GDPR un anno dopo


25 maggio 2019: cosa è cambiato un anno dopo l’entrata in vigore del GDPR? Se per molti la nuova normativa europea è diventata quotidianità, per tanti altri questa sigla risulta essere ancora una zona d’ombra da esplorare. Se sei tra coloro che ancora non hanno recepito la normativa europea in materia di GDPR, oppure hai ancora dei dubbi sull’applicabilità della stessa, ti forniremo gli strumenti per conoscere meglio la materia. In questo articolo cercheremo di fare la massima chiarezza per capire quanto è stato fatto e quanto ancora c’è da fare in Italia per essere in regola ma soprattutto: dopo la fase di tolleranza, quali sono i rischi per chi ancora non ha recepito il GDPR?

 

Indice

Cos’è il GDPR

Il bilancio, un anno dopo

Gli ambiti di intervento

Vantaggi per le aziende 

Sanzioni amministrative

Il parere dell’esperto: come mettersi in regola?

 

  1. GDPR, computer, sicurity, Labor ProjectCos’è il GDPR

Con il termine GDPR (in inglese General Data Protection Regulation) si intende il regolamento europeo 2016/679 in materia di protezione e sicurezza dei dati personali che ha introdotto, a decorrere dal 25 maggio 2018, nuove regole in materia di data protection. Il GDPR è stato applicato ad ogni dato, dalla raccolta alla elaborazione, dalla conservazione alla distribuzione, in tutti i 28 Stati membri dell’Unione Europea. I soggetti obbligati ad applicare il GDPR spaziano tra:

  • Liberi professionisti,
  • pubbliche amministrazioni
  • piccole, medie e grandi aziende.

 

Il bilancio, un anno dopo

Lo scorso 7 maggio, l’autorità Garante per la protezione dei dati personali ha presentato la relazione sull’attività svolta nel 2018 presso la Sala della Regina della Camera dei Deputati alla presenza dei Presidenti di Camera e Senato e di Ministri rappresentanti di Governo.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9109075

Il presidente dell’Autorità, Antonello Soro, ha illustrato i diversi fronti sui quali è stata impegnata l’Autorità Garante ed ha fatto il punto sullo stato di attuazione della legislazione in materia di protezione dei dati.

I numeri relativi al primo anno di GDPR:

517  provvedimenti collegiali

28 pareri

130 ricorsi 

707 violazioni amministrative contestate in diversi ambiti:

  • Trattamento illecito di dati
  • Mancata adozione di misure di sicurezza
  • Telemarketing
  • Violazione banca dati
  • Omessa o parziale informativa agli utenti sul trattamento dei dati
  • Omessa esibizione di documenti al Garante

8 milioni 160 mila euro le sanzioni amministrative (+ 115% rispetto al 2017)

150 ispezioni

5600 quesiti, reclami e segnalazioni fatti nel 2018 con riferimento in particolare a settori quali:

  • marketing telefonico e cartaceo,
  • centrali di rischi credito al consumo,
  • videosorveglianza,
  • concessionari di pubblico servizio,
  • recupero crediti, settore bancario e finanziario,
  • assicurazioni,
  • lavoro,
  • enti locali,
  • sanità
  • servizi di assistenza sociale.

Gli accertamenti effettuati nel 2018 con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche, hanno interessato molti settori  in ambito pubblico e privato

Per quanto concerne il settore privato le ispezioni hanno interessato

  1. Istituti di credito
  2. Società che svolgono attività di rating sul rischio e sulla solvibilità delle imprese
  3. Aziende sanitarie locali
  4. Società che offrono servizi di money transfer
  5. Società che svolgono attività di telemarketing
  6. Società assicuratrici che installano scatole nere a bordo degli autoveicoli
  7. Società che offrono servizi medico sanitari tramite app.

Per il settore pubblico l’attività di verifica si è concentrata su enti pubblici che svolgono trattamenti di dati personali mediante app per smartphone e tablet, facendo particolare attenzione ad eventuale profilazione e geolocalizzazione degli utenti.

  • Comuni
  • Regioni

e ancora:

  • banche dati
  • sistema della  fiscalità con particolare attenzione alle misure di sicurezza e al sistema di audit
  • sistema informativo dell’Istat
  • sistema pubblico di identità digitale (Spid)

GDPR, digitale, Labor ProjectGli ambiti di intervento

Quando si parla di GDPR, sia nel privato che nel settore pubblico, l’attenzione si focalizza spesso sui documenti – l’informativa o l’autorizzazione a trattare i dati – dimenticando i contenuti.

Siete davvero sicuri di trattare correttamente i dati che il vs. Cliente o dipendente vi ha
affidato ?

In caso di data breach sapete esattamente cosa fare?

