GDPR & Aziende: gli errori più comuni da non fare

L’anno appena trascorso ci ha visto molto attivi nell’accompagnare ed assistere le aziende nell’attività di compliance e adeguamento alla “nuova” normativa privacy (Reg. UE 2016/679 – “GDPR”, D.lgs. 101 del 10.08.2018), entrando in contatto e conoscendo da vicino realtà tra loro anche molto diverse per entità e complessità.

Il percorso fatto assieme ci ha consentito di vedere le svariate declinazioni e applicazioni della materia nonché di confezionare una nostra statistica degli errori e delle criticità più comuni e ricorrenti.

 

Quali sono gli errori e le violazioni più ricorrenti?

La casistica che abbiamo esaminato è decisamente eterogenea ed articolata, poiché varia dalla raccolta manuale dei dati effettuata dell’azienda in occasione di fiere e/o eventi promozionali, alla compilazione di form ad uso interno sino all’iscrizione degli utenti a newsletter e/o per la creazioni di account su piattaforme web o App.

Tuttavia ci è stato comunque possibile isolare e categorizzare i principali errori che abbiamo incontrato:

  • i dati personali venivano acquisiti senza il consenso dell’interessato e/o senza la trasmissione dell’informativa;
  • l’informativa privacy non presentava il contenuto minimo previsto dalle norme;
  • l’informativa privacy non indicava le finalità e/o le modalità di trattamento effettivamente adottate dall’azienda;
  • venivano acquisiti di dati superflui, raccolti cioè senza uno scopo utile ed effettivo;
  • le misure di sicurezza adottate dall’azienda (informatiche e non) erano insufficienti o non conferenti rispetto ai dati raccolti e trattati;
  • i documenti e la modulistica collegata (lettere di nomina, di incarico, ecc.) erano eccessivamente generici e/o non corrispondevano alle effettive operazioni ed attività poste in essere dall’azienda sui dati raccolti.

 

A cosa erano dovuti gli errori?

Ogni realtà aziendale è unica, tuttavia gli errori esaminati erano per la maggior parte frutto della medesima impostazione: l’aver guardato alla privacy compliance in modo “meccanico”, cioè come ad una serie di adempimenti burocratici da adempiere dotandosi di moduli o soluzioni informatiche standard (copiate qua e là).

Le nuove norme, invece, hanno imposto un approccio totalmente diverso (accountability) che impone all’azienda di prendere coscienza ed analizzare con lucidità le proprie modalità di trattamento dei dati (privacy audit), del rischio (privacy impact assessment) e di porre in essere le misure (tecniche, contrattuali, documentali) effettivamente corrispondenti e “disegnate” per il caso concreto (privacy by default e by design).

 

Spesso, infatti, la informative privacy e/o la documentazione conseguente erano state realizzate secondo uno standard pensato per “aziende dello stesso settore”, senza però evidenziare le peculiarità, le caratteristiche ed unicità della operazioni effettuate dall’azienda, delle quali non veniva fatta menzione ovvero contrastavano con quanto formalizzato “sulla carta”.

Altre volte gli errori si verificavano a livello operativo, a causa della mancata sensibilizzazione e formazione del personale: a poco serve definire procedure e processi se poi all’atto pratico non sono compresi o vengono percepiti come “assurde complicazioni”. Ben più grave quando le procedure introdotte restavano lettera morta perché del tutto estranee e non aderivano all’attività di gestione day by day.

Allo stesso modo, la raccolta di dati superflui o di fatto non utilizzati costituisce una chiara violazione delle norme ed espone inutilmente l’azienda a sanzioni e responsabilità.

 

Anche le misure tecniche (informatiche e non), infine, devono essere parametrate all’importanza, alla qualità, alla quantità dei dati ed al rischio al quale sono esposti; ad esempio sono insufficienti, e dunque costituiscono comunque una violazione, le misure di protezione attivate verso l’esterno ma che non restringono l’accesso al solo personale autorizzato. Al contrario sono del tutto sproporzionate (e dunque non giustificate anche nell’ottica dei costi) misure altamente sofisticate attivate per custodire dati a basso impatto.

 

Quali conseguenze per il mancato adeguamento?

Le conseguenze che puntiamo a scongiurare sono di diverso tipo: danno da reputazione, evitare costi inutili e naturalmente le sanzioni che sono comminate dalle autorità garanti.

A livello “macro” infatti, i dati raccolti dalla Commissione Europea hanno evidenziano che nel corso del 2019 ed in tutta l’Unione Europea, sono state depositate ben 144 mila denunce individuali e 89 mila notifiche di data breach – ovverosia le comunicazioni che le aziende sono tenute a inviare tempestivamente alle autorità garanti in caso subiscano violazioni/attacchi/perdite di dati – che hanno portato all’apertura di 400 casi di cui 281 con elementi di transnazionalità (cross-border cases).

 

Quanto alle sanzioni, un recentissimo rapporto di Federprivacy evidenzia che l’insieme delle sanzioni emesse dai diversi garanti nazionali (Paesi aderenti al SEE) ammonta ad oltre 410 milioni di Euro. In dettaglio, il garante italiano si afferma come il più attivo, registrando 30 sanzioni comminate (secondo il garante spagnolo con 28, Germania e Francia rispettivamente sesta con 13 e 6 sanzioni). Diversamente, il garante inglese si afferma come il più severo totalizzando il valore economico più elevato delle sanzioni, per complessivi 312 milioni di Euro (seguono a grande distanza Francia, Austria, Germania e Italia).

Passando ai casi concreti, sono degne di nota la multa di 50 milioni di Euro comminata a Google dall’Autorità Garante francese (Commission nationale de l’informatique et des libertés – CNIL); nonché la pesante penalty di 110 milioni inflitta alla catena di Hotel Marriott dall’Information Commissioner’s Office britannico.

In Italia la sanzione più pesante è stata di 50 mila Euro inflitta dal Garante per la protezione dei dati personali all’Associazione Rousseau per la mancanza di adeguate misure di sicurezza a protezione dei dati personali degli iscritti all’omonima piattaforma.

 

Come evitare le sanzioni?

Il nuovo approccio risk based introdotto dal GDPR presuppone necessariamente che la valutazione del rischio parta innanzitutto dall’analisi della peculiare situazione aziendale e, da questa, inizi a tracciare e definire i processi, le procedure e le misure di protezione più adeguate all’attuale assetto dell’azienda, compatibili con i progetti e le evoluzioni programmate a breve-medio termine.

Necessario quindi per l’Azienda affrontare il tema con visione d’insieme e approccio strategico, partendo innanzitutto da una fase di audit e di valutazione del rischio assieme a professionisti dedicati e conoscitori della materia.

 

 

 

Le informazioni contenute nel presente contributo, così come tutto il contenuto del nostro sito web, hanno carattere generale e scopo meramente informativo, naturalmente senza pretesa di esaustività, e non costituiscono attività di consulenza legale mirata. Nessuna parte di questo contributo può essere riprodotta, distribuita o trasmessa in qualsiasi forma e con qualsiasi mezzo senza la previa autorizzazione scritta dell’autore.

Copyright © Studio Legale Bressan 2020