Le sanzioni sulla privacy: un sistema di enforcement efficace

Quando il Regolamento Generale sulla Protezione dei Dati è entrato in piena applicazione nel maggio 2018, una delle novità che ha catalizzato maggiormente l’attenzione – e generato più preoccupazione nelle organizzazioni – riguarda il sistema sanzionatorio.

Il GDPR ha introdotto infatti sanzioni amministrative pecuniarie potenzialmente molto elevate, che possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, a seconda di quale importo sia maggiore. Queste cifre hanno scosso molte realtà che fino ad allora avevano considerato la protezione dei dati come un tema marginale, costringendole finalmente a prenderla sul serio.

Il cambio di paradigma: da sanzioni simboliche a deterrenza reale

Prima del GDPR, in Italia come in molti altri paesi europei, le sanzioni per violazioni della normativa sulla privacy erano relativamente modeste. Poche migliaia di euro nella maggior parte dei casi, importi che per grandi organizzazioni rappresentavano un costo facilmente assorbibile, quasi un costo d’esercizio. Il risultato era che molte aziende facevano un calcolo cinico: costa meno pagare eventuali sanzioni che investire seriamente nella conformità.

Il GDPR ha voluto rompere questa logica introducendo sanzioni che potessero effettivamente fungere da deterrente anche per le organizzazioni più grandi e ricche. Venti milioni di euro o il 4% del fatturato mondiale sono cifre che fanno male anche a multinazionali miliardarie. Improvvisamente la conformità al GDPR non era più una questione che poteva essere delegata all’ufficio legale e dimenticata, ma diventava una priorità che doveva coinvolgere il vertice aziendale, i consigli di amministrazione, gli investitori.

Questo cambio di paradigma ha avuto effetti tangibili. Nei primi anni di applicazione del GDPR si sono viste sanzioni milionarie inflitte a grandi player tecnologici, a compagnie aeree, a società di telecomunicazioni, a piattaforme social. Importi che hanno fatto notizia, che hanno spaventato il mercato, che hanno creato quella che in gergo si chiama “deterrenza generale”: non solo chi è stato sanzionato, ma tutti gli altri hanno capito che il GDPR faceva sul serio.

La struttura delle sanzioni: due livelli di gravità

Il GDPR prevede due fasce di sanzioni amministrative pecuniarie, graduate in base alla gravità della violazione.

Le sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale annuo si applicano per violazioni considerate meno gravi, tra cui: inosservanza degli obblighi del titolare e del responsabile relativi a misure tecniche e organizzative, privacy by design e by default, nomina del responsabile della protezione dati, notifica delle violazioni; inosservanza degli obblighi dell’organismo di certificazione; inosservanza degli ordini e delle limitazioni temporanee o definitive al trattamento imposte dall’autorità di controllo.

Le sanzioni fino a 20 milioni di euro o al 4% del fatturato mondiale annuo si applicano per violazioni considerate più gravi, tra cui: violazione dei principi base del trattamento (liceità, correttezza, trasparenza, minimizzazione, limitazione della conservazione); violazione delle condizioni per il consenso; violazione dei diritti degli interessati; trasferimenti di dati verso paesi terzi in violazione delle garanzie appropriate; inosservanza di un ordine dell’autorità di controllo.

Questa graduazione riflette una logica chiara: le violazioni che toccano direttamente i diritti fondamentali delle persone sono sanzionate più severamente di quelle che riguardano aspetti più procedurali o organizzativi. Trattare dati illecitamente, violare i diritti degli interessati, trasferire dati in paesi non sicuri sono considerate violazioni gravi che meritano le sanzioni più elevate.

I criteri per determinare l’importo: proporzionalità e individualizzazione

Le cifre massime previste dal GDPR – 20 milioni o 4% del fatturato – sono appunto massimi, non importi fissi. L’autorità di controllo che deve comminare una sanzione ha ampia discrezionalità nel determinare l’importo effettivo, che deve essere in ogni singolo caso “effettivo, proporzionato e dissuasivo”.

