Da quando è entrata in vigore la General Data Protection Regulation (GDPR), l’attenzione dei media si è concentrata prevalentemente con le loro notizie e comunicati sulle multe multimilionarie inflitte a giganti tecnologici come Google e Facebook. Nessuno ha mai speso due parole sul Mario Rossi di turno, che di fatto nell’immaginario collettivo non esiste, perchè in fondo le multe le ricevono solo le grandi corporazioni e non i piccoli professionisti.
La scelta di menzionare esclusivamente le attività sanzionatorie verso queste grandi corporation, trovano motivo principalmente in scelte editoriali e titoli ad effetto in grado di coinvolgere l’opinione e l’interesse pubblico, nonchè trovare click paganti.
Per rimanere in tema è ancora fresca la notizia di ieri in cui Facebook è stata sanzionata per 1,2 Miliardi di Euro.
La Commissione irlandese per la protezione dei dati (Ie Dpa), su incarico del Garante privacy dell’Ue Edpb, ha multato Meta per 1,2 miliardi di euro per aver violato le norme europee sulla protezione dei dati (Gdpr) con il suo social network Facebook. La sanzione è la più alta imposta da un regolatore della protezione dei dati in Europa.
Meta, che intende presentare ricorso, è stata multata per aver “continuato a trasferire dati personali” di utenti dallo Spazio economico europeo agli Stati Uniti in violazione delle norme europee in materia.
Meta deve inoltre “sospendere qualsiasi trasferimento di dati personali negli Stati Uniti entro cinque mesi” dalla notifica della decisione e deve conformarsi al Gdpr entro sei mesi.
Questa focalizzazione ha creato un falso convincimento: la sensazione, in molti, è che le autorità garanti della privacy, tra cui il Garante per la Protezione dei Dati Personali italiano, siano principalmente interessate a sanzionare queste imponenti corporazioni.
In realtà, questo non potrebbe essere più distante dalla verità.
La GDPR è un regolamento europeo che mira a rafforzare e unificare la protezione dei dati per tutte le persone all’interno dell’Unione Europea (UE). Essa sostituisce la direttiva sulla protezione dei dati del 1995 e introduce norme rigorose sulla protezione dei dati e sul loro trattamento. Inoltre, prevede pesanti sanzioni per le violazioni, indipendentemente dalla dimensione dell’entità che le commette.
Ma torniamo al nostro focus. In un’epoca in cui le soluzioni Software as a Service (SaaS) e Platform as a Service (PaaS) sono sempre più diffuse, molte piccole e medie imprese, liberi professionisti e persino privati utilizzano servizi che non sono in conformità con la GDPR.
Ad esempio, plugin per l’ottimizzazione delle immagini che si appoggiano a Content Delivery Network (CDN) di aziende con sede negli Stati Uniti, senza filiali europee, o servizi di hosting con base a San Francisco.
Questo avviene perché molte persone ritengono erroneamente che le sanzioni per la violazione della GDPR riguardino solo le grandi aziende. Eppure, la verità è che queste sanzioni riguardano tutti, senza eccezioni.
A questo punto, è opportuno fare un chiarimento, nonché dare prova tangibile di quanto sopra affermato: esiste infatti un sito web chiamato Enforcement Tracker che offre una panoramica delle multe e delle sanzioni che le autorità di protezione dei dati all’interno dell’UE hanno imposto in base alla GDPR. Lo scopo è di mantenere l’elenco il più aggiornato possibile, anche se non tutte le multe vengono rese pubbliche; quindi, l’elenco non può mai essere completo.
Navigando sul sito e applicando il filtro per l’Italia, vediamo che sono state registrate ben 1844 sanzioni a entità di tutte le dimensioni: società per azioni, società a responsabilità limitata, liberi professionisti e persino individui. Le sanzioni variano in termini di importo, con molte che si aggirano attorno ai 1000 euro. Questo è un chiaro indicativo del fatto che, se necessario, le sanzioni vengono applicate a tutti, senza distinzione.
Quindi, con questa consapevolezza, si spera che si possa avere una visione più realistica del problema rispetto a quella trasmessa e lasciata intendere dai media. È fondamentale ponderare ogni decisione implementativa, considerando la conformità alla GDPR come un requisito indispensabile e non come un dettaglio riservato solo ai giganti del settore tecnologico.
Ricorda, la GDPR è una cosa seria e le sanzioni riguardano tutti. Nessuno escluso ed anche qualora volessi azzardare una violazione della stessa devi essere ben cosciente che il problema riguarda anche te.
