Tempo di lettura stimato: 8'
Cosa stanno facendo aziende, professionisti ed enti oggi per proteggere i dati delle persone? Un primo segnale ce lo dà il Garante, che in maggio ha pubblicato la sua relazione sull'attività svolta nel 2018, a un anno di distanza dalla data in cui il GDPR è diventato operativo.
Nella relazione il Garante per la protezione dei dati personali fa il punto della situazione. Ci dice quanti reclami e quante segnalazioni ha ricevuto, quante sanzioni ha comminato e quante ispezioni sono state fatte.
I numeri del 2018: 5.640 fra segnalazioni e reclami, 517 provvedimenti, 488 sanzioni e 150 ispezioni
Nel 2018 il Garante ha adottato 517 provvedimenti, applicato quasi 500 sanzioni e ha dato riscontro a oltre 5.6000 richieste tra quesiti, reclami e segnalazioni. Su cosa? Principalmente sul trattamento di dati personali in questi ambiti:
- marketing telefonico e cartaceo
- centrali rischi
- credito al consumo
- videosorveglianza
- concessionari di pubblico servizio
- recupero crediti
- settore bancario e finanziario
- assicurazioni
- lavoro
- enti locali
- sanità e servizi di assistenza sociale
Il dato più interessante della Relazione sul 2018 è che la maggior parte delle sanzioni non è stata comminata in seguito ad un’ispezione, ma dopo un reclamo o una segnalazione. Vuole dire che:
a) L’azienda ha fatto una sporcaccionata così grossa – o magari più di una - che qualcuno si è stufato e ha fatto un reclamo.
Un classico esempio è quello dell’impresa che acquista un database di contatti, li passa alla società di telemarketing in Tunisia, che inizia a perseguitare le persone con telefonate a tutte le ore del giorno e della notte perché facciano un contratto telefonico per cambiare fornitore energetico o investire in trading online. Antonio non ne può più di ricevere chiamate mentre è al lavoro, quando mangia e quando va al parco con i figli. Va all’associazione dei consumatori, fa un reclamo, l’associazione segnala al Garante, che avvia un’ispezione.
Oppure è il caso dell’azienda che installa un sistema di videosorveglianza, non informa i lavoratori e inizia a controllarli sul lavoro; un dipendente se ne accorge, va dai sindacati, i sindacati fanno una vertenza e avvisano l’Autorità.
b) Un concorrente ha segnalato l’azienda. Ha giocato sporco.
Succede? Sì. Paura? Ci sta, ma puoi difenderti. Assicurati di indossare le mutande pulite – verifica che la tua informativa sia adeguata, agisci con accountability e sii consapevole che il GDPR riguarda tutti, anche te – perché se ti becchi una visita ispettiva e hai fatto le cose in regola, è quasi certo che l’Autorità di controllo sposterà il mirino su chi ti ha segnalato.
La segnalazione è un boomerang che quando torna indietro ti fa il pelo e il contropelo.
Quindi, occhio, perché solo chi è senza peccato può scagliare la prima pietra…
Le sanzioni: € 8.161.806, cioè il 115% in più rispetto al 2017
Nel 2018 l’Autorità Garante ha riscontrato 707 violazioni amministrative e riscosso sanzioni per oltre 8 milioni di euro. Le violazioni rilevate sono soprattutto legate a:
- Trattamento illecito di dati
Esempio – La Peppino Holding International è una multinazionale che ha sviluppato un’applicazione che mette in contatto pazienti e dottori. Il Garante fa un controllo e rileva che la Peppino Holding non ha un’informativa adeguata, non ha raccolto i consensi in modo lecito e non ha adottato sufficienti misure di sicurezza nel proteggere i dati personali e particolari degli utenti. Ecco che scatta la sanzione.
- Mancata adozione di misure di sicurezza
Esempio – In seguito ad una violazione dei dati personali (Data Breach), il Garante rileva alcune debolezze strutturali nel sistema informatico dell’azienda Peppinello srl, specializzata in telemarketing e customer care, e la sanziona.
