Sanzioni del Garante della Privacy nei primi sei mesi del 2023

Lavoro e Sanità sono i settori con più sanzioni privacy nel primo semestre 2023. Se, però, alle sanzioni si sommano prescrizioni e ammonimenti del Garante, la prima piazza è occupata dal giornalismo, seguito da Internet e social (trascinati in alto dai procedimenti sul diritto all’oblio) e, poi, dai datori di lavoro.

 

Il bilancio dei primi sei mesi del 2023 dell’attività del Garante della Privacy dagli atti pubblicati

È il bilancio dei primi sei mesi del 2023 di attività del Garante della privacy, secondo quanto risulta da un’analisi degli atti pubblicati sul sito internet dell’autorità diffuso dal quotidiano “Italia Oggi“.

La ricostruzione numerica mette in risalto anche di quali argomenti e adempimenti il Garante si sia occupato nello svolgimento dei suoi compiti correttivi e sanzionatori. Violazioni relative ai dati particolari (sensibili, genetici e biometrici), agli obblighi di informativa e di raccolta del consenso (questi ultimi due istituti, a pari merito) occupano le prime tre caselle delle sanzioni. La classifica aggregata di sanzioni più prescrizioni più ammonimenti, relativi agli adempimenti, vede in cima i procedimenti relativi ai dati particolari e quelli relativi al diritto all’oblio.

La più aggiornata rilevazione dei numeri di atti e provvedimenti del Garante indica, dunque, l’andamento dell’attività di vigilanza e controllo e le cifre servono alle imprese e alle pubbliche amministrazioni per capire in quali ambiti si muove l’autorità di controllo e come comportarsi di conseguenza.

 

Ottanta sanzioni pecuniarie in un semestre

Tipi di atti. La parte del leone spetta alle sanzioni pecuniarie: relativamente al primo semestre 2023, il sito del Garante ne pubblica 80. A esse si aggiungono 42 provvedimenti, con i quali il Garante ha prescritto adempimenti per regolarizzarsi (dette, appunto, prescrizioni). Fanalino di coda per gli ammonimenti (rimproveri formali e ufficiali, senza ingiunzione del pagamento di somme di denaro): raggiungono quota 24.

La prevalenza delle sanzioni pecuniarie non stupisce. Il Gdpr (regolamento Ue n. 2016/679) ha ridotto al lumicino compiti e poteri autorizzatori delle autorità di controllo, avendo caricato direttamente sulle imprese e sulle Pubbliche Amministrazioni l’onere di individuare i comportamenti corretti, deducendoli da norme generali del Gdpr. Se imprese e PA possono chiedere autorizzazioni al Garante solo in pochissimi casi, allora i procedimenti sanzionatori sono l’occasione, per quanto drammatica, nella quale scoprire se le scelte autonomamente adottate sono conformi alle regole astratte della privacy.

Così è statisticamente normale che i singoli enti, pubblici e privati, entrino in contatto con il Garante quando si è verificato un problema, da cui può scaturire una reazione sanzionatoria e/o correttiva da parte dello stesso Garante. E poiché l’applicazione delle sanzioni è atto dovuto, salvo l’eccezione delle violazioni minori, ecco spiegata la prevalenza statistica delle sanzioni stesse. Sanzioni, ammonimenti e prescrizioni, in effetti, appartengono alla stessa famiglia dei compiti/poteri correttivi assegnati dal Gdpr alle autorità garanti della privacy.

 

Il dettaglio dei provvedimenti sanzionatori

Adempimenti. Nel primo semestre 2023, il maggior numero di sanzioni pecuniarie (18), irrogato dal Garante della privacy, ha riguardato, come detto, violazioni commesse nel trattamento di particolari categorie di dati (e cioè dati sensibili, genetici e biometrici), le violazioni della regola del consenso dell’interessato (10) e dell’obbligo di dare a quest’ultimo idonee informative (10). Le sanzioni relative ad archivi e banche dati sono state 8 e altrettante quelle relative a dati telefonici e telematici. Le violazioni relative alla conservazione di dati (e cioè il tempo massimo di detenzione delle informazioni) hanno ricevuto 7 sanzioni e lo stesso numero è stato registrato per gli illeciti commessi nei trattamenti mediante uso di impianti di video-sorveglianza.

