Il GDPR General Data Protection Regulation, erroneamente e semplicemento definito "Privacy" è il Reg. Eu 679/2016 divenuto cogente il 25 maggio 2018.
Nei primi mesi del 2020 il" Garante per la Protezione dei Dati Personali" italiano ha scosso il mercato con 2 sanzioni milionarie a ENI e TIM, per un valore complessivo di quasi 40 milioni di euro. In Luglio sono arrivate le sanzioni per Wind Tre e Iliad per altri 18 milioni di euro.
In tutta europa sanzioni milionarie hanno colpito Google (50 milioni dal Garante Francese), British airways (Garante inglese), ospedali (Garanti portoghese e olandese), agenzie di Real estae e assicurative (Garante tedesco). EDPB ha ammonito con un paper Microsoft.
Sanzioni minori, nell’ordine delle decine di migliaia di euro, se pur meno eclatanti, stanno accendendo l’’attenzione sul tema della protezione dei dati personali, che a dire il vero non è nuovo, anche se molto se ne è parlato dopo l’approvazione del GDPR (Regolamento UE 679/2016) il 25 maggio 2018.
Ogni 6 mesi il Garante italiano definisce il proprio piano ispettivo dando evidenza di quali siano le materie su cui concentrerà la propria attività d’indagine.
Il Garante è coaudiuvato dal Nucleo Speciale Privacy della Guardia di Finanza.
-
Non solo Privacy
Ogni organizzazione, che tratta dati personali, deve adeguarsi alle prescrizioni in materia di privacy.
Il vecchio Codice Privacy (D.Lgs. 196/2003) novellato con il D.Lgs. 101/2018 è stato integrato al GDPR.
Talvolta definire quetsa materia Privacy ne riduce importanza e ampiezza. Il GDPR tutela e protegge i dati personali nella loro interezza e non solo per quanto concernente la sfera della riservatezza.
Le ricadute sono significative:
- Il marketing sta mutando costringendosi a modificare prassi consolidati per rispettare il GDPR mentre alcun aziende innovative stanno trasformando la Privacy in vantaggio competitivo per farne elemento distintivo (es: Apple con una campagna media dove l'I-phone garantiva la privacy del suo possessore).
- Le incombenze e responsabilità sulla catena di fornitura (ex Art. 28 GDPR) con le relative verifiche sulla conformità del fornitore al GDPR, stanno trasformando la Privacy in un fattore discriminante in fase di selezione.
- Un recente studio di Cisco dimostra che in Italia per ogni euro di investimento in Privacy, si riceve un beneficio di 2,4 euro.
- Il concetto di "Privacy by desicn" così come il tema della "scadenza del dato" o "diritto all'oblio" stanno portando significative modifche in ambito di sviluppo digitale.
-
I 3 pilastri della Privacy Sostanziale
In un recente convegno il Colonello Menegazzo della Guardia di Finanza, Nucleo speciale Privacy, ha dichiarato: "Dopo 21 anni di Privacy formale è giunta finalmente l'ora della Privacy sostanziale" (Direttiva 46 del 1995 - Regolamento 679 del 2016).
L'applicazione puntuale del GDPR si fonda su tre aspetti rilevanti la cui corretta implementazione dovrebbe essere affidata a 3 professionisti diversi.
- Aspetti normativi, documentali e contrattuali per professionisti in ambito legale;
- Aspetti organizzativi e dei processi per esperti di sistemi di gestione;
- Aspetti di sicurezza del dato e infrastruttura informatica per ITC Manager;
Solo un team multidisciplinare può possedere tutte le conoscenze necessarie.
Le Soluzioni GRC
Il vantaggio di affidarsi a GRC e al suo team di professionisti, con competenze multidisciplinari e dediti alla quotidiana implmentazione della Data Protection è, oltre alla veriticale conoscenza delle singole materie e al continuo e costante aggiornamento, avere una squadra composta da avvocati, esperti ITC e consulenti di gestione al tuo servizio.
Noi di GRC offriamo:
Prima parte
- Pianificazione attività con GANTT
- Sezione formativa con rilascio di attestati di partecipazione
- Interviste al personale dell’organizzazione, strutturate per processi e funzioni organizzative. L’attività di intervista, volta a mappare le attività di trattamento, consente di ottenere una visione d’insieme ed al contempo approfondita delle tipologie di dati personali gestiti, dei trattamenti effettuati sugli stessi, dei supporti di archiviazione utilizzati, acquisendo tutte le informazioni rilevanti ai fini della definizione del contesto a cui applicare il nuovo impianto normativo richiesto dal GDPR.