L’articolo 83 del GDPR elenca i criteri che devono guidare questa valutazione: la natura, gravità e durata della violazione; il carattere doloso o colposo della violazione; le misure adottate per attenuare il danno subito dagli interessati; il grado di responsabilità tenuto conto delle misure tecniche e organizzative messe in atto; eventuali precedenti violazioni pertinenti; il grado di cooperazione con l’autorità di controllo; le categorie di dati personali interessate dalla violazione; la modalità con cui l’autorità di controllo ha preso conoscenza della violazione (segnalazione spontanea o accertamento d’ufficio); l’osservanza di provvedimenti adottati in precedenza dall’autorità nei confronti dello stesso titolare; l’adesione a codici di condotta o a meccanismi di certificazione; eventuali altri fattori aggravanti o attenuanti come benefici finanziari ottenuti o perdite evitate per effetto della violazione.

Questa lista dimostra che la determinazione della sanzione non è meccanica ma richiede una valutazione complessa che considera molteplici dimensioni. Due violazioni formalmente identiche possono essere sanzionate diversamente se i contesti sono diversi.

Ad esempio, una violazione commessa per semplice negligenza sarà sanzionata meno severamente di una identica violazione commessa intenzionalmente per trarne profitto. Un titolare che ha cercato di adeguarsi al GDPR, ha investito in misure di sicurezza, ha formato il personale, ma comunque ha commesso un errore, sarà trattato con maggiore clemenza rispetto a chi ha ignorato completamente gli obblighi. Un titolare che, scoperta la violazione, ha collaborato pienamente con l’autorità, ha notificato tempestivamente, ha adottato misure correttive immediate, riceverà un trattamento più favorevole di chi ha tentato di nascondere o minimizzare.

Le sanzioni nel contesto italiano: la prassi del Garante

Il Garante italiano per la protezione dei dati personali ha pubblicato linee guida sulla metodologia per il calcolo delle sanzioni, che specificano ulteriormente come vengono applicate concretamente le previsioni del GDPR.

Il Garante parte da un importo base determinato in base alla gravità della violazione, considerando: numero di interessati coinvolti, durata della violazione, finalità del trattamento, categorie di dati trattati, modalità della violazione, carattere transfrontaliero.

A questo importo base vengono poi applicati coefficienti moltiplicatori o riduttori in base a circostanze aggravanti o attenuanti: circostanze aggravanti includono precedenti violazioni, mancata cooperazione, dolo, profitto derivato dalla violazione; circostanze attenuanti includono prima violazione, cooperazione attiva, misure correttive tempestive, notifica spontanea, implementazione di misure preventive robuste.

Questo metodo cerca di garantire coerenza e prevedibilità nelle sanzioni, evitando che importi simili siano determinati in modo arbitrario o capriccioso. Al tempo stesso mantiene la flessibilità necessaria per adattare la sanzione alle specificità di ogni caso.

Le sanzioni alle scuole: problematiche specifiche

Le istituzioni scolastiche si trovano in una posizione particolare rispetto al sistema sanzionatorio del GDPR. Da un lato sono soggette al Regolamento come qualsiasi altro titolare di trattamento e quindi teoricamente esposte alle sanzioni previste. Dall’altro presentano caratteristiche che rendono problematica l’applicazione meccanica del sistema pensato principalmente per imprese private.

Innanzitutto, le scuole pubbliche non hanno un fatturato in senso commerciale. Il criterio del 4% del fatturato mondiale, che per le imprese serve a commisurare la sanzione alle dimensioni economiche dell’organizzazione, perde significato applicato a una scuola statale. Questo crea incertezza su come calcolare le sanzioni: si considera il budget annuale della scuola? Le risorse gestite? E come si rapporta questo alle scuole paritarie che invece hanno un fatturato?

In secondo luogo, le scuole operano con risorse pubbliche limitate. Una sanzione pesante finisce per sottrarre risorse all’attività educativa, penalizzando studenti e famiglie che non hanno responsabilità per la violazione. Questo crea un dilemma: l’assenza di sanzioni renderebbe inefficace l’enforcement, ma sanzioni troppo pesanti danneggiano la missione educativa dell’istituzione.

In terzo luogo, le violazioni nelle scuole raramente derivano da calcoli cinici di profitto (come può accadere nelle imprese che violano la privacy per guadagnare) ma più spesso da mancanza di competenze, risorse insufficienti, complessità organizzative non adeguatamente governate. Questo non le rende meno gravi dal punto di vista dei diritti degli interessati, ma suggerisce un approccio sanzionatorio diverso.

