Spesso nei contatti che intercorrono con le aziende, quando
iniziamo a parlare di GDPR abbiamo le medesime obiezioni da parte dei titolari…
- Non sanno più cosa inventarsi per fare guadagnare i consulenti (e tu sei lì in veste di consulente) !!!
- Non se ne può più di tutta questa burocrazia inutile! (e il bello è che mi è capitato che a dire questo, a fronte di una parcella di 1.500€ sia stato il commercialista dell’azienda che stacca parcelle di 10.000+€, sfruttando la contabilità più incasinata e le regole tributarie più burocratizzate ed incasinate al mondo)
- Eh! Ma noi non trattiamo dati personali! (non si parla di dati “SENSIBILI”, ora denominati “altre categorie di dati”, e magari si tratta di azienda con decine di dipendenti)
- Che ipocrisia, ormai i dati personali sono di dominio pubblico! (beh, magari posso decidere quali divulgare e quali non voglio siano divulgati…)
- Tanto non ho niente da nascondere! (sul serio?... quindi che devo fare? Torno a casa?...)
- Facciamo il “minimo indispensabile”, che non ho tempo, a noi basta il “6-“ (si intende il minimo indispensabile per non essere sanzionati spendendo quindi IL MINIMO in consulenza, ma bisogna anche mettere in conto che tra il “6-“ e l’insufficienza, e quindi la sanzione, c’è una minima, piccolissima, sfumatura)
- Si, ma tanto, prima che vengano a controllare prima noi ce ne sono… Google, Facebook, ospedali, commercialisti, avvocati, banche… Beh, direi che in questo articolo iniziamo a “smontare” questo assunto…
Innanzi tutto è calcolato che il 50% delle ispezioni per quanto riguarda la gestione dei dati personali (GDPR) derivano da segnalazioni di utenti, che per insoddisfazione sul trattamento a loro riservato o per mero calcolo (magari si tratta di lavoratori scontenti o in contenzioso con l’azienda) effettuano la denuncia al Garante, senza contare che l’organo preposto al controllo esecutivo in Italia è la Guardia di Finanza, che assolve anche numerosi altri compiti, e che potrebbe attivarsi se, durante lo svolgimento di altri controlli, riscontrasse palesi violazioni al GDPR.
Ciò significa che AVERE QUALCHE DOCUMENTO IN REGOLA NON BASTA, perché se alla base non c’è UN SISTEMA DI GESTIONE che “permea la cultura dell’azienda” e fa sì che la “cultura della gestione dei dati” sia un vestito da indossare tutti i giorni e non solo “i giorni di festa” (quelle rare occasioni dove è presente il consulente o si sa che deve arrivare un controllo di qualche personalità/autorità), prima o poi si commetterà qualche violazione per “mancanza di tempo, di budget, per dimenticanza…
Ad oggi però, dopo un primo periodo più o meno
dichiarato di tolleranza, le autorità di controllo di tutta Europa
(Italia inclusa) hanno cominciato ad attivarsi, e a fare controlli attenti;
è notizia fornita dal CNIL, l’autorità di controllo sulla protezione dei
dati personali francese, un provvedimento sanzionatorio degno di
considerazione (délibération del 28 maggio 2019 n° SAN-2019-005), oltre
che per il “sostanzioso ammontare”, soprattutto per la tipologia di azienda che
ha subìto tale provvedimento, ovvero una normalissima società
immobiliare.
Il CNIL ha infatti sanzionato per ben 400.000 euro una
società di servizi immobiliari francese, Sergic SAS, per aver violato
le prescrizioni di cui agli artt. 32 e 5 par 1 lett. e) del GDPR che impongono
rispettivamente l’adozione di adeguate misure di sicurezza e la conservazione
dei dati personali per periodi di tempo non superiori a quanto necessario per
il conseguimento delle finalità per cui detti dati sono trattati; queste
violazioni peraltro sono molto comuni in diverse realtà che non hanno ancora
approcciato correttamente la messa in regola al GDPR.
La denuncia parte da un utente, che ha segnalato che i
fascicoli personali (e relativi dati e documenti) erano liberamente
accessibili da chiunque via web, semplicemente modificando il numero
contenuto nella parte finale dell’indirizzo URL, ciò anche per via della
mancata adozione di una efficace quanto basilare procedura di autenticazione
dell’utente; per quanto riguarda invece la mancata conservazione con limiti
temporali… semplicemente non era stata prevista.
Secondo il CNIL, dunque, la violazione dei dati essendo
imputabile a un difetto di progettazione (per vero piuttosto elementare)
del sito, rientra nei casi di mancata adozione di misure di sicurezza
adeguate ex art. 32 GDPR. Nel valutare la gravità della violazione e dunque
per quantificare la sanzione pecuniaria, l’autorità francese ha tenuto conto
di alcune circostanze; oltre all’ estrema vulnerabilità dei sistemi di
sicurezza, la “delicatezza” dei dati trattati dalla società, la numerosità
elevata degli stessi (più di 290.000 file riferiti a più di 29.000 persone)
e anche la mancanza di sollecitudine nell’ implementare misure più efficaci,
avendo appurato che la società risultava a conoscenza della violazione da
(almeno) marzo 2018.
La mancata definizione di un limite di conservazione
(nemmeno utilizzando un “limbo” intermedio non accessibile ad alcuno, ad
esempio un’archiviazione Cloud) configura invece la violazione dell’art.5.
RIASSUMENDO direi che questa vicenda
“alza il livello dell’allarme per le aziende che ricercano il 6-“, in quanto il
provvedimento del CNIL è estremamente significativo, ed EVIDENZIA DEGLI ASSUNTI
FONDAMENTALI COMUNI A TUTTE LE AUTORITÀ DI CONTROLLO DELL’UNIONE EUROPEA:
- È aumentata la sensibilità da parte dell’opinione pubblica per il modo in cui vengono trattati i dati
- È importante adottare un’infrastruttura informatica adeguata per garantire il rispetto del GDPR
- È importante adottare misure organizzative adeguate (Sistema di Gestione) per GARANTIRE il rispetto del GDPR
Le segnalazioni alle autorità di controllo in tutta l’Unione Europea sono aumentate esponenzialmente e le attività d’indagine sono decuplicate, così come i casi di applicazione di sanzioni pecuniarie, anche salate.
“Tanto non verranno mai a controllarmi” vale ancora? Dai
dati che emergono e facendo un’elementare analisi dei rischi BASANDOSI
ESCLUSIVAMENTE SUL COSTO DEL CONSULENTE direi di no…