Tra i Guinnes dei primati in cui nessuno ambisce primeggiare, vi sono certamente quelli per le sanzioni più elevate emesse dai vari Garanti per la Protezione dati Personali (vogliamo una buona volta smettere di chiamarla privacy?) per le violazioni alla disciplina oggi portata dal GDPR 679/2016, oltre che dalle varie legislazioni nazionali che la integrano. Tra le sanzioni più pesanti troviamo quella per cinquanta milioni a Google emessa in Francia per il trattamento dati degli utenti, non adeguatamente informati. In Germania ne è stata emessa una da 35 milioni nei confronti di H&M per avere monitorato in maniera impropria i dipendenti addirittura invitati a partecipare a riunioni di lavoro quando erano in ferie.

TIM e Wind sono state rispettivamente sanzionate per 27.8 e 17 milioni di euro per le invasive e asfissianti attività di telemarketing. Non poteva mancare Facebook: 7 milioni di euro per non avere informato con chiarezza e immediatezza gli utenti su come monetizzava i loro dati. La Regione Lazio si è vista presentare un conto di 75.000 euro per mancata nomina del fornitore come responsabile del trattamento dei dati ai sensi dell’articolo 28 GDPR e violazione del principio di accountability.

Anche aziende che non hanno sede in Europa, ovviamente, sono state oggetto di sanzione: il sito www.locatefamily.com, che dichiara trecentocinquanta milioni di utenti, non ha nominato il suo legale rappresentante in Unione Europea e il Garante olandese ha deciso che questa dimenticanza vale 523.000,00 euro. Al confronto sembrano quindi noccioline i 20.000 euro cui è stato condannato al pagamento un dentista per avere richiesto dati eccessivi in una fase non opportuna del suo rapporto con il paziente. Allo stesso modo è quasi un regalo la sanzione emessa nei confronti di un’azienda regionale di protezione ambiente per 8.000 euro a seguito della perdita a causa del furto di un dispositivo contenente dati personali. 

Non ci stancheremo poi di fare presente come ulteriori costi per aziende e professionisti debbano subire le altre conseguenze dei provvedimenti correttivi che possono giungere fino al divieto di trattare dati con conseguente paralisi di un’attività. In ogni caso le sanzioni irrogate richiamano l’attenzione sull’obbligo per i soggetti che trattano dati personali di garantire una sicurezza adeguata al rischio attraverso l’adozione di idonee misure di protezione, anche tecniche e organizzative.

Il GDPR, ricordiamo, non prevede norme rigide o misure ben specificate, bensì un adeguamento al suo disposto sulla base delle dimensioni aziendali, dei dati trattati e per i rischi che questi effettivamente possono correre. Privacy by design e by default, cioè customizzate anche sulla base dell’impegno economico richiesto. Investimenti a volte minimali, ma che devono essere comunque fatti per evitare ben più gravi tipi di conseguenze non solo economiche.