La figura del Garante per la Protezione dei Dati Personali ha senz’altro acquisito un certo rilievo negli ultimi mesi. Lo si può identificare come il giudice supremo, colui che vigila sulla corretta applicazione della normativa sulla privacy -il ben noto GDPR- e che ne prende i provvedimenti in caso di non rispetto. In precedenti occasioni in cui il Garante è stato interpellato, è trapelata una posizione un po’ incerta e/o ambigua circa il suo ruolo di “bacchettone” alla luce di quanto previsto dal GDPR. Cerchiamo tuttavia di capire con chi abbiamo a che fare analizzando l’attività svolta dal Garante nell’anno passato. I dati che seguono sono stati forniti dal Garante stesso tramite il suo report annuale.
Un’attività ampia e articolata
Va premesso che il ruolo del Garante prevede un’attività molto ampia che non riguarda esclusivamente le novità introdotte dal GDPR, ma anche altre tematiche come i rischi della Rete e il cyberbullismo, la sicurezza cibernetica, il telemarketing, la lotta al riciclaggio, ecc. ecc. A giocare un ruolo di primo piano è da diverso tempo il telemarketing selvaggio e diversi sono stati i provvedimenti emessi nei confronti di operatori impegnati nelle proposte di servizi finanziari, contratti energetici e telefonici.
I numeri del 2017
Nel 2017 sono stati adottati 573 provvedimenti collegiali, oltre ad aver dato riscontro a ben 6000 reclami e segnalazioni. I settori interessati sono stati: marketing telefonico, credito al consumo, videosorveglianza, concessionari di pubblico servizio, recupero crediti, settore bancario e finanziario, assicurazioni lavoro, giornalismo, enti locali, sanità e servizi di assistenza sociale. 41 sono state le comunicazioni di notizie di reato all’autorità giudiziaria, nella maggior parte dei casi per mancata adozione di misure minime di sicurezza e protezione dei dati e trattamento illecito. 507 le violazioni amministrative, in buona parte riguardanti il trattamento di dati senza consenso, la diffusione di dati su Internet da parte della P.A., il telemarketing, oltre all’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati, la mancata adozione di misure di sicurezza e l’omessa esibizione di documenti al Garante.
Ispezioni e sanzioni
Ma veniamo ai numeri più interessanti, ossia quelli che più dovrebbero far riflettere le aziende circa la loro posizione nei confronti del GDPR. Nel 2017 sono state effettuate 275 ispezioni in numerosi e delicati settori, sia nell’ambito pubblico che privato (in quest’ultimo emergono società operanti nella “sharing economy”, imprese di vendita a domicilio, società che offrono servizi di informazioni commerciali o svolgono attività di telemarketing locate in Albania). Ne sono scaturite sanzioni amministrative per circa 3 milioni 800 mila euro, valore che segna un +15% rispetto al 2016.
Cosa ci attendiamo per il 2018?
Sicuramente una situazione drasticamente diversa la si attende per il report che riporterà i dati del 2018. È atteso un aumento sia del numero delle ispezioni sia delle sanzioni amministrative fondamentalmente per due motivi: ovviamente da un lato il Garante deve dimostrarsi ricettivo e attivo rispetto alle nuove disposizione dettate dal GDPR e di conseguenza intensificare i controlli; dall’altro lato con buona probabilità aumenteranno le segnalazioni da parte di privati che nel corso degli ultimi mesi hanno acquisito sempre maggiore consapevolezza circa i loro diritti.
Sara Avanzi