Tra le varie affermazioni che giornalmente noi consulenti sentiamo ( Non sanno più cosa inventarsi per fare guadagnare i consulenti, Non se ne può più di tutta questa burocrazia inutile, Eh! Ma noi non trattiamo dati personali!, Che ipocrisia, ormai i dati personali sono di dominio pubblico!, Tanto non ho niente da nascondere!, Facciamo il “minimo indispensabile”, che non ho tempo, a noi basta il “6-“, ecc…) che magari affronterò in altri articoli, ora vorrei occuparmi a fare qualche considerazione sull’affermazione
” Si, ma tanto, prima che vengano a controllare prima noi ce ne sono… Google, Facebook, ospedali, commercialisti, avvocati, banche…”
Occorre considerare che il 50% delle ispezioni per quanto riguarda la gestione dei dati personali (GDPR) derivano da segnalazioni di utenti, che per insoddisfazione sul trattamento a loro riservato o per mero calcolo (magari si tratta di lavoratori scontenti o in contenzioso con l’azienda) effettuano la denuncia al Garante, senza contare che l’organo preposto al
controllo esecutivo in Italia è la Guardia di Finanza, che assolve anche numerosi altri compiti, e che potrebbe attivarsi se, durante lo svolgimento di altri controlli, riscontrasse palesi violazioni al GDPR.
Ciò significa che AVERE QUALCHE DOCUMENTO IN REGOLA NON BASTA, perché se alla base non c’è UN SISTEMA DI GESTIONE che “permea la cultura dell’azienda” e fa sì che la “cultura della gestione dei dati” sia un vestito da indossare tutti i giorni e non solo “i giorni di festa” (quelle rare occasioni dove è presente il consulente o si sa che deve arrivare un controllo di qualche personalità/autorità), prima o poi si commetterà qualche violazione per “mancanza di tempo, di budget, per dimenticanza…
Ad oggi però, dopo un primo periodo più o meno dichiarato di tolleranza, le autorità di controllo di tutta Europa (Italia inclusa) hanno cominciato ad attivarsi, e a fare controlli attenti; è notizia fornita dal CNIL, l’autorità di controllo sulla protezione dei dati personali francese, un provvedimento sanzionatorio degno di considerazione (délibération del 28 maggio 2019 n° SAN-2019-005), oltre che per il “sostanzioso ammontare”, soprattutto per la tipologia di azienda che ha subìto tale provvedimento, ovvero una normalissima società immobiliare.
Il CNIL ha infatti sanzionato per ben 400.000 euro una società di servizi immobiliari francese, Sergic SAS, per aver violato le prescrizioni di cui agli artt. 32 e 5 par 1 lett. e) del GDPR che impongono rispettivamente l’adozione di adeguate misure di sicurezza e la conservazione dei dati personali per periodi di tempo non superiori a quanto necessario per il conseguimento delle finalità per cui detti dati sono trattati; queste violazioni peraltro sono molto comuni in diverse realtà che non hanno ancora approcciato correttamente la messa in regola al GDPR.
La denuncia parte da un utente, che ha segnalato che i fascicoli personali (e relativi dati e documenti) erano liberamente accessibili da chiunque via web, semplicemente modificando il numero contenuto nella parte finale dell’indirizzo URL, ciò anche per via della mancata adozione di una efficace quanto basilare procedura di autenticazione dell’utente; per quanto riguarda invece la mancata conservazione con limiti temporali… semplicemente non era stata prevista.
Secondo il CNIL, dunque, la violazione dei dati essendo imputabile a un difetto di progettazione (per vero piuttosto elementare) del sito, rientra nei casi di mancata adozione di misure di sicurezza adeguate ex art. 32 GDPR. Nel valutare la gravità della violazione e dunque per quantificare la sanzione pecuniaria, l’autorità francese ha tenuto conto di alcune circostanze; oltre all’ estrema vulnerabilità dei sistemi di sicurezza, la “delicatezza” dei dati trattati dalla società, la numerosità elevata degli stessi (più di 290.000 file riferiti a più di 29.000 persone) e anche la mancanza di sollecitudine nell’ implementare misure più efficaci, avendo appurato che la società risultava a conoscenza della violazione da (almeno) marzo 2018.
La mancata definizione di un limite di conservazione (nemmeno utilizzando un “limbo” intermedio non accessibile ad alcuno, ad esempio un’archiviazione Cloud) configura invece la violazione dell’art.5.
RIASSUMENDO direi che questa vicenda “alza il livello dell’allarme per le aziende che ricercano il 6-“, in quanto il provvedimento del CNIL è estremamente significativo, ed EVIDENZIA DEGLI ASSUNTI FONDAMENTALI COMUNI A TUTTE LE AUTORITÀ DI CONTROLLO DELL’UNIONE EUROPEA:
-
È aumentata la sensibilità da parte dell’opinione pubblica per il modo in cui vengono trattati i dati
-
È importante adottare un’infrastruttura informatica adeguata per garantire il rispetto del GDPR
-
È importante adottare misure organizzative adeguate (Sistema di Gestione) per GARANTIRE il rispetto del GDPR
Le segnalazioni alle autorità di controllo in tutta l’Unione Europea sono aumentate esponenzialmente e le attività d’indagine sono decuplicate, così come i casi di applicazione di sanzioni pecuniarie, anche salate.
“Tanto non verranno mai a controllarmi” vale ancora? Dai dati che emergono e facendo un’elementare analisi dei rischi BASANDOSI ESCLUSIVAMENTE SUL COSTO DEL CONSULENTE direi di no…
E indirettamente DIFFIDATE DAL CONSULENTE CHE NON VI METTE IN GUARDIA DAI RISCHI CHE INCOMBONO SULLA VOSTRA SOCIETÀ quando chiedete “il minimo indispensabile per essere in regola”.