Privacy e Gdpr: Lussemburgo primo Paese per sanzioni. Italia seconda

gdpr_pixabay [Mohamed Hassan/Pixabay]

Il Lussemburgo è attualmente al primo posto in Europa per sanzioni comminate in seguito alla violazione del Gdpr, con un totale di 746 milioni di euro imposti, seguito dall’Italia (84 milioni di euro) e dalla Francia (57 milioni di euro), secondo i dati raccolti da Privacy Affairs e condivisi con EURACTIV.com

Il totale delle multe per violazione del Regolamento generale per la protezione dei dati, entrato in vigore nel maggio 2018, ammonta ora a più di 1 miliardo di euro in Europa.

Il Garante lussemburghese non è però tra i primi quando si tratta del numero di multe, con 11 sanzioni comminate negli ultimi tre anni. Ai primi tre posti ci sono Spagna, Italia e Romania con 255, 76 e 61 sanzioni imposte ciascuna.

Articolo 5 e “sportello unico”

Molte delle decisioni sono basate sull’articolo 5 del Gdpr che fissa i principi per il trattamento dei dati personali, così riassumibili:

  1. liceità, correttezza e trasparenza del trattamento;
  2. limitazione della finalità del trattamento;
  3. “minimizzazione dei dati”: ossia, i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
  4. esattezza e aggiornamento dei dati;
  5. conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  6. integrità e riservatezza dei dati personali oggetto del trattamento.

Il Gdpr si applica in tutti e 27 i Paesi membri e nei paesi dello Spazio economico europeo (Islanda, Lichtenstein e Norvegia). Poiché i dati sono nella maggior parte dei casi trattati in diversi paesi, la legge dell’Ue ha introdotto il cosiddetto meccanismo dello “sportello unico” che stabilisce che le imprese avranno a che fare con una sola autorità di controllo, cioè quella del Paese dove hanno la sede principale. La decisione presa dall’autorità di controllo nazionale viene applicata anche negli altri paesi dell’Unione. Questo principio, oltre a semplificare le procedure, dovrebbe garantire una maggiore coerenza delle decisioni. Allo stesso tempo però ha un limite: consente di fatto all’azienda di scegliere con quale autorità di vigilanza confrontarsi, potendo decidere dove stabilire la sede Ue. Nel caso di Amazon, ad esempio, l’autorità in questione è quella del Lussemburgo dato che la sede europea di Amazon è nel Granducato.

A giugno, tuttavia, la Corte di giustizia dell’Ue ha stabilito che le autorità nazionali per la protezione dei dati hanno il potere di avviare procedure di infrazione anche contro le imprese registrate in un altro Stato membro dell’Unione europea, in circostanze eccezionali di urgenza o quando l’impatto è limitato agli interessati all’interno della loro giurisdizione.

Questa decisione, come ricorda Euractiv.com, è arrivata dopo che gli eurodeputati hanno chiesto una procedura di infrazione contro l’Irlanda per non essere in grado di tenere il passo con le denunce di violazione della privacy da parte di aziende come Facebook e Google, che rientrano nella giurisdizione del Garante irlandese.

Sanzioni record

A luglio l’autorità lussemburghese per la protezione die dati ha inflitto una multa record ad Amazon da 746 milioni di euro per violazione delle norme Ue sulla privacy. La notizia è stata diffusa dalla stessa Amazon, che si è detta “fortemente in disaccordo con la sentenza dell’Autorità lussemburghese” annunciando ricorso. Prima, la più grande sanzione (50 milioni di euro) per violazioni del Gdpr era stata imposta a Google dal Garante francese (CNIL) per non aver fatto sapere ai suoi utenti che tipo di dati possedeva.