Telecom ed Eni: i messaggi oltre le sanzioni
Nell’ultimo periodo hanno fatto molto discutere le sanzioni inflitte dal Garante italiano a due colossi dell’economia italiana come Telecom ed Eni.
Al di là dell’entità, in queste si nascondono una serie di messaggi che forniscono spunti di riflessione.
La vecchia normativa, pur prevedendo dei correttori che comportavano una sanzione maggiore per le grandi aziende rispetto alle piccole in base a dei moltiplicatori, nell’economia di un colosso non incidevano in maniera così importante, soprattutto se paragonate al vantaggio derivante dalle campagne illecite. In questo modo, aziende di un certo rilievo, calcolando costi e benefici, erano messe nelle condizioni di poter scegliere il rischio in nome del business. Chiaramente, oltre a questa, occorre considerare i danni all’immagine che però, purtroppo spesso, in colossi economici impattano poco, soprattutto per certe attività.
Il primo messaggio importante delle recenti sanzioni è dato dall’importo: il Garante italiano ha infatti dimostrato di non aver paura di applicare quanto contenuto nel GDPR e le sanzioni previste dallo stesso non sono solo uno spauracchio.
Il secondo riguarda le tipologie di reati contestate: il Garante ha voluto chiaramente dare un segnale a tutti i soggetti che pensavano al GDPR solo come una delle tante normative per cui non chiedendo i consensi non ci sarebbero state conseguenze; le sanzioni ci sono e ora sono applicate.
Il terzo messaggio è un monito a coloro per i quali “l’erba del vicino è sempre più verde”: spesso, durante conferenze a cui mi capita di partecipare come relatore, una delle obiezioni più frequenti che mi sento fare è: “ma l’azienda X lo fa e se lo fanno loro, che sono così grandi, vuol dire che si può fare”; nulla appare di più sbagliato, soprattutto in un regime di privacy by default che prevede modelli personalizzati per ogni singola azienda.
Il quarto deriva dalla constatazione che le persone non sono più disposte ad accettare violazioni dei propri diritti: le indagini, infatti, non sono partite da un’ispezione a campione ma da segnalazioni di numerosi consumatori che hanno denunciato al Garante gli illeciti; questo significa che, se fino all’entrata del GDPR il Garante era una specie di entità mitologica la cui esistenza era ai più sconosciuta, ora, grazie anche alla sempre maggior attenzione verso i problemi relativi alla privacy, sono molti i consumatori a conoscere l’Autorità e a sapere che possono interpellarla senza particolari formalità.
Un’ultima considerazione è opportuno farla e riguarda il fatto che le sanzioni sono solamente la punta dell’iceberg: ai sensi del GDPR, stante la violazione accertata dei diritti di riservatezza dei soggetti oggetto delle attività illecite, gli stessi potrebbero intentare una causa civile per il risarcimento dei danni che avrebbe grandi possibilità di andare in porto, comportando quindi ulteriori oneri economici in capo alle aziende sanzionate.
In conclusione, vale sempre la pena considerare la privacy come uno degli elementi essenziali nella progettazione delle singole attività. La privacy non è un blocco ma, se applicata bene, può essere un vantaggio competitivo, adesso ancora di più a seguito dell’applicazione di sanzioni.
Il perché emerge chiaramente: una azienda virtuosa, proprio alla luce di queste, potrebbe ad oggi pubblicizzare la propria eticità mettendosi a confronto con coloro che invece agiscono in maniera illecita.
Tutto quanto sta accadendo sarà solo un fuoco di paglia? Ne dubito, ma sarà interessante, da qui a un anno, riflettere su quanto ora scritto e verificare cosa sarà avvenuto nel frattempo.
Lorenzo Baldanello
AEG Corporation
Studio legale VBS
MAG Numero speciale, gennaio-febbraio 2020