Seconda parte
- Caricamento delle informazioni nel tool KeyMap (Software proprietario per l’implementazione del sistema privacy), per la strutturazione e formalizzazione delle informazioni raccolte
- Analisi del rischio con metodologia ENISA
- GAP analysis con metodo ISO/IEC 27001
- Redazione Registro dei Trattamenti
- Costruzione dell’Organigramma Privacy e definizione delle responsabilità interne ed esterne
Terza parte
- Supporto e affiancamento per l'implementazione dell’apparato documentale (Informative, Nomine Autorizzati, Nomine Responsabili esterni, Nomina Amministratore di Sistema)
- Stesura Policy Diritti degli Interessati, Policy Data Breach, BYOND Policy
- Servizio DPO esterno
- Supporto legale per l’aggiornamento della contrattualistica aziendale
- Revisione e mantenimento puntuale del Registro dei Trattamenti con software Keymap
-
Simulazione ispettiva del Garante
Testa la tua conformità al GDPR della tua organizzazione, per individuare eventuali lacune o aree di miglioramento, con il nostro special audit sul campo per simulare un'attività ispettiva del Garante.
Il Documento di Conformità
Il Documento di Conformità descrivere il Sistema di Gestione Privacy adottato “tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio” (consideando 90 GDPR), nonché delle misure di sicurezza sia tecniche che organizzative adeguate che debbono essere adottate in via preventiva da tutti coloro che trattano dati personali, (Art. 32 GDPR) ed in applicazione dei principi di privacy by design e privacy by default (art. 25 GDPR).
Il Documento costituisce un valido strumento per la dimostrazione del principio di accountability (“responsabilizzazione”) del Titolare, come richiesto dagli artt. 5 e 24 del Reg. UE 2016/679.
Il Documento si compone di:
- Quadro d'insieme: Visualizzazione tabellare di processi organizzativi, ricognizione di attività di trattamento, dati personali e loro tipologia;
- Trattamenti, finalità e basi giuridiche: Visualizzazione tabellare con evidenza puntuale del trattamento, della sua finalità e pertinente Base giuridica;
- Analisi del rischio in conformità alle indicazioni di ENISA (l’Agenzia europea per la sicurezza delle reti e dell'informazione) e allo standard ISO/IEC 29134:2017;
- Gap Analysis delle misure di sicurezza adottate in relazione con lo standard ISO/IEC 27001:2013;
- "Registro Attività di Trattamento del Titolare";
- "Registro "Attività di Trattamento del Responsabile",
- "Registro dei Responsabili"
- "Registro Trattamenti/ruoli"
- Analisi del livello di rischio specifico per risorese e trattamenti
Le sanzioni
Articolo 83
Condizioni generali per infliggere sanzioni amministrative pecuniarie
"In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie..."
"...fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore" (Art. 83, comma 4 GDPR).
"...fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore" (Art. 83, comma 5 GDPR).
Alcuni esempi di sanzioni:
Mancata informativa e violazioni artt. 5, 8, 28 e 32 de GDPR: 80.000 euro all'Ospedale “A. Cardarelli” di Napoli e 60.000 euro alla Scanshare s.r.l. per molteplici violazioni del GDPR, durante laprocedura concorsuale. Le violazioni dei principi di liceità, correttezza e trasparenza, (art. 5, par. 1, lett. a); dell’art. 13 del Regolamento, in quanto non è stata fornita agli interessati un’idonea informativa; dell’art. 28 del Regolamento, in quanto l’Azienda ha omesso di regolamentare il rapporto con la Società; degli artt. 6 e 9 GDPR e degli artt. 2-ter, 2-sexies, 2-septies del Codice, in quanto i dati relativi alla salute sono stato trattati, comunicati e diffusi in assenza di un’idonea base giuridica; dell’art. 32 in quanto non sono state adottate adeguate misure tecniche e organizzative volte a garantire la riservatezza e l’integrità dei dati personali trattati.
Monitoraggio dei dipendenti: 35.258.707 euro a H&M per profilazione dei dipendenti. La sanzione è stata comminata dal Commissario di Amburgo per la protezione dei dati e la libertà di informazione (HmbBfDI).
Anonimizzazione mediante iniziali: 4.000 euro al Comune di Greve in Chianti e 6.000 euro all'Unione di Comuni per aver pubblicato, nella sezione “Albo online” del sito web istituzionale del Comune, una determinazione del Segretario Generale, al cui interno erano menzionati riferimenti a vicende relative al rapporto di lavoro di un ex dipendente, anonimizzandola mediante l’uso delle iniziali e il numero di matricola.
Misure di sicurezza: 600.000 euro a Unicredit per un data breach che ha coinvolto i dati di 762.000 clienti (Garante italiano nel Luglio 2020).
