Applicare, una sanzione per violazione delle disposizioni del regolamento generale europeo (GDPR 679/2016) sulla protezione dati personali, è un procedimento molto articolato, che non sempre viene affrontato con un approccio sufficientemente analitico. Basti ricordare che l’articolo 83, comma 2, prevede che l’autorità Garante, prima di applicare una sanzione, analizzi 11 fattori, alcuni dei quali, a loro volta suddivisi in sotto fattori. Ogni fattore, dà il suo contributo alla decisione circa l’importo della sanzione, che deve essere “effettiva, proporzionata e dissuasiva”. Il fatto stesso, che il provvedimento è lungo 91 pagine, dà un idea dell’accuratezza, con la quale ICO, information Commissioner Office, l’autorità Garante britannica, prende in esame una grave violazione dei dati, che si è verificata nell’archivio clienti di una catena alberghiera, Starwood, che è stata acquisita dalla catena internazionale Marriott. Il Garante, ha evidenziato, come tutto ciò che è accaduto prima del 28 maggio 2018, data di entrata in vigore del regolamento, che non viene preso in considerazione nel provvedimento. In seguito, il provvedimento dedica ampio spazio alla individuazione di quale sia l’autorità Garante di supervisione, che deve occuparsi di questa violazione, che coinvolge titolari residenti in vari paesi. Dopodiché, l’autorità Garante, passa ad esaminare, passo per passo, ognuno degli 11 fattori, per ognuno di essi fotografando la situazione rilevata e accumulando elementi a favore o a sfavore del titolare coinvolto, per giungere alla sanzione. Questo provvedimento, merita particolare attenzione perché, fra gli elementi di difesa sottoposti dalla catena alberghiera sanzionata, vi è il fatto che l’attuale situazione pandemica, ha diminuito in maniera drammatica gli introiti della catena stessa; questo fatto deve indurre l’autorità Garante a diminuire in modo appropriato la sanzione, per evitare che abbia un effetto deleterio e insopportabile sui risultati economici della catena stessa. L’obiettivo della sanzione, non è quello di fare fallire il soggetto sanzionato, ma di indurlo a futuri comportamenti più corretti e far rispettare il nuovo regolamento Europeo (GDPR 679/2016), con una forte componente dissuasiva. Il provvedimento allegato è in lingua inglese, ma è facilmente comprensibile per chiunque abbia una certa familiarità con il trattamento di dati personali. Nella pagina 52 in avanti, l’autorità istruttoria elenca puntualmente gli 11 fattori da esaminare, per ognuno di essi illustra i fatti e determina eventuali elementi aggravanti o meno della posizione del titolare sanzionato. Il documento rappresenta un modello per tutte le autorità Garanti europee che devono applicare sanzioni.

 

la comprensione della situazione,

la valutazione della situazione stessa e

le ragioni per la quale l’autorità istruttoria giunge a certe conclusioni.

 

 

L’importanza di questo documento è l’analisi critica di ogni singolo fattore. L ’importo determinato in fase istruttoria è pari a 18, 4 milioni di sterline. Il documento si chiude con tutta una serie di puntuali indicazioni, offerte al titolare sanzionato, sulle modalità con cui egli può ricorrere alla magistratura ordinaria, contro questa sanzione.

 

Provvedimento ICO

RossellaCronacaPrivacy  Applicare, una sanzione per violazione delle disposizioni del regolamento generale europeo (GDPR 679/2016) sulla protezione dati personali, è un procedimento molto articolato, che non sempre viene affrontato con un approccio sufficientemente analitico. Basti ricordare che l’articolo 83, comma 2, prevede che l’autorità Garante, prima di applicare una sanzione, analizzi...