Il regolamento generale europeo sulla protezione dei dati prevede che l’applicazione della sanzione venga determinata al termine di un processo istruttorio approfondito. Ecco come il Garante britannico ha affrontato una grave violazione di dati personali.

L’applicazione una sanzione per violazione delle disposizioni del regolamento generale europeo sulla protezione dati personali è un processo assai articolato, che non sempre viene affrontato con un approccio sufficientemente analitico.

Basti ricordare lettori che l’articolo 83, comma 2, prevede che l’autorità Garante, prima di comminare una sanzione, analizzi la bellezza di 11 fattori, alcuni dei quali a loro volta suddivisi in sotto fattori. Ogni fattore dà il suo contributo alla decisione circa l’importo della sanzione, che deve essere “effettiva, proporzionata e dissuasiva”.

Il fatto stesso che il provvedimento sia lungo 91 pagine dà un’idea della accuratezza con la quale ICO, information Commissioner Office, vale a dire l’autorità Garante britannica, prende in esame una grave violazione dei dati, che si è verificata nell’archivio clienti di una catena alberghiera, Starwood, che è stata acquistata dalla catena internazionale Marriott. Tanto per cominciare, il Garante ha messo bene in evidenza come tutto ciò che è accaduto prima del 28 maggio 2018, data di entrata in vigore del regolamento, non viene preso in considerazione nel provvedimento. Successivamente il provvedimento dedica ampio spazio alla individuazione di quale sia l’autorità Garante di supervisione, che deve occuparsi di questa violazione, che coinvolge titolari residenti in vari paesi. Dopodiché l’autorità Garante passa ad analizzare, passo per passo, ognuno degli 11 fattori, per ognuno di essi fotografando la situazione rilevata e accumulando elementi a favore o a sfavore del titolare coinvolto, per giungere alla determinazione della sanzione.

Questo provvedimento merita anche particolare attenzione perché, fra gli elementi di difesa sottoposti dalla catena alberghiera sanzionata, vi è il fatto che l’attuale situazione pandemica ha diminuito in maniera drammatica gli introiti della catena stessa; questo fatto deve indurre l’autorità Garante a diminuire in modo appropriato la sanzione, per evitare che abbia un effetto deleterio e insopportabile sui risultati economici della catena stessa.

Ricordo ancora una volta ai lettori che l’obiettivo della sanzione non è quello di fare fallire il soggetto sanzionato, ma di indurlo a futuri comportamenti più corretti, con una forte componente dissuasiva. Il provvedimento allegato è in lingua inglese, ma è facilmente comprensibile per chiunque abbia una certa familiarità con il trattamento di dati personali. Raccomando in particolare di leggere con massima attenzione il documento, dalla pagina 52 in avanti, perché l’autorità istruttoria elenca puntualmente gli 11 fattori da esaminare e per ognuno di essi illustra i fatti e determina eventuali elementi aggravanti o meno della posizione del titolare sanzionato.

Il documento può, ad avviso di chi scrive, rappresentare un modello per tutte le autorità Garanti europee che devono applicare sanzioni, perché l’approccio acribico rende assai più facile

  • la comprensione della situazione,
  • la valutazione della situazione stessa e
  • le ragioni per la quale l’autorità istruttoria giunge a certe conclusioni.

Non per nulla, l’elemento significativo di tutto questo documento non è solo la descrizione accurata del contesto in cui si è verificata la violazione, ma l’analisi critica di ogni singolo fattore.

Chiudo questo appunto ricordando che l’importo determinato in fase istruttoria è pari a 18, 4 milioni di sterline. Il documento si chiude con tutta una serie di puntuali indicazioni, offerte al titolare sanzionato, sulle modalità con cui egli può ricorrere alla magistratura ordinaria, contro questa sanzione.

Il provvedimento di ICO (pdf)

Fonti: Puntosicuro.it