Marketing: 16.729.600 euro a Wind Tre Spa per “marketing selvaggio” (Telemarketing e contatti promozionali indesiderati, effettuati senza consenso tramite sms, e-mail, fax, telefonate e chiamate automatizzate; Impossibilità a esercitare il diritto di revoca del consenso o di opposizione al trattamento per marketing; irregolarità sull'acquisizione del consenso per le app MyWind e My3; illeciti nella filiera dei partner commerciali di Wind Tre, anche con impropria attivazione di contratti (Garante italiano nel Luglio 2020).
Telemarketing: 200.000 € a un call center romano per raccolta e uso inappropriato dei dati (Garante italiano nel Luglio 2020).
Segregazione degli accessi: 800.000 € a Iliad per violazioni del GDPR e accesso dei propri dipendenti ai dati di traffico dei clienti (Garante italiano nel Luglio 2020).
Telemarketing: 27.802.946 a Tim SpA per Marketing e telemarketing: (Mancato controllo su operato dei call center che chiamavano senza consenso, mancato aggiornamento delle black list dove vengono registrate le persone che non vogliono ricevere pubblicità, bbligo di rilascio del consenso per aderire al programma “Tim Party” con i suoi sconti e premi, Informative e raccolta del consenso per le App inadeguate, errata gestione di data breach, non conformità nelle registrazioni audio dei contratti stipulati telefonicamente - verbal order, tempi di conservazioni errati per le utenze di clienti di altri operatori, detenute da Tim in quanto gestore della rete (Garante italiano nel Gennaio 2020).
Telemarketing e teleselling: 11.500.000 a ENI Gas e Luce per Telemarketing senza il consenso o nonostante il diniego a ricevere chiamate promozionali, Non verifica del Registro pubblico delle opposizioni; Assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; Acquisto di liste contatti prive dei consensi (list provider), irregolarità nella conclusione dei contratti (Garante italiano nel Dicembre 2019)
Mancanza di misure di sicurezza:110.390.200 euro a Marriott International per un data breach e divulgazine online dei dati dei clienti di cui circa 30 milioni relativi a residenti in 31 paesi dello Spazio Economico Europeo (SEE) e circa 7 milioni legati ai residenti nel Regno Unito (Garante inglese nel Luglio 2019).
Mancanza di misure di sicurezza: 204.600.000 euro a British Airways per un data breach, a seguito del quale gli utenti erano reindirizzati a un sito fraudolento (Grante inglese nel Luglio 2019).
Mancanza di misure di sicurezza: 130.000 euro a Unicredit Bank S.A (Garante Rumeno nel Giugno 2019).
Segregazione accessi: 460.000 euro all’ospedale di Haga - L’Aia, per un’insufficiente protezione dei file dei pazienti da accessi non autorizzati del personale non medico con un ulteriore anzione di 100.000 euro se le misure non fossero adottate entro 4 mesi (Garante olandese nel Giugno 2019).
Conservazione dei dati: 200.850 euro a IDdesign per aver conservato i dati di un elevato numero di clienti per un periodo superiore al necessario (Garante danese nel Giugno 2019).
Conservazione dei dati: 400.000 euro a SERGIC, società specializzata nell’acquisto, nella vendita, nell’affitto e nella gestione di proprietà immobiliari, per inadeguate misure di sicurezza, in violazione dell’art. 32 GDPR, e per un eccessivo periodo di conservazione dei dati degli utenti (Garante privacy francese nel maggio 2019).
Misure di sicurezza: 50 mila euro all’Associazione Rousseau per la mancanza di adeguate misure di sicurezza a protezione dei dati personali degli iscritti alla piattaforma (Garante italiano nel aprile 2019).
Misure di sicurezza: 170.000 euro per mancanza di misure di sicurezza adeguate a protezione del sistema informatico comunale, nello specifico delle credenziali di accesso degli studenti e dei dipendenti delle scuole primarie (Garante norvegese nel marzo 2019).
Marketing: 219.538 euro per trattamento di dati per finalità di marketing, nello specifico dati personali provenienti da fonti pubbliche, senza fornire l’informativa ai sensi dell’art. 14 del GDPR (Garante polacco nel marzo 2019)
Trasparenza: 50 milioni di euro per violazioni del GDPR con riferimento al sistema Android per dispositivi mobile in termini di obblighi di trasparenza e informazione e consenso al trattamento dei dati personali per finalità di marketing non validamente ottenuto (Garante Francese nel gennaio 2019)
Misure di sicurezza: 20.000 euro per carenza di misure di sicurezza per un sito web (Garante tedesco nel novembre 2018)
Videosorveglianza: 4.000 euro per uso improprio del sistema di videosorveglianza (Garante austriaco nel ottobre 2018);
Segregazione degli accessi: 400.000 euro per accesso indiscriminao e ingiustificato ai dati sanitari dei pazienti da personale non medico (Garante portoghese nel aprile 2018)
