Privacy: scattano le sanzioni. La formazione tra i principali obblighi per essere “compliant”

Scattano le sanzioni in ambito GDPR: sono trascorsi ormai quasi due anni dall’effettiva applicabilità del Regolamento europeo in materia di protezione dei dati (GDPR) e il bilancio delle sanzioni applicate dalle Autorità in ambito europeo ammonta alla cifra non trascurabile di 114 milioni di euro.

In Europa….

La più importante è quella arrivata lo scorso anno dal CNIL (Garante francese per la protezione dei dati) nei confronti di Google: 50 milioni di euro per la configurazione dei nuovi dispositivi Android, caratterizzata da “mancanza di trasparenza, informazioni adeguate e mancanza di un valido consenso un merito alla personalizzazione degli annunci”, nei riguardi degli utenti.

Nel frattempo, nel Regno Unito si sta valutando l’ipotesi di infliggerne una multa da 183 milioni di sterline a IAG, gruppo che controlla la compagnia aerea British Airways, per una violazione risalente all’estate 2018, a causa della sottrazione di informazioni dai propri sistemi riguardanti transazioni economiche relative all’acquisto dei biglietti, informazioni personali comprese.

…e in Italia….

In Italia l’applicazione delle sanzioni relative al GDPR riguarda principalmente due casi, ossia quella comminata al M5S per la piattaforma di e-voting Rousseau, e la recentissima sanzione di 11,5 milioni di euro irrogata ad Eni Gas e luce (Egl) per Telemarketing indesiderato e attivazione di contratti non richiesti.
Fino a poco tempo fa, (secondo quanto emerso da uno studio incentrato sull’attività ispettiva condotta dal nostro Garante Privacy), l’Italia occupava il primo posto nella classifica per numero di sanzioni applicate, ma la gran parte era relativa alla vecchia disciplina.
Ora non si scherza più!

Più professionalità, meno formalità

Ricordiamo che il GDPR conferisce alle autorità il potere di stabilire sanzioni dall’ammontare che può toccare il 2% e in alcuni casi il 4% dei profitti generati da un’azienda a livello globale in un anno (GDPR, art.83 par 4 e 5). Tali sanzioni scattano qualora, a seguito di controlli da parte dell’Autorità, l’organizzazione interna non risulti pienamente compliant alla normativa europea.
A tal proposito è fondamentale la definizione di un piano formativo in grado di armonizzare le competenze interne delle diverse funzioni coinvolte, indispensabile per un corretto processo di adeguamento alla normativa in materia di protezione dei dati personali, considerando lo spirito funzionale che anima il GDPR.

La formazione, oltre a costituire un “prerequisito” per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni, dovrebbe essere finalizzata a illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche e informatiche adottate, nonché le responsabilità e le sanzioni. In una parola: ad acquisire maggiore consapevolezza, nell’ottica della piena accountability, prevista dal GDPR.

Formazione: obbligo e opportunità

L’obbligo di formazione del personale non deve essere inteso ovviamente come un mero adempimento formale, motivato dal solo timore di incorrere in sanzioni[1]. Un’appropriata formazione multidisciplinare deve essere considerata un’opportunità per l’organizzazione e consente agli “addetti ai lavori” di comprendere i potenziali rischi correlati al trattamento di dati personali e di agire nel pieno rispetto delle regole in materia.

La selezione degli strumenti normativi e operativi, le modalità per applicare le corrette misure di sicurezza all’interno della propria organizzazione saranno oggetto del Mastercourse Anorc il percorso formativo di eccellenza di ANORC, incentrato su  gestione, conservazione e protezione dei contenuti digitali dedicato a Imprese, PA e Professionisti, e sviluppato da alcuni dei maggiori esperti del settore sotto la direzione scientifica dell’avvocato Andrea Lisi. Il calendario della sessione primaverile, che avrà inizio il prossimo 18 febbraio a Roma (quella autunnale sara’ a Milano a ottobre) prevede lo svolgimento di 3 moduli con una formula personalizzabile.
Vi invitiamo a consultare il programma al seguente link.


[1] In caso di mancato adempimento formativo, infatti, si può incorrere in sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente, ai sensi dell’art. 83, par. 4 del Regolamento.

Immagine: Photo by meo from Pexels