le nomine da votare in Parlamento. Ad oggi la data più probabile sembra quella del 6 febbraio. La votazione dei nuovi componenti del Garante è stata già calendarizzata per questa data in Senato e la prossima settimana dovrebbe arrivare la conferma anche dalla Camera per convergere sul 6 febbraio. La maggioranza sta cercando la quadra anche per far passare la norma (già bocciata in Legge di Bilancio) per portare a cinque i membri del Garante (da quattro) e che affida la nomina del suo presidente al presidente del Consiglio. La norma sarà presentata ora in sede di conversione in legge del decreto Milleproroghe, ma non è ancora certo che andrà in porto: un po’ perché è una forzatura (non è una proroga) e un po’ perché forse non ci saranno i tempi per farlo prima del 6 febbraio.
Lo stesso giorno dovrebbe avvenire la nomina dei nuovi membri dell’Agcom, bloccati in uno stallo analogo.
È molto importante, non solo per i diritti dei consumatori ma anche per le aziende italiane, che arrivi presto il nuovo Garante. “Per poter valutare appieno l’efficacia delle sanzioni previste dal GDPR e dal decreto di adeguamento italiano, occorrerà necessariamente attendere l’entrata in carica del nuovo Collegio del Garante”, afferma infatti Fulvio Sarzana di S.Ippolito, avvocato tra i massimi esperti italiani di diritto dell’informatica e delle telecomunicazioni.
In questo regime di proroga, “l’Autorità ha poteri limitati alla gestione degli affari di ordinaria amministrazione e quelli indifferibili e urgenti. Può sì continuare a svolgere regolarmente le proprie attività ispettive – continua Sarzana – ma le eventuali sanzioni, pure possibili, sarebbero sempre passibili di ricorso da parte delle aziende, a causa della precarietà dei poteri dell’Autorità”.
E c’è un altro problema: l’impasse sta creando un clima di incertezza, e quindi di apprensione, sulle aziende in vista delle sanzioni future.
“Prima del Gdpr in Italia le aziende potevano sapere in anticipo l’entità minima o massima di una multa, in base al tipo di infrazione rilevata dalla Guardia di Finanza. Il Gdpr invece ne stabilisce solo il valore massimo. Le aziende possono sapere l’importo effettivo solo dopo che il Garante ha emesso la sanzione”, continua Sarzana.
Il problema adesso è che lo stallo del Garante sta ritardando anche la creazione di una “giurisprudenza” riguardo alle sanzioni Gdpr; in assenza di questo storico, insomma, “non è possibile capire ancora quale sia l’orientamento italiano sulla loro entità”, dice Sarzana.
“Questo regime così severo, senza che sia resa disponibile una casistica significativa sui criteri di applicazione delle sanzioni (pur prevista in via astratta dalle norme), rende da un lato difficile valutare ad oggi la reale valenza delle sanzioni previste dal Gdpr, e dall’altra rende concreto il rischio di disapplicazione delle norme stesse”, spiega Sarzana.
Insomma, tutto l’opposto di quello che voleva il legislatore europeo nell’ideare il regolamento.
Ci sono ombre sull’applicazione del Gdpr anche da una prospettiva più ampia, europea e mondiale. Tra le autorità di controllo che non hanno ancora irrogato sanzioni dopo l’entrata in vigore del Gdpr, ci sono infatti quelle di Irlanda e Lussemburgo – come si legge nel rapporto Federprivacy.
Ed è un’assenza pesante, perché in questi Paesi hanno la sede europea la maggior parte delle multinazionali straniere che trattano dati personali su larga scala (Google, Facebook). Quelle autorità hanno quindi un ruolo di capofila in possibili procedimenti sanzionatori che possono fare la differenza per il business di internet e i diritti dei consumatori.
Ricordiamo quanto sia crescente l’importanza dei dati digitali, che raccolti nelle grandi piattaforme e analizzati da algoritmi sono utilizzabili per influenzare scelte commerciali ed elettorali su vasta scala.
Per questo motivo, molti esperti notano come la privacy sia diventata pietra angolare della tutela di diritti fondamentali e ago della bilancia dei mercati.
Le attese delle Authority dell’Irlanda e del Lussemburgo si spiegano proprio così: l’applicazione del Gdpr in questi ambiti può fare la differenza in generale sugli attuali equilibri; non solo in Europa ma su scala globale. Le regole del Gdpr sono diventate un faro nel mondo e imitate da un crescente numero di Paesi: dal primo gennaio è in vigore la super restrittiva normativa privacy della California, espressamente ispirata al nostro Gdpr. Gli USA lavorano adesso alla prima norma federale sulla privacy (unico Paese al mondo a non averne una, tra quelli avanzati).
Sotto molti profili sarà quindi probabilmente il 2020 l’anno di svolta per i diritti degli utenti e il futuro di business planetari. Speriamo che l’Italia giochi da protagonista la partita del secolo, senza più indugi.