P.A. e imprese: i rischi per chi non rispetta la privacy

In una smart city, organizzazioni pubbliche e private trattano un gran numero di dati personali per offrire servizi ad alto valore. Tuttavia, se non rispettano la normativa in materia di protezione dei dati, si espongono a diversi rischi, a causa delle numerose sanzioni previste. Nel delicato contesto delle leggi sulla privacy, è quindi opportuno (e conveniente) muoversi con cautela.

 La rilevanza della normativa

Il Regolamento Ue 2018/679 (c.d. GDPR: General Data Protection Regulation) definisce un intero ecosistema volto a garantire:

• la protezione dei diritti e delle libertà stabiliti nella Carta dei diritti fondamentali dell’Unione Europea (la c.d. Carta di Nizza);
• la libera circolazione dei dati personali necessari ad allenare i sistemi di supporto ai processi di produzione di beni e servizi che sono sempre più data driven.

Per garantire la realizzazione di così grandi finalità, lo stesso GDPR ha attribuito alle Autorità di controllo (cioè ai Garanti Privacy) rilevanti poteri di indagine e connessi poteri correttivi. A seconda dei casi, si possono applicare pesanti sanzioni che costituiscono grandi rischi per il business.

Le sanzioni amministrative pecuniarie

L’art. 83 del GDPR prevede che le Autorità di controllo, qualora accertino violazioni rilevanti della normativa in materia di Data Protection, debbano irrogare sanzioni amministrative pecuniarie. È stabilito, inoltre, che le stesse sanzioni debbano essere effettive, proporzionate e dissuasive.

Si pensi che è fissato solo il limite massimo che, a seconda del tipo di violazione, raggiunge i 20 milioni di euro o, se superiore, il 4% del fatturato mondiale annuo dell’esercizio precedente.

La sospensione o interruzione del business

Oltre alle sanzioni amministrative pecuniarie, il Garante può applicare anche la limitazione provvisoria o definitiva al trattamento dei dati da parte dell’organizzazione che ha commesso la violazione, se non il divieto assoluto. Questi interventi correttivi dell’Autorità si traducono nella sospensione o interruzione del business.

Un caso emblematico è il provvedimento GPDP. n.112 del 30 marzo 2023, con cui il Garante ha disposto nei confronti di OpenAI, società statunitense sviluppatrice di ChatGPT, la misura della limitazione provvisoria del trattamento dei dati personali degli interessati stabiliti nel territorio italiano. Questo è avvenuto a causa del rilevamento di diverse violazioni, tra cui la mancanza di un’informativa sui dati raccolti e l’assenza di un sistema di verifica dell’età degli utenti.

La confisca degli asset

Un altro rischio connesso allo sviluppo di un business basato su trattamenti di dati personali non compliant è la confisca degli asset, con conseguente perdita dell’investimento.

Con il provvedimento GPDP n. 184 del 13 aprile 2023, ad esempio, il Garante oltre a pesanti sanzioni pecuniarie ha anche applicato, nei confronti di alcune società, la sanzione accessoria della confisca delle banche dati di call center che eseguivano attività di telemarketing in modo illecito (cioè senza il consenso degli interessati).

Il danno reputazionale

Altro rilevante rischio per un business sviluppato in violazione della normativa privacy è il possibile danno reputazionale per l’impresa.

Quasi sempre, infatti, il Garante applica, congiuntamente alle sanzioni già menzionate, la sanzione amministrativa accessoria della pubblicazione per intero o per estratto, sul sito web della stessa Autorità Garante, del provvedimento sanzionatorio (ai sensi dell’articolo 166 comma 7 del Codice Privacy). La pubblicazione, spesso ripresa e diffusa dagli organi di informazione, ha un inevitabile impatto negativo sulla reputazione dell’impresa.

Conclusioni

Da quanto evidenziato, si deduce che avere piena consapevolezza della rilevanza della normativa privacy è non solo molto importante, ma anche conveniente, ancora di più nell’ambito delle smart cities.

Infatti, proprio in questi contesti tanto complessi, in cui si sviluppano e si incrociano processi aziendali basati su elevati volumi di dati personali, la compliance alla normativa privacy costituisce un imprescindibile fattore strategico di sostenibilità operativa.

Giuseppe Alverone