Nella prassi italiana il Garante ha mostrato una certa moderazione nelle sanzioni alle scuole, specie quelle pubbliche, privilegiando quando possibile misure correttive e prescrizioni rispetto a sanzioni pecuniarie pesanti. Ma ha comunque inflitto sanzioni significative quando le violazioni erano gravi o persistenti, dimostrando che neanche le scuole sono al di sopra della legge.

Oltre le sanzioni pecuniarie: il potere correttivo del Garante

Le sanzioni amministrative pecuniarie sono lo strumento più visibile ma non l’unico potere dell’autorità di controllo. L’articolo 58 del GDPR attribuisce al Garante una gamma molto ampia di poteri correttivi che possono essere usati alternativamente o cumulativamente alle sanzioni pecuniarie.

Tra i poteri correttivi ci sono: rivolgere avvertimenti al titolare o al responsabile; ammonire il titolare o il responsabile; ordinare di soddisfare le richieste dell’interessato di esercitare i propri diritti; ordinare al titolare o al responsabile di conformare i trattamenti al GDPR con modalità e tempi stabiliti; ordinare la notifica di una violazione dei dati agli interessati; imporre una limitazione temporanea o definitiva al trattamento, incluso il divieto di trattamento; ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento; revocare una certificazione o ordinare all’organismo di certificazione di revocarla; imporre una sanzione amministrativa pecuniaria; ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Questa gamma di strumenti permette al Garante di graduare l’intervento in base alla situazione. Per violazioni di minore gravità o per prime violazioni di titolari che dimostrano buona fede può limitarsi ad avvertimenti o prescrizioni, dando la possibilità di sanare senza sanzione. Per violazioni più gravi può ordinare misure correttive specifiche oltre alla sanzione. Per violazioni gravissime può arrivare al divieto di trattamento, che per molte attività equivale a un’interdizione operativa.

Le sanzioni accessorie e le conseguenze indirette

Oltre alla sanzione pecuniaria diretta, una violazione del GDPR può comportare una serie di conseguenze negative aggiuntive che amplificano l’effetto deterrente.

C’è innanzitutto il danno reputazionale. I provvedimenti sanzionatori del Garante vengono pubblicati sul sito dell’autorità, resi noti alla stampa, finiscono sui media. Essere segnalati pubblicamente come violatori della privacy danneggia l’immagine, erode la fiducia di clienti o utenti, può portare a perdita di business. Per una scuola, la pubblicità negativa di una sanzione per violazione privacy può danneggiare la reputazione nel territorio, scoraggiare iscrizioni, creare tensioni con le famiglie.

Ci sono poi le azioni risarcitorie degli interessati. Il GDPR riconosce il diritto al risarcimento del danno, anche non patrimoniale, subito a causa di una violazione. Dopo una sanzione del Garante è più facile per gli interessati dimostrare la violazione e chiedere risarcimenti in sede civilistica. Una scuola sanzionata per una violazione che ha coinvolto molti studenti potrebbe trovarsi a fronteggiare decine o centinaia di richieste di risarcimento.

In alcuni settori ci sono conseguenze contrattuali: molti contratti commerciali includono clausole che permettono di rescindere il rapporto in caso di gravi violazioni privacy del fornitore. Una sanzione pesante può quindi portare alla perdita di contratti importanti.

Per le società quotate ci possono essere ripercussioni sui mercati finanziari: l’annuncio di una sanzione può far crollare il valore delle azioni, attirare azioni legali collettive degli azionisti, portare a declassamenti del rating.

Tutte queste conseguenze indirette amplificano l’effetto deterrente delle sanzioni pecuniarie dirette, facendo sì che il costo complessivo di una violazione sia molto superiore all’importo formale della multa.

Il procedimento sanzionatorio: garanzie procedurali

Il Garante non può infliggere sanzioni in modo arbitrario ma deve seguire un procedimento che garantisce il contraddittorio e il diritto di difesa.

Tipicamente il procedimento inizia con un’attività istruttoria: il Garante, venuto a conoscenza di una possibile violazione (attraverso un reclamo, una notifica di data breach, accertamenti d’ufficio, segnalazioni), svolge verifiche preliminari. Può chiedere documentazione, effettuare ispezioni, sentire testimoni.

