In Belgio l’Autorità per la protezione dei dati ha inflitto una sanzione da 600.000 euro a Google per mancato rispetto del "diritto all'oblio". Google aveva respinto la richiesta di un cittadino belga, che ha un ruolo di rilievo pubblico, il quale aveva chiesto di rimuovere i risultati di ricerca che lo riguardavano e ritenuti da lui obsoleti e dannosi dai risultati del motore di ricerca.
Il rispetto della procedura di garanzia prevista dallo Statuto dei lavoratori e dal Codice privacy costituisce un requisito essenziale per la correttezza dei trattamenti dei dati personali dei lavoratori in azienda. Non sono bastate le motivazioni presentate da un’azienda per evitare una sanzione di 20mila euro dal Garante per la protezione dei dati personali per aver installato un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori.
Sanzione privacy ai minimi termini se il garante non motiva adeguatamente l'importo ingiunto. Applicando questo principio la Corte di appello di Bruxelles (sentenza del 14 giugno 2023, nel caso 2022/AR/723, resa nota dal sito gdprhub.eu) ha ridotto alla cifra simbolica di un euro una originaria sanzione di 10 mila euro, irrogata dal locale garante della privacy alla società belga delle ferrovie, per avere mandato e-mail promozionali, peraltro su richiesta del governo unico azionista.
Alla p.a. non si applica la portabilità dei dati e neppure il legittimo interesse. E la base giuridica per i trattamenti sanitari non è il consenso. È quanto ha affermato il Garante nelle motivazioni dell'ordinanza n. 8 del 13 gennaio 2022, con la quale l'autorità ha applicato a una azienda sanitaria una sanzione di 7.500 euro per avere sbagliato a scrivere un'informativa privacy.
Per ogni violazione privacy va indicata la relativa sanzione. Nelle ingiunzioni che decidono più violazioni è da specificare non solo l'importo finale (il totale) della sanzione, ma anche gli importi irrogati per ciascuna violazione.
Le colpe «privacy» di una società non ricadono sul gruppo di cui fa parte. La sanzione per una violazione della privacy, computata in percentuale sul fatturato, ha come base di calcolo il giro d'affari della singola impresa (e non quello del gruppo). A meno che la violazione della privacy non si collochi in una policy del gruppo.
Il Garante Privacy italiano in coda di mandato ha deciso una sanzione – 27,8 milioni di euro a Tim per il telemarketing – che ha permesso all’Italia di scalare di colpo la classifica delle sanzioni Gdpr, ora secondi solo al Regno Unito. Ma c’è poco da festeggiare. Il Gdpr ha introdotto elementi di incertezza del diritto che rischiano facilmente di collidere con i principi essenziali del potere sanzionatorio amministrativo: il Regolamento europeo per la protezione dei dati personali è insomma uno strumento sì prezioso, ma da usare con cautela.
Lo scorso anno sono stati ben 341 i procedimenti amministrativi condotti dalle autorità di controllo per la protezione dei dati personali europee, ma due terzi del loro valore complessivo di 307,9 milioni di euro sono concentrati in sole quattro sanzioni, due delle quali comminate in Francia, e una ciascuna in Germania e in Italia. Nella classifica delle multe più elevate del 2020, due tra le più pesanti in assoluto sono state infatti irrogate dall'autorità francese (Cnil), una da 100 milioni di euro e una da 35 milioni, che hanno colpito rispettivamente Google e Amazon, ritenuti entrambi colpevoli di non aver fornito agli utenti informazioni sufficientemente chiare per gli utenti dei loro siti web riguardo le finalità dei cookies e su come rifiutarli.
Sanzioni privacy k.o. se il Garante non rispetta i termini per la notifica delle violazioni. È invalida l'ingiunzione se le trasgressioni sono contestate decorsi 120 giorni dall'accertamento. Il termine, fissato dallo stesso Garante della privacy in un regolamento interno (n. 2/2019), è da ritenersi perentorio.
Per leggere questo articolo devi essere registrato ed effettuare il login!
Sulle sanzioni privacy l'ultima parola spetta al giudice. Il magistrato ha il potere di modificare, aumentandolo o diminuendolo, l'importo irrogato dal Garante della privacy. Così ha deciso la Corte di cassazione con l'ordinanza n. 27189 del 22/9/2023.