Sulle prescrizioni invece primeggia il diritto all’oblio

La classifica delle prescrizioni del Garante vede invece primeggiare le violazioni del diritto di oblio (21 e dei dati giudiziari (10). Di molto staccate le violazioni, relative a dati particolari (4), che hanno meritato nel primo semestre 2023 le prescrizioni del Garante. Sono molto bassi, in generale, i numeri degli ammonimenti, con la prima piazza assegnata alle violazioni relative ai dati particolari, con appena 3 provvedimenti.

Cumulando sanzioni, prescrizioni e ammonimenti, il primato (negativo) spetta a pari merito (25 provvedimenti) alle violazioni relative a particolari categorie di dati e a quelle relative al diritto all’oblio. Seguono le violazioni dell’obbligo di acquisire il consenso dell’interessato (13), le violazioni relative ai dati giudiziari (12) e, con 11 provvedimenti per ciascun gruppo, quelle riguardanti archivi e banche dati, conservazione di dati, dati telefonici e telematici e obbligo di fornire l’informativa all’interessato. A fondo classifica si trovano, le violazioni degli adempimenti in caso di data breach e cioè attacchi informatici o simili (7) e, con 6 provvedimenti ciascuno, le violazioni degli adempimenti relativi alle misure di sicurezza, quelle commesse nel corso dell’utilizzo di nuove tecnologie e quelle consistenti in comunicazioni indesiderate.

Consensi. Peraltro, va osservato che occorre aggregare le violazioni relative agli adempimenti connessi. È opportuno, quindi, sommare le violazioni relative a informative e consenso, le quali, insieme, hanno il primo posto per numero di sanzioni, raggiungendo il numero di 20 ingiunzioni, e il secondo posto assoluto con 24 provvedimenti. Così le violazioni dei principali diritti degli interessati (avere il governo delle informazioni, previa conoscenza degli intendimenti dei cosiddetti titolari del trattamento) si rivelano in tutta la loro grave entità.

Non deve stupire, invece, il numero bassissimo (2) di sanzioni per violazioni dei principi del trattamento (accountability): i principi del trattamento (articolo 5 Gdpr) vengono specificati dai singoli precetti del Regolamento Ue 2016/679 e, quindi, le relative sanzioni sono ingiunte a riguardo delle violazioni delle norme speciali.

 

I soggetti destinatari dei provvedimenti, datori di lavoro e giornalisti in primis

Soggetti coinvolti. Il maggior numero di sanzioni pecuniarie è stato irrogato ai datori di lavoro (16) e agli organismi sanitari/enti di ricerca scientifica (15). Seguono operatori del settore del giornalismo (11), del marketing (10) e le pubbliche amministrazioni (9). Imprese, condomini, ordini professionali e associazioni sono all’ultimo posto (1 sanzione per ciascun gruppo).

Il maggior numero di prescrizioni, quale conseguenza dell’alto numero dei procedimenti relativi al diritto all’oblio, risulta appannaggio di Internet e social media (17), seguiti dal giornalismo (14). Molto staccata si trova la terza classificata e cioè la pubblica amministrazione (2). Quest’ultima ha, però, ricevuto il maggior numero di ammonimenti (6), mentre i datori di lavoro ne hanno collezionati 3. Componendo sanzioni, prescrizioni e ammonimenti il primato (negativo) spetta al giornalismo (25 provvedimenti). La graduatoria complessiva prosegue con internet e social media (24), datori di lavoro (20), pubblica amministrazione (17), sanità e ricerca scientifica (17).

Il marketing è stato destinatario di 12 provvedimenti (10 le sanzioni). Nella parte bassa della graduatoria troviamo banche (5) e telecomunicazioni (3).

close
Blog Giuridico
VUOI RIMANERE AGGIORNATO?

Iscriviti per ricevere una email ogni volta che verrà pubblicato un articolo in Blog Giuridico

Condividi sui Social

Potrebbero interessarti anche...

0 Commenti
Inline Feedbacks
View all comments