Se gli elementi raccolti fanno ritenere fondato il sospetto di violazione, viene avviato il procedimento formale con contestazione degli addebiti. Il titolare riceve una comunicazione che indica quali violazioni gli vengono contestate, su quali elementi si basano le contestazioni, quali sanzioni potrebbero essere applicate.

Il titolare ha diritto di presentare memorie difensive: può contestare la ricostruzione dei fatti, fornire elementi a proprio discarico, dimostrare l’adozione di misure correttive, invocare circostanze attenuanti. Può chiedere di essere sentito in audizione per esporre direttamente le proprie ragioni.

Dopo aver valutato tutti gli elementi, il Garante adotta il provvedimento finale motivato, che può confermare le violazioni contestate (tutte o in parte) e irrogare le sanzioni, oppure archiviare il procedimento se ritiene che non sussistano violazioni o siano di lieve entità.

Contro il provvedimento del Garante è possibile ricorso giurisdizionale davanti al Tribunale ordinario, che può confermare, riformare o annullare il provvedimento impugnato.

Queste garanzie procedurali sono fondamentali per assicurare che le sanzioni siano irrogate solo quando effettivamente fondate e proporzionate, evitando arbitri e garantendo giustizia sostanziale.

Alcuni casi esemplificativi

Guardare ad alcuni casi concreti aiuta a capire come funziona nella pratica il sistema sanzionatorio.

Google Ireland è stata sanzionata nel 2019 in Francia per 50 milioni di euro per violazioni relative alla trasparenza delle informazioni, alla liceità del trattamento per la personalizzazione della pubblicità, e alla mancanza di consenso valido. Una sanzione così elevata è stata giustificata dalla gravità delle violazioni, dal numero enorme di interessati coinvolti (praticamente tutti gli utenti Android in Europa), dalla persistenza delle pratiche scorrette.

British Airways è stata inizialmente sanzionata dal Garante britannico per 183 milioni di sterline (poi ridotti a 20 milioni in appello) per una violazione di dati che aveva coinvolto circa 400.000 clienti. La violazione era derivata da insufficienti misure di sicurezza che avevano permesso agli attaccanti di accedere ai dati. L’importo inizialmente elevato rifletteva la gravità (dati finanziari compromessi), il numero di vittime, la durata della violazione prima di essere scoperta, le carenze nelle misure di sicurezza.

TIM è stata sanzionata dal Garante italiano per 27,8 milioni di euro per attività promozionali aggressive basate su profilazione illecita. La sanzione ha considerato il numero elevato di persone coinvolte, la durata prolungata delle pratiche illecite, la mancanza di base giuridica valida per la profilazione, il profitto economico derivato.

Per quanto riguarda le scuole, i casi sanzionatori sono stati finora di entità molto inferiore. Sanzioni di poche migliaia di euro per violazioni come: pubblicazione sul sito web di dati personali di studenti senza adeguate garanzie, uso improprio di sistemi di videosorveglianza, mancata adozione di misure di sicurezza adeguate su registri elettronici, trattamenti non conformi di dati sanitari.

Gli importi contenuti riflettono sia le dimensioni ridotte delle scuole come organizzazioni sia la volontà del Garante di non penalizzare eccessivamente il servizio educativo, ma hanno comunque avuto effetto deterrente mostrando che nemmeno le scuole sono immuni da sanzioni.

La compliance come investimento: prevenire costa meno che rimediare

L’analisi del sistema sanzionatorio porta a una conclusione netta: conviene investire nella conformità al GDPR piuttosto che rischiare sanzioni.

I costi di conformità – consulenze legali, formazione del personale, implementazione di misure tecniche di sicurezza, adozione di procedure organizzative – possono sembrare elevati nell’immediato. Ma sono prevedibili, controllabili, possono essere spalmati nel tempo.

I costi di una sanzione invece sono imprevedibili (non si sa se e quando arriveranno), potenzialmente molto elevati, concentrati in un momento specifico, e come visto si accompagnano a costi indiretti (danno reputazionale, contenziosi, perdita di fiducia) che possono superare l’importo formale della multa.

Inoltre, le misure adottate per conformarsi al GDPR spesso portano benefici che vanno oltre l’evitare sanzioni: maggiore sicurezza dei dati riduce il rischio di data breach che possono avere conseguenze gravi anche indipendenti dalle sanzioni; migliore organizzazione dei dati facilita il lavoro quotidiano; maggiore trasparenza verso gli interessati aumenta la fiducia; formazione del personale migliora la cultura organizzativa.