Per rispondere a queste domande abbiamo preso in esame i principali ambiti di intervento:

  • Digitale: In particolare occorre porre attenzione proprio alla tutela dei diritti fondamentali delle persone nel mondo digitale: l’uso della tecnologia, la raccolta e l’uso dei dati sulle grandi piattaforme, i big data, la profilazione on line al fine del condizionamento dell’opinione pubblica, le fake news, la cybersecurity. Proprio gli ultimi 12 mesi hanno messo in luce fatti clamorosi che hanno minato la sicurezza informatica di milioni di persone nel mondo. Il recente caso di Cambridge Analytica ha fatto scuola per mettere in guardia sui rischi della libertà delle persone da forme distorte di influenza politica. Da questa vicenda è emerso un elemento interessante che riguarda le implicazioni, spesso sottovalutate, del sistema di gestione delle inserzioni sulle varie piattaforme del web.
    • cybersecurity: sono stati effettuati accertamenti sulla violazione di dati personali (data breach) in particolare nell’ambito di username e password (credenziali di accesso) e nell’uso di lettori biomedici (impronte, iride, voce)
    • Dati sicurezza nazionale: è stata rafforzata la cooperazione con l’intelligence con la sigla di un nuovo protocollo di intenti con il Dis (dipartimento delle informazioni per la sicurezza).

Il legislatore ha accolto e rilanciato la sfida del digitale delineando un quadro giuridico organico che possa cogliere le novità senza rinunciare alla libertà nei diversi settori, dal commerciale, al giudiziario, al lavoro fino alla ricerca scientifica.

Il legislatore ha anche posto l’accento sui droni a scopo ricreativo e come difendersi da quelli dannosi, in particolare dal ransomware, il programma informatico in grado di bloccare un dispositivo elettronico (smartphone, tablet, i phone e i pad)  o di criptare i dati in esso contenuto (foto, video dati ) per chiedere un riscatto.

  • Minori: Grande impatto ha avuto il lavoro dell’autorità per la tutela dei minori, come vittime di episodi di cyberbullismo e del diritto di cronaca.
    • Sono state predisposte misure e procedure volte alla rimozione di contenuti offensivi on line.
    • È stato siglato un protocollo d’intesa con la polizia postale con l’obiettivo di rafforzare i meccanismi di tutela e di intervento tempestivo a protezione dei minori.
    • Nel diritto di cronaca il Garante è intervenuto più volte per tutelare i minori vittime di violenze sessuali e dei minori coinvolti nei fatti di cronaca per stigmatizzare gli eccessi di morbosità che riguardano un certo tipo di fare informazione.
  • Lavoro: nell’ambito del lavoro il garante ha definito le regole per l’uso delle nuove tecnologie con particolare riferimento alla geolocalizzazione dei lavoratori.
    • Ha stabilito le garanzie per la raccolta delle impronte digitali per i dipendenti pubblici al fine della lotta all’assenteismo
    • è intervenuto a vietare i controlli massivi su e-mail e smartphone dei dipendenti.
    • nel settore della sanità il Garante è intervenuto con un provvedimento generale volto a chiarire come attuare le novità introdotte dal Regolamento Ue.

 

  • Pubblica amministrazione: il Garante è intervenuto:
    • per richiamare le amministrazioni al rispetto dei canoni di proporzionalità e a contemplare obblighi di pubblicità degli atti e dignità delle persone.
    • per bloccare la diffusione on line di dati sensibili su siti delle amministrazioni pubbliche cercando di bilanciare la necessità di tutela dei dati personali con la trasparenza.
    • per fissare regole precise per l’esercizio del diritto di accesso civico generalizzato
    • per chiedere garanzie riguardo al nuovo censimento permanente, che prevede l’integrazione di banche dati e l’uso massivo dei dati dell’intera popolazione
    • In tema di fiscalità per stabilire le condizioni affinché l’agenzia delle entrate possa avviare il nuovo sistema di fatturazione elettronica, indicando le linee guida di tutela per evitare un trattamento eccessivo dei dati personali dei contribuenti.
    • per il reddito di cittadinanza attuando una serie di misure per impedire un monitoraggio troppo invasivo sulle scelte di consumo dei singoli individui e per rendere il reddito di cittadinanza uniforme alla normativa europea.
    • per definire misure tecniche riguardo l’accesso alla dichiarazione dei redditi precompilata da parte dei contribuenti, Caf e soggetti autorizzati.
    • per la messa in sicurezza delle grandi banche dati, tra cui l’Anagrafe tributaria

 

  • Giustizia Nel settore della giustizia, sono stati diversi gli ambiti di intervento dell’Autorità che ha:
    •  proposto misure per assicurare maggiori garanzie nell’uso dei captatori informatici a fini investigativi.
    • effettuato un’attività di contrasto al telemarketing selvaggio con controlli effettuati nei confronti di soggetti operanti nella filiera
    • applicato pensanti sanzioni agli operatori che hanno utilizzato dati degli abbonati senza il loro consenso
    • rilevato illeciti da parte di società di telefonia
    • effettuato ispezioni presso call center
    • suggerito al legislatore modifiche normative per rafforzare le garanzie dei cittadini

 

    4. Vantaggi per le aziende

Le aziende che hanno investito per salvaguardare la protezione dei dati personali stanno ottenendo evidenti benefici. A dichiararlo è lo studio globale Cisco che ha evidenziato attraverso un sondaggio a 3200 professionisti della sicurezza nei principali settori dei 18 Paesi un minor numero di violazioni e relative perdite economiche.