- Telemarketing
Esempio – L’azienda Peppino srl opera nel trading online. Acquista contatti da un’agenzia e si affida ad un call center di Durazzo per fare telemarketing selvaggio in Italia. Giulia, dopo aver ricevuto telefonate anche alle 10 di sera, si iscrive al registro delle opposizioni. Nulla. La Peppino srl continua a proporle di investire. Giulia fa una segnalazione al Garante che la accoglie e sanziona la Peppino srl.
- Omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali
Esempio – La Peppino srl, non contenta di limitarsi al telemarketing selvaggio, apre un sito di consulenza sul trading online e dà la possibilità alle persone di accedere ad un videocorso gratuito di 3 lezioni, previa registrazione sul sito. Una volta che l’utente si registra, accettando l’informativa in cui la Peppino srl dichiara di usare i dati solo per l’invio del videocorso, inizia a ricevere newsletter e messaggi promozionali mirati dall’azienda. Antonio, che ha seguito i corsi di PrivacyLab, e che non ha dato il suo consenso all’uso dei dati per finalità di marketing, fa una segnalazione al Garante che la accoglie e sanziona la recidiva Peppino srl.
- Omessa esibizione di documenti al Garante
Esempio – La Peppino srl, che a forza di sporcaccionate è finita sulla lista nera del Garante, non ha né il registro dei trattamenti, né le nomine dei responsabili esterni. Il Garante la sanziona, fra le altre cose, anche per omessa esibizione di documenti.
Visite ispettive 2018: quali sono stati i settori più controllati dal Garante
Le ispezioni programmate nel 2018 sono state 150 e l’attività ispettiva ha riguardato soprattutto:
- società ed enti che gestiscono banche dati di grandi dimensioni per verificare come hanno trattato i dati personali raccolti
- aziende sanitarie locali che trattano dati sanitari e li trasferiscono a terzi a fini di ricerca
- istituti di credito e società di rating che valutano rischio e solvibilità delle imprese
- società di telemarketing (finite sulla lista nera soprattutto perché sono state segnalate al Garante in modo massiccio)
- soggetti pubblici e privati che trattano dati sensibili per verificare quali misure di sicurezza hanno adottato
- verifiche relative all’obbligo di informativa, alla pertinenza e non eccedenza nel trattamento, alla libertà e validità del consenso, alla durata della conservazione dei dati
Il Garante ha concentrato i controlli soprattutto su alcune categorie di titolari del trattamento:
- enti pubblici - in particolare comuni e regioni – che hanno adottato app per smartphone o tablet; il Garante ha controllato il tipo di dati raccolti e in che modo sono stati raccolti (compresa profilazione e geolocalizzazione), quali misure di sicurezza sono state adottate e se i dati sono stati comunicati a terzi
- società e altri operatori economici, per verificare come hanno trattato i dati personali raccolti dal loro sito web, l’adeguatezza dell’informativa, l’acquisizione del consenso e l’eventuale comunicazione a terzi delle informazioni
- società che offrono servizi di money transfer per verificare l’adeguatezza dell’informativa, l’acquisizione del consenso, l’eventuale notificazione del trattamento, le misure di sicurezza adottate, le finalità di raccolta dei dati da fonti terze
- società ed enti pubblici che offrono servizi medico-sanitari con app per smartphone o tablet, per verificare il rispetto degli obblighi relativi all’informativa e al consenso degli interessati, la possibilità di esercitare i loro diritti, la localizzazione geografica e la loro profilazione, le misure di sicurezza e l’eventuale adempimento degli obblighi di notificazione
- società di assicurazione per la responsabilità civile che installano scatole nere a bordo dei veicoli assicurati per verificare: come sono stati trasmessi i dati dal mezzo di trasporto al database della società assicurativa (o ad un database esterno), quali sistemi di cifratura sono stati usati, se c’è stata geolocalizzazione e profilazione - e quindi l’obbligo di notificazione al Garante -, se era stata data l’informativa e come è stato acquisito il consenso; inoltre il Garante ha verificato quali soggetti erano autorizzati a raccogliere i dati dalle scatole nere e in che modo hanno agito, se i dati sono stati comunicati a terzi e quali misure di sicurezza sono state adottate
I provvedimenti adottati dall’Autorità Garante nel 2018
Dopo la visita ispettiva cosa succede? Succede che il Garante adotta dei provvedimenti e applica spesso una sanzione amministrativa.
