GDPR: arrivano le sanzioni. La formazione tra i principali obblighi per essere in regola.

A due anni dall’entrata in vigore dell’ambito GDPR (del Regolamento europeo in materia di protezione dei dati) il bilancio delle sanzioni applicate dalle Autorità in ambito europeo ammonta a ben 114 milioni di euro.

La più rilevante è quella arrivata lo scorso anno a Google dal Garante francese per la protezione dei dati: 50 milioni di euro per la configurazione dei nuovi dispositivi Android, motivata dalla “mancanza di trasparenza, informazioni adeguate e mancanza di un valido consenso un merito alla personalizzazione degli annunci”, nei riguardi degli utenti.

In Gran Bretagna inoltre si sta valutando l’ipotesi di infliggere una multa da 183 milioni di sterline a IAG, gruppo che controlla la compagnia aerea British Airways, per una violazione risalente all’estate 2018, a causa della sottrazione di informazioni dai propri sistemi riguardanti transazioni economiche relative all’acquisto dei biglietti, informazioni personali comprese.

Qual è la situazione in Italia?

In Italia le sanzioni relative al GDPR riguardano principalmente due casi:

  1. la multa comminata al M5S per la piattaforma di e-voting Rousseau
  2. la recentissima sanzione di 11,5 milioni di euro irrogata ad Eni Gas e luce (Egl) per Telemarketing indesiderato e attivazione di contratti non richiesti.

Secondo uno studio sull’attività di controllo condotta dal nostro Garante Privacy, fino a poco tempo fa l’Italia occupava il primo posto nella classifica per numero di sanzioni applicate, ma la gran parte di esse erano relative alla vecchia disciplina.

Più professionalità, meno formalità

Il GDPR com’è noto conferisce alle autorità il potere di stabilire sanzioni che possono arrivare al 2% e in alcuni casi il 4% dei profitti generati da un’azienda a livello globale in un anno (GDPR, art.83 par 4 e 5). Queste scattano qualora i controlli da parte dell’Autorità rilevino che l’organizzazione interna non risulti pienamente compliant alla normativa europea.

Ecco perché diventa necessario definire di un piano formativo in grado di armonizzare le competenze interne delle diverse funzioni coinvolte, fondamentale per mettere in atto un corretto processo di adeguamento alla normativa in materia di protezione dei dati personali.

La formazione quindi, oltre ad essere un necessario prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni, dovrebbe essere finalizzata anche ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche e informatiche adottate, nonché le responsabilità e le sanzioni. Riassumendo la formazione è lo strumento atto ad acquisire maggiore consapevolezza, nell’ottica della piena accountability, prevista dal GDPR.

Formazione: obbligo e opportunità

In quest’ottica l’obbligo di formazione del personale va considerato come un’opportunità per l’organizzazione che permette di dare al personale la piena conoscenza dei rischi legati al trattamento dei dati personali, e di poter quindi agire nel pieno rispetto delle regole, non come un mero adempimento formale, motivato timore di incorrere in sanzioni.