Per le scuole questo ragionamento vale particolarmente. Con budget limitati può sembrare che investire in privacy sia uno spreco di risorse scarse. Ma una violazione, oltre a esporre a sanzioni, può causare danni concreti a studenti e famiglie, generare contenziosi, danneggiare la reputazione della scuola nel territorio. Prevenire attraverso un investimento ragionevole in conformità è economicamente e eticamente la scelta giusta.

Le sfide dell’enforcement: risorse limitate, violazioni infinite

Un aspetto critico del sistema sanzionatorio riguarda la capacità effettiva di enforcement. Il Garante italiano, come le altre autorità europee, ha risorse limitate – personale, budget, tempo – a fronte di un numero potenzialmente sterminato di violazioni.

Non è possibile controllare tutti i titolari di trattamento, accertare tutte le violazioni, sanzionare tutti i trasgressori. Inevitabilmente si opera una selezione: si interviene sui casi più gravi, su quelli che giungono all’attenzione attraverso reclami, su settori particolarmente critici, su violazioni che coinvolgono molte persone.

Questo crea una situazione paradossale: teoricamente tutti i titolari sono soggetti al GDPR e alle relative sanzioni; praticamente molte violazioni restano sotto il radar e non vengono mai sanzionate. Si può quasi dire che c’è un elemento di “lotteria” nel sistema: chi viene beccato paga, ma molti violatori non vengono mai scoperti.

Questo solleva questioni di equità e di effettiva deterrenza. Se la probabilità di essere scoperti è bassa, anche sanzioni teoricamente severe possono non essere sufficientemente deterrenti per chi fa un calcolo razionale costi-benefici.

La risposta a questo problema sta nel rafforzare le risorse delle autorità di controllo, ma anche nello sviluppare sistemi di controllo più efficienti (uso di tecnologie per identificare violazioni, analisi di big data per individuare pattern sospetti), e soprattutto nel creare una cultura della conformità dove le organizzazioni rispettano il GDPR non per paura di essere beccate ma perché lo ritengono giusto.

Conclusioni: sanzioni come ultimo strumento di un sistema più ampio

Le sanzioni del GDPR vanno lette non isolatamente ma come parte di un sistema più ampio di accountability e enforcement. Non sono l’unico strumento né dovrebbero essere il primo.

Il GDPR si basa su un approccio preventivo: le organizzazioni dovrebbero conformarsi volontariamente perché comprendono l’importanza della protezione dati, perché temono conseguenze reputazionali, perché vogliono essere considerate affidabili, perché riconoscono un obbligo etico.

Quando questo non basta, intervengono strumenti correttivi: prescrizioni del Garante, avvertimenti, ordini di conformarsi. Le sanzioni pecuniarie sono l’extrema ratio, per chi persiste nelle violazioni nonostante tutto, per violazioni particolarmente gravi, per comportamenti dolosi.

Questa gradualità riflette saggezza. Un sistema che sanzionasse pesantemente ogni minima infrazione sarebbe paralizzante e ingiusto. Un sistema che mai sanzionasse sarebbe inefficace. Il GDPR cerca un equilibrio: incoraggia la conformità volontaria, offre strumenti correttivi graduati, riserva le sanzioni pesanti per chi davvero se le merita.

Per le scuole questo significa: investire seriamente nella conformità, prendere sul serio la protezione dati non come burocrazia fastidiosa ma come responsabilità verso studenti e famiglie, correggere prontamente quando si scopre di aver sbagliato, cooperare con il Garante se interviene. Così facendo, le probabilità di incorrere in sanzioni pesanti restano remote, mentre si costruisce un sistema educativo più rispettoso dei diritti e più degno della fiducia che la società gli accorda.

Videocorso DSGA, Dirigenti scolastici e tecnici, Docenti e Sicurezza

🎤🎧 Ascolta il podcast “La voce del preside”

Ascolta “La voce del preside” su Spreaker.

🎤🎧 Audio Lezioni sulla Pedagogia e organizzazione della scuola del prof. Gaudio

Ascolta “Pedagogia e organizzazione della scuola” su Spreaker.