“Che alla vigilia dell’uscita di scena dell’attuale sistema di regole sulla data protection, prima dell’entrata in vigore del nuovo regolamento europeo, a maggio 2018, arrivi una sanzione così alta, che da sola supera tutte le medie degli ultimi anni, è un segnale fortissimo. Una sorta di ‘ruggito’ inaspettato, quello del garante italiano, da sempre caratterizzato per una grande correttezza nei confronti del mercato”. Così Rocco Panetta, avvocato esperto di Internet e Privacy, commenta la sanzione da 11 milioni di euro che l’authority italiana ha deciso nei confronti di 5 società del settore “money transfer” per aver usato in modo illecito i dati personali di più di mille persone inconsapevoli.
In pratica, come emerso dalle indagini condotte dalla Procura di Roma, gli agenti del nucleo polizia tributaria della Guardia di Finanza hanno accertato che una multinazionale, in concorso con altre quattro società, raccoglieva e trasferiva in Cina somme di denaro riconducibili a imprenditori cinesi, in violazione non solo della normativa antiriciclaggio, ma anche di quella sulla protezione dei dati personali. “Per assecondare il desiderio della clientela di impedire l’associazione tra le rimesse finanziarie e i reali mittenti – spiega il garante – le società operavano attraverso la tecnica del frazionamento, dividendo cioè le somme di denaro in più operazioni sotto la soglia prevista dalla normativa antiriciclaggio, e attribuivano i trasferimenti di denaro a più di mille clienti del tutto ignari, utilizzando illecitamente i loro dati senza richiedere il consenso”.
Della cifra complessiva di 11 milioni di euro, una sanzione da 5 milioni e 880mila euro è stata inflitta alla multinazionale, mentre le altre quattro società coinvolte sono state multate per 1.590.000 euro, 1.430.000 euro, 1.260.00 euro e 850.000 euro: avranno 30 giorni di tempo dalla notificazione dei provvedimenti per il pagamento delle sanzioni.
“Il primo aspetto rilevante della decisione del garante privacy è il valore assoluto delle sanzioni – prosegue Panetta – Il sistema di protezione dei dati personali che ancora è in vigore in Italia, e che lo sarà fino a maggio 2018, lascia alle autorità nazionali e alle leggi nazionali ampia discrezionalità sulle sanzioni. Negli scorsi anni abbiamo avuto autorità, come quella spagnola, che hanno sempre usato molto il bastone, irrogando complessivamente fino a 20 milioni di sanzioni l’anno. Il garante italiano si era attestato finora su una media di 5-6 milioni l’anno, mentre altre authority arrivano addirittura a non avere poteri sanzionatori. L’information commissioner inglese, ad esempio, ha poteri sanzionatori soltanto dal 2012”.
A spiegare l’ammontare record della sanzione dell’authority c’è la questione che “il caso – sottolinea Panetta – richiedeva l’adozione di moltiplicatori rispetto all’importo massimo della multa: da una parte perché le dimensioni del trasgressore sono importanti, e questo può comportare una moltiplicazione per quattro del massimo della sanzione, e dall’altra per il fattore tempo, tutte le volte cioè che la violazione è stata reiterata. Per ogni giorno si applica un moltiplicatore, fino ad arrivare alla cifra complessiva”.
La sanzione decisa dal Garante privacy italiano rappresenta un record in campo europeo, e va a frantumare quello precedente, stabilito tre anni fa sempre dalla stessa authority nei confronti di Google su Street view, che ammontava a poco più di un milione di euro: “Questo dimostra che l’autorità italiana sta sul pezzo, e che ha gli strumenti già ora per poter intervenire quando la violazione è veramente seria. In secondo luogo – continua Panetta – in Italia c’è un livello di attenzione importante, come testimonia il fatto che non è la prima volta che il garante si posiziona sul gradino più alto tra chi fa rispettare la normativa sulla protezione dei dati personali”.
Un altro aspetto importante della sanzione record decisa dal garante è che non c’è spazio per chi volesse approfittare del momento di passaggio tra la vecchia normativa e la nuova: “In questo momento storico, di transizione – afferma Panetta – molti stanno facendo un po’ di attendismo, confidando nel fatto che fino a quando le nuove norme andranno a regime potrebbero passare anche anni. L’autorità italiana, però, sta dimostrando di lavorare in continuità, e di non voler abbassare la guardia fino a quando, a maggio 2018, entreranno in vigore le nuove regole. Perché i due sistemi, quello del codice nazionale sulla privacy e del Gdpr sono contigui, e consentono un passaggio armonico”.
