Qual è il prezzo della non conformità al GDPR?

11,5 milioni di euro: questo il valore complessivo delle sanzioni pecuniarie irrogate dal Garante per la Privacy con due distinti provvedimenti ad una primaria società operante nel settore energetico, accusata di plurime violazioni del nuovo Regolamento Europeo sulla Protezione dei Dati Personali.

Le violazioni contestate dal Garante per la Protezione dei Dati Personali

a) il marketing effettuato senza il valido consenso degli interessati

Con il primo provvedimento, datato 11 dicembre 2019, l’Autorità ha sanzionato in primis l’effettuazione di telefonate pubblicitarie verso persone che non avevano prestato alcun valido consenso informato alla ricezione di tali chiamate, ovvero che a ciò avevano fatto opposizione.

Il Garante ha ritenuto altresì illecita la mancata predisposizione di misure idonee a garantire la rapida soddisfazione dei diritti degli interessati, nonché la conservazione di taluni dati personali per un periodo di tempo troppo lungo rispetto a quanto effettivamente necessario per il conseguimento delle finalità del relativo trattamento.

b) la violazione del principio di responsabilizzazione nell’ambito dei processi di acquisizione di clientela

Con un secondo, contestuale provvedimento, il Garante ha ritenuto che la società non avesse adeguatamente rispettato, nell’ambito dei processi di acquisizione della clientela, il principio di responsabilizzazione imposto dall’art. 25 del GDPR nonché i principi di integrità e riservatezza dei dati personali.

In particolare l’Autorità ha stigmatizzato l’omessa implementazione di misure tecniche ed organizzative (quali programmi di formazione del personale, attività di audit etc.) idonee a prevenire i trattamenti illeciti commessi da un proprio responsabile del trattamento, il quale – in violazione delle istruzioni impartite dalla società – avrebbe attivato contratti per la fornitura energetica all’insaputa degli interessati, utilizzando peraltro dati personali inesatti o non aggiornati.

L’applicazione delle nuove regole in materia sanzionatoria

Com’è ormai noto, il nuovo Regolamento europeo attribuisce alle autorità di controllo nazionali il potere di reprimere le violazioni delle norme in materia di data protection irrogando sanzioni pecuniarie che, nei casi più gravi, possono raggiungere i 20 milioni di euro – ovvero, per le imprese, il 4% del fatturato mondiale annuo dell’esercizio precedente, laddove superiore a tale soglia.

Nel determinarne in concreto l’entità, in quest’occasione l’Autorità ha fatto applicazione dei nuovi parametri prescritti dall’articolo 83 del GDPR, guidata dal principio per cui le sanzioni debbono essere effettive, proporzionate e dissuasive in ogni singolo caso.

In relazione alle condotte oggetto del primo provvedimento, in particolare, il Garante ha ritenuto congrua la somma di 8,5 milioni di Euro, tenendo tra l’altro in considerazione l’ampia portata dei trattamenti effettuati in violazione del quadro normativo, la particolare gravità delle infrazioni, l’ottenimento di vantaggi economici in conseguenza di tali condotte, il fatturato dell’impresa nonché l’ormai ampio periodo di tempo trascorso dal momento in cui la nuova disciplina europea è divenuta vincolante e pienamente applicabile.

Nel sanzionare con l’importo di 3 milioni di euro le condotte contestate con il secondo provvedimento, invece, l’Autorità ha tra l’altro evidenziato la natura particolarmente grave delle violazioni ed il comportamento significativamente negligente della società, attribuendo al contempo valore attenuante alla costante cooperazione prestata nel corso dell’istruttoria ed alla tempestiva adozione di misure correttive delle carenze rilevate.

In aggiunta alle sanzioni pecuniarie, il Garante ha poi ingiunto alla società l’adozione di ulteriori misure correttive, in ossequio a quanto previsto dall’art. 58 GDPR.

Come gestire il rischio delle sanzioni?

I provvedimenti in commento – i quali, si rammenta, sono impugnabili presso l’Autorità Giudiziaria ordinaria entro 30 giorni dalla loro notificazione – ben evidenziano l’incisività delle nuove regole in materia sanzionatoria, nonché la particolare efficacia nella relativa applicazione da parte del Garante per la Protezione dei Dati Personali.

Al fine di limitare il rischio di applicazione di onerose sanzioni quali quelle ora esaminate, è sempre più evidente come la via maestra rimanga, per le imprese, l’adeguamento delle operazioni di trattamento di dati personali effettuate alle prescrizioni contenute nel GDPR.