Parlando di adeguamento al Regolamento UE 679/2016 sulla protezione dei dati e alla normativa privacy è lecito domandarsi dove e a chi sono destinati i pagamenti risarcitori per inosservanze GDPR.
Come ormai noto, infatti, il GDPR ha deciso di perseguire in maniera piuttosto severa i “no compliance”, con un quadro sanzionatorio amministrativo e penale che punta su dissuasive multe pecuniarie tanto salate da decretare persino la chiusura di un’azienda.
Ma quanto sono davvero letali le sanzioni disposte dal Garante?
Indice degli argomenti
Pagamenti risarcitori per inosservanze GDPR: tipologie di violazioni
L’art. 83 stabilisce due principali gruppi di violazioni:
- nel primo rientrano le inadempienze meno gravi che possono arrivare fino a 10 milioni di euro, oppure al 2% del fatturato mondiale annuo dell’esercizio precedente e riguardano le violazioni degli obblighi imposti al titolare ed il responsabile del trattamento, l’organismo di certificazione, Accredia, e l’organismo di controllo dei codici di condotta;
- nel secondo gruppo di violazioni cosiddette importanti (non che le prime non lo siano) sono previste sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale annuo dell’esercizio precedente e riguardano le inosservanze ai principi cardine del GDPR.
L’art. 84, invece, sancisce l’autonomia degli Stati Membri a stabilire le norme sulle altre sanzioni previste in caso di violazioni non sottoposte a misure di carattere amministrativo e pecuniario a norma dell’art. 83, tali sanzioni dovranno comunque essere effettive, proporzionate e dissuasive.
Gli articoli prima indicati vengono però armonizzati nel GDPR con il principio di “One Stop Shop” anche detto “Sportello Unico” introdotto nel Considerando 149, che dispone che i titolari del trattamento abbiano relazioni esclusivamente con l’Autorità di Controllo del paese dove hanno la sede principale e ciò che viene sancito dall’Autorità di controllo “locale” trovi poi applicazione anche negli altri paesi membri: ciò al fine di semplificare la gestione dei trattamenti secondo l’approccio uniforme in tutti i territori.
Pagamenti risarcitori per inosservanze GDPR: alcune ipotesi
Ci si chiede, quindi, se la condivisione dei processi e delle procedure tra gli Stati Membri cammina parallelamente alla condivisione economica degli incassi dovuti ai pagamenti risarcitori delle multe per inadempienze privacy.
Vista la ragguardevole entità delle sanzioni pecuniarie previste dal GDPR e anche dalle fin qui registrate 64 mila violazioni del regolamento nell’UE con circa 56 milioni di multe come notificato dall’illustre International Association of Privacy Professionals (IAPP), riteniamo sia utile approfondire questo argomento, pertanto è iniziata una spasmodica e convulsa ricerca nell’etere ed in biblioteca, abbiamo anche disturbato illustri personalità nel settore privacy, associazioni di categoria, letto articoli giornalistici, codici e leggi alla ricerca di risposte, di possibili casse comuni tra gli Stati Membri, invece di programmate e normate spartizioni dei proventi tra loro ed istituzioni concomitanti come la Guardia di Finanza, commissioni specifiche per le finanze, probabili uffici ispezioni e ricerche ed altre entità reali o ombra; ma davvero nulla di certo è stato identificato.
Uno dei pochissimi trattati in rete con il tema “risarcimenti” lo troviamo scritto dall’Istituto Italiano per la Privacy e la valorizzazione dei dati che scrive un interessante articolo in merito al Garante del futuro sottolineando il fatto che “rischia di diventare inutilmente ricco nei prossimi anni”, aggiungendo che oggi il 50% degli introiti va nelle casse dell’”Autorità”, non definendo se si tratta di quella territoriale nella quale è avvenuta la violazione o all’Autorità Centrale e non chiarendo inoltre dove va il restante 50% degli importi.