Nel 2018, per esempio, l’Autorità ha adottato un provvedimento nei confronti di un operatore di servizi di assistenza telefonica alla clientela e customer care, che lavorava per conto di un rilevante operatore internazionale della TV a pagamento - quando si dice fare attenzione all’accountability del responsabile esterno… - vietandogli di trattare i dati personali dei dipendenti usando un certo CRM, perché questo software permetteva all’azienda di ricostruire l’attività dei singoli lavoratori, senza che fosse stata data loro un’informativa adeguata, e quindi di controllarli a distanza, anche solo potenzialmente e indirettamente.
In un altro caso, il Garante ha vietato ad uno dei maggiori operatori telefonici nazionali di trattare dati di profilazione dei propri clienti, imponendo all’azienda di adottare misure tecnico-organizzative per escludere dalle sue liste le persone che avevano deciso di opporsi al trattamento e memorizzare sui propri sistemi informativi i contatti tenuti dai suoi partner commerciali. Perché? Perché l’azienda di telefonia aveva, fra le altre cose, estratto dati dai propri si sistemi, li aveva inseriti nelle liste di contattabilità per poi trasmetterli ai call center cui si appoggiava per le chiamate, senza chiedere un consenso valido ai clienti e senza aver controllato il modo in cui i call center lavoravano.
Dulcis in fundo, tra i vari provvedimenti del 2018, l’Autorità Garante ne ha adottato uno nei confronti delle società di un importante gruppo internazionale nel trasporto automobilistico privato – leggi Uber - che ha trattato in modo illecito dati personali attraverso la sua applicazione mobile che mette in collegamento diretto passeggeri e autisti. Il gruppo ha trattato i dati – parliamo di informazioni personali di passeggeri e autisti fra cui: dati identificativi e di contatto, localizzazione, account e numero della patente di guida – senza dare un’informativa idonea, senza acquisire un consenso valido e senza notificare al Garante che i suoi trattamenti erano tali da rivelare la posizione geografica degli utenti.
Come funziona una visita ispettiva e il ruolo della Guardia di finanza
Suonano alla porta dell’azienda e – sorpresa! - c’è la Guardia di finanza. Ecco come inizia la visita ispettiva. La Finanza può arrivare per via di una segnalazione, di un reclamo o perché hanno sorteggiato proprio te.
Che sia per sfiga, per una sporcaccionata o per gioco sporco, quando arriva, il Nucleo Speciale della Guardia di finanza passa al setaccio tutto. Sono persone che sanno il fatto loro. Conoscono la legge e i sistemi informatici.
Verificano registro dei trattamenti, informative, consensi, sito web, nomine dei responsabili esterni, contratti, videosorveglianza, CRM, newsletter e come i dati vengono trasmessi da un sistema all’altro. Ti chiedono di dare evidenza, cioè di dimostrare la tua accountability: in quanto titolare del trattamento hai il dovere dimostrare che hai fatto tutto il possibile perché il rischio residuale dei dati personali che tratti sia basso.
La visita si conclude con il verbale e l’invio di un CD con screenshot e documenti all’Autorità, sarà poi il Garante a decidere se adottare un provvedimento e comminare una sanzione.
Quindi? Quindi non ci sono più scuse.
Puoi avere la sede in Italia, a Parigi o su Marte.
Se hai un’azienda è quasi certo che tratti dati personali e devi agire di conseguenza: adottare tutte le misure per proteggerli, formare dipendenti e responsabili esterni, tenere il registro dei trattamenti e se hai un’attività B2C ti conviene nominare anche un DPO.
Ti interessa sapere come funziona una visita ispettiva nel dettaglio? Leggi il racconto
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.