Lunedì 20 maggio 2019 è scaduto il periodo di transizione durato otto mesi definito dal D.lgs. 101/2018 e, di conseguenza, potranno essere comminate pienamente le sanzioni previste in materia privacy (GDPR) per le aziende che commettono irregolarità. Ricordiamo che ad oggi le multe venivano comunque emesse ma andava tenuta in considerazione la recente entrata in vigore del GDPR, andando incontro alle imprese che ancora non si erano allineate al nuovo regolamento. Ora la “scadenza fantasma” è passata.

il GDPR (Regolamento generale europeo per la protezione dei dati) ha compiuto il suo primo compleanno. Frutto di quattro anni di lavoro è stato senza dubbio un successo della ormai passata legislatura europea ed è divenuto lo standard globale per il trattamento dei dati. Adesso, ad un anno dall’entrata in vigore del regolamento, l’autorità applicherà le sanzioni previste dal GDPR nella loro pienezza. Da sottolineare che in questi anni le sanzioni erano adottate in base alla vecchia normativa. Otto mesi pensati con un criterio di alleggerimento, non un invito a ignorare le disposizioni, ma a far quello che è successo ad esempio con la piattaforma Rousseau”. E’ stata applicata una sanzione da 50.000 euro, lieve se pensiamo alla mole di dati trattati ed al pericolo per la tutela degli stessi.

Nuove sanzioni GDPR

Le sanzioni previste dal GDPR possono raggiungere importi pari a 20 milioni di euro o fino al 4% del fatturato dell’esercizio precedente, se superiore. Le sanzioni si applicano sia a società commerciali che ad associazioni, partiti o pubbliche amministrazioni.

Ad oggi a livello italiano abbiamo notizia di alcune sanzioni: una riguarda il caso della piattaforma Rousseau attraverso la quale il Movimento 5 Stelle da anni invita i suoi elettori a votare alcune proposte legislative. Secondo il giudizio del Garante per la protezione dei dati personali non avrebbe garantito l’anonimato e il sistema si sarebbe prestato alla manipolazione del voto. Un’altra sanzione, pari ad € 16.000, è stata disposta verso un medico professionista che avrebbe utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche, senza che gli interessati avessero espresso specifico consenso e senza che avessero ricevuto l’informativa.

Nel mentre in Francia Google ha ricevuto all’inizio dell’anno la multa più salata comminata finora in Europa, pari a 50 milioni di €. Anche Facebook risulta in questo momento sotto verifica e potrebbe presto ricevere le prime sanzioni multi-milionarie post GDPR, almeno a quanto anticipato dal garante irlandese.

Piano ispettivo

Già annunciato il piano ispettivo del Garante, con un focus iniziale su aziende dotate di sistemi di carte fedeltà, grande distribuzione, trasporti, telecomunicazioni, banche, sostanzialmente tutti coloro che hanno programmi per raccogliere dati e fidelizzare la clientela. Inoltre i controlli potranno riguardare anche tutte le attività che svolgono attività di marketing con profilazione. Oltre al piano ispettivo che determina i controlli principali rammentiamo il canale delle segnalazioni da parte degli interessati, che può attivare controlli verso la singola attività. Nessuno è indenne dalla possibilità di essere controllato, anche se non rientra direttamente nel piano ispettivo deliberato.

Il bilancio ad oggi: numeri e considerazioni

In data 31 marzo risultano nominati 48.591 Responsabili della protezione dei dati (RPD o DPO, data protection officer). Questo significa che oltre quarantotto mila aziende hanno ritenuto necessario, considerati il i trattamenti di dati svolti, nominare un responsabile in grado di consigliare, aiutare e supportare l’azienda in materia di protezione dei dati. Per quanto riguarda i reclami arrivati al Garante in questi primi mesi risultano essere pari a 7.219 con 946 notifiche di data breach, casi in cui i dati sono stati violati. In generale il Garante è stato contattato 18.557 volte nei dieci mesi monitorati. In Europa a gennaio si contavano già 95 mila reclami da parte dei cittadini.

Nel pubblico i dati non sono incoraggianti, con solamente metà delle regioni che ha adottato delle policy interne per gestire i reclami in materia da parte dei cittadini. Basta visitare qualche portale web della pubblica amministrazione per incappare in informative non aggiornate che fanno riferimento ad articoli legislativi ormai abrogati. Sembra insomma che sia solo l’inizio e che non mancherà occasione per tornare sul tema GDPR.

La tutela dei dati personali non è difatti un punto di arrivo ma un percorso continuo, fatto di studio e confronto. Per quanto si possa conoscere alla lettera il testo del GDPR, metterlo in pratica comporta abilità trasversali. Bisogna conoscere normativa, la tecnologia adottata in azienda per consigliare soluzioni alternative e migliorative, si deve essere in grado di relazionarsi con i reparti interni, senza tralasciare il confronto con i colleghi sulle possibili soluzioni da implementare.

E-privacy?

Non solo GDPR. A Bruxelles, bloccata al Consiglio europeo, giace il regolamento ePrivacy, che si occupa invece di tutelare la privacy delle comunicazioni. Nonostante un anno fa l’idea fosse di approvarlo assieme al GDPR, essendo un testo che lo andrà a completare in alcune sezioni, ad oggi non si hanno ancora notizie sulla sua evoluzione.

Cosa ne pensi del GDPR? Hai dubbi o domande in materia? Scrivici nei commenti sottostanti.