Ci siamo confrontati con note personalità privacy, che hanno ammesso di essere totalmente all’oscuro delle ripartizioni economiche degli introiti delle multe (rifiutandosi di essere nominate nel presente articolo) e hanno formulato ipotesi più o meno realistiche; la più fondata ci sembra essere quella che vedrebbe la spartizione del 50% nelle casse comuni delle Autorità Garanti ed il restante 50% al Garante che ha indagato e accertato la violazione condivisa per tutte le istituzioni che hanno contribuito, come la Guardia di Finanza, la Polizia Postale ed altresì enti specializzati nelle attività di controllo, indagini e ricerche. Ricordiamo, tutto ciò sono solo pure illazioni che non trovano purtroppo riscontro in alcun manoscritto, legge e/o articolo.
Ma queste ombre gettate sul tema “risarcimenti”, portano però alla luce un fatto da poco accaduto che vede protagonista il Commissario per la protezione dei dati irlandese nella persona di Helen Dixon, che ha dichiarato al Joint Oireachtas Public Accounts Committee (PAC) ossia il Parlamento Celtico, che eventuali multe per inosservanze GDPR ad Aziende con sede legale a Dublino dovrebbero essere destinate esclusivamente alle casse irlandesi.
Ma se riflettiamo sul fatto che secondo Fiscomania l’Irlanda è il miglior paese dove fare impresa grazie ai suoi regimi fiscali più bassi in Europa detti anche “double Irish strategy”, ma anche per i numerosi incentivi dati alle nuove attività, agevolazioni per le assunzioni, per la formazione e per le imprese che investono in ricerca, ci si spiega come mai i giganti dell’hi-tech scelgano l’Irlanda per le loro attività commerciali, così come Apple, Facebook e Google.
Conseguenza è che le maggiori violazioni al GDPR siano al momento state notificate proprio dal Garante irlandese.
È giusto e doveroso che il concetto di “One Stop Shop” venga rispettato, ma è anche vero che tutte le attività di ricerca, investigazione, notifica e altro siano stati a carico e per merito dell’Irlanda quale capofila e secondo la nostra probabilmente insignificante opinione, a lei dovrebbero andare, almeno in larga parte, i frutti, almeno fino a quando il problema della territorialità genererà un’organizzazione così frastagliata.
Sarebbe probabilmente bastato pensare ad una Corte uni-federale completa anche di Unità Investigativa per rendere il tema “risarcitorio” uguale per tutti.
La situazione in Italia
Noi in Italia possiamo, pertanto, stare tranquilli e dormire sonni profondi come Alessandro Magno e la sua Iliade sotto il cuscino, perché nel nostro territorio mancano colossi commerciali come quelli irlandesi.
Tanto che le uniche sanzioni date dal Garante italiano, mai paragonabili a quelle irlandesi per 50 milioni di euro solo per Google, sono state all’ Associazione Rousseau con provvedimento n. 83 del 4 aprile 2019 per un importo di euro 50.000,00 per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a., e ad uno “sfortunato” medico accusato di aver utilizzato dati di ex-pazienti per propaganda elettorale per il quale, con provvedimento del 14 febbraio u.s., il Garante Privacy italiano ha stabilito la sanzione di euro 16.000,00.
Ma a chi e dove andranno a finire i pagamenti risarcitori delle multe privacy rimarrà un mistero.
Abbiamo così inviato e-mail ufficiali di richiesta chiarimenti a prestigiose e cattedratiche associazioni nazionali e internazionali conosciute per le loro rimarchevoli attività nel settore privacy e da loro aspettiamo risposte, dal momento che al telefono le loro uniche parole sono state “Non saprei, sarebbe necessario normare anche questo aspetto”.
Per definizione per la parola “norma” si intende un singolo precetto morale, giuridico, tecnico riferibile a una formulazione imperativa determinata o corrispondente all’ambito della consuetudine o della generalità, insomma così come il significato della parola “norma” anche l’argomento “risarcimenti” rimarrà epicamente indefinibile.
