Buon Compleanno GDPR! Alcune riflessioni dopo 4 anni dall’entrata in vigore

GDPR, Data Protection Management Toolsdelle normativa

Buon Compleanno GDPR! Alcune riflessioni dopo 4 anni dall’entrata in vigore.

Il General Data Protection Regulation (GDPR) è il regolamento UE 2016/679 del Parlamento europeo, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla loro libera circolazione. Questo regolamento, noto in Italia come Regolamento Generale sulla Protezione dei Dati (RGPD), è stato pubblicato il 27 aprile 2016 ma è diventato efficace circa due anni dopo, precisamente il 25 maggio 2018, comportato un importante svolta nelle modalità di trattamento dei dati degli individui e nell’ampliamento dei diritti dei soggetti interessati. Se n’è parlato molto nel periodo preparatorio e nei primi mesi successivi ma ora sembra essere passato in secondo piano.

Sono molte le aziende che hanno colto l’occasione per adottare nuovi modelli e procedure che hanno permesso loro di raggiungere un livello di sicurezza ottimale. Tra queste, le più lungimiranti e virtuose hanno previsto anche percorsi di verifica e aggiornamento periodico dei loro modelli e delle loro procedure, in modo da poter garantire il mantenimento del livello di sicurezza ottenuto, allineandosi perfettamente alla richiesta di “responsabilizzazione”, ossia, adottando comportamenti proattivi che prevedono di decidere autonomamente modalità, garanzie e limiti del trattamento dei dati personali, seppur sempre in linea con i criteri specifici indicati nel Regolamento.

A nostro avviso, i principali cambiamenti concettuali hanno riguardato 3 punti: l’introduzione dell’obbligo di protezione “by default and by design” l’adozione del concetto di “accountability” e la definizione di Dati Personali.

Il primo concetto prevede l’obbligo di configurare il trattamento in modo corretto già “a monte” cioè nella fase di progetto, prevedendo le garanzie indispensabili a soddisfare i requisiti e tutelare i diritti degli interessati, in considerazione del contesto complessivo e dei rischi per i diritti e le libertà degli individui.

Il secondo concetto, che potrebbe essere tradotto come “responsabilizzazione dei titolari”, prevede che siano questi a dover svolgere un’analisi preventiva per valutare il rischio inerente al trattamento, cioè quali possano essere gli impatti negativi sulle libertà e i diritti degli interessati e a stabilire autonomamente le misure tecniche e organizzative che ritengono di dover adottare per mitigare tali rischi. Il regolamento non prevede verifiche preliminari né notifiche preventive.

Il terzo punto – la definizione di quali siano i Dati Personali – ha ampliato il perimetro di applicazione di questa normativa estendendola oltre i cosiddetti dati sensibili. Sono considerati dati personali tutte le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, abitudini, lo stile di vita, le relazioni personali, lo stato di salute, la situazione economica, ecc.

Sembra banale ma le conseguenze sono importanti: se prima prestavamo particolare attenzione nel trattamento di dati cosiddetti “sensibiliora il perimetro si è ampliato: ad altre tipologie di dati, ad esempio le immagini o le registrazioni audio, l’indirizzo di posta elettronica o l’indirizzo IP o ancora il numero di targa, i dati biometrici, ma anche le comunicazioni elettroniche (via Internet o telefono) e tutti i dati che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti. Questo ampliamento non è stato ancora totalmente recepito: ci sono aziende ed organizzazioni che sembrano non essere coscienti della quantità di dati personali che trattano e/o conservano e pertanto non ne conoscono le implicazioni.

Questa impostazione ha reso universale il regolamento dandogli vita propria aldilà del tempo e dello spazio e liberandolo dalla necessità di aggiornamenti periodici in base allo sviluppo di nuovi rischi, tecnologie o modalità di gestione. Ricade sul titolare dei dati il compito di verificare quale sia il rischio e che misure adottate siano sempre adeguate al rischio.

La normativa ha introdotto anche una serie di obblighi tra cui quelli relativi alle notifiche obbligatorie, alla protezione dei diritti dei soggetti interessati e alla chiarezza e trasparenza nelle comunicazioni e, di conseguenza, un regime sanzionatorio in caso di violazione. Le sanzioni hanno causato grande clamore in quanto possono essere di importi considerevoli, avendo come tetto massimo 20 milioni di euro o un importo pari al 4% del fatturato annuale globale del Gruppo / Società.

Ma quali e quante sono state le sanzioni effettivamente irrogate?

Ci sembra interessante passare in rassegna i dati relativi a questi due anni di applicazione della normativa. Nel periodo da Luglio 2018 a Marzo 2020, nell’Unione Europea sono state inflitte 230 multe per un ammontare totale pari a 466.677.568 euro. I dati relativi alle sanzioni sono resi pubblici dagli enti regolatori europei (fonte: enforcementtracker.com, provided by CMS Law.Tax).

La sanzione più alta, oltre 200 milioni di euro ha colpito British Airways: il regolatore ha indicato di aver ritenuto insufficienti le misure adottate per garantire la sicurezza delle informazioni; la seconda sanzione – per motivazioni analoghe, è toccata a Marriott International Inc e l’importo è stato di circa 110 milioni di euro. Entrambe sono state inflitte in UK e ci risulta che siano ancora oggetto di discussione.  La Francia ha sanzionato Google Inc. (50 milioni di euro), mentre la quarta sanzione in ordine di grandezza è quella Italiana a TIM, con importo di 27 milioni. Tra le Società Italiane multate troviamo anche Eni Luce e Gas, e la causale indicata dal regolatore è la carenza di base giuridica per il trattamento dei dati. Vedi Tabella 1.

Dal punto di vista delle motivazioni per la multa, la violazione prevalente che ha generato oltre 100 sanzioni per un ammontare totale di 110 milioni è stata l