In ottica GDPR:

  • il 59% delle aziende ha dichiarato di aver recepito la normativa,
  •  il 29% prevede di farlo entro un anno
  • il 9% oltre un anno.

Quali sono i benefici per aziende? 

  •  Il valore di un’azienda dipende anche dalla correttezza del trattamento dei dati. Infatti, acquistare un’azienda che NON ha improntato la propria attività nel rispetto della normativa in materia di protezione dei dati, è come acquistare un capannone industriale con un terreno inquinato, il valore si dimezza;
  • La reputation delle aziende passa dalla compliance in materia di data protection;
  • Il DPO è figura fondamentale nel supporto alle aziende per la tutela dei dati, sia fisica che giuridica. Figura indispensabile per l’accountability. Le aziende non possono non investire in questa figura.
  • Le aziende pronte al GDPR hanno indicato una minor incidenza delle violazioni dei dati, un minor numero di incidenti legati alla sicurezza e tempi inferiori di inattività del sistema.

Facendo una panoramica mondiale, il grado di prontezza varia dal 42 al 75% . Ai vertici della classifica ci sono: Spagna, Italia, Regno Unito e Francia, mentre Cina, Giappone e Australia risultano essere in ritardo.

Le aziende italiane sono al secondo posto in Europa dopo la Spagna per conformità.

 

Sanzioni amministrative

Dopo avervi illustrato i principali vantaggi della compliance, è necessario rammentare le
conseguenze negative di una o più eventuali violazioni delle norme di settore.

Le principali sanzioni sono indicate nell’articolo 83 del GDPR, che distingue due gruppi di sanzioni amministrative:

  • Le violazioni di minore gravità per le quali sono previste sanzioni pecuniarie di importi fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo relativo all’esercizio precedente, se superiore, riguardano le violazioni:
    • Dell’obbligo di tenuta del registro delle attività di trattamento.
    •  Della mancata valutazione de’impatto (DPIA);
    • Dell’omessa notifica di data breach.
  • Il secondo gruppo di sanzioni riguarda infrazioni di maggiore gravità e con sanzioni pecuniarie di importi fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo relativo all’esercizio precedente, se superiore, riguardano nello specifico le seguenti violazioni:
    • dei principi di base del trattamento, comprese le condizioni relative al consenso a norma degli articoli 5,6,7,9;
    • dei diritti degli interessati a norma degli articoli da 12 a 22 anche la semplice mancata ed idonea informativa;
    • dei trasferimenti di dati personali a un destinatario di un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
    • l’inosservanza di un ordine o di una limitazione provvisoria o definitiva di sospensione dei flussi di dati da parte dell’autorità di controllo (ovvero il Garante della privacy) ai sensi dell’articolo 58 paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR.

Il parere dell’esperto: come mettersi in regola?

Nella prospettiva sopra illustrata, acquista centralità la responsabilizzazione degli attori in gioco. I titolari e
responsabili del trattamento, autorizzati e Data Protection Officer devono, insieme, comprendere e
accogliere le sfide e le potenzialità della normativa in materia di protezione dei dati personali.
Si tratta di un’opera collettiva.
Il consiglio che possiamo darvi è di partire dalla differenza tra privacy e data protection:

  • privacy: la scelta di un singolo di rendere pubblica e accessibile un’informazione su di sé attiene alla sfera della privacy, e si tratta di una  scelta libera di rinunciare alla segretezza di una propria caratteristica.
  • data protection: Il fatto che un’azienda possa utilizzare detta informazione per inserire il soggetto all’interno di una lista di contatti potenzialmente interessati all’acquisto del proprio prodotto, apre le porte alla data protection.
    È proprio a questo punto che le aziende devono interrogarsi:

    • sulle finalità perseguite dalle parti,
    • sugli strumenti di trasparenza e informazione da implementare,
    • sulla scelta del miglior (anche dal punto di vista della sicurezza dei trattamenti) fornitore da selezionare
    •  sulle modalità della propria azione.

Per poterlo fare serenamente, oltre alla scelta di un DPO preparato e disponibile, investite in formazione.

 

 

 

 

 

 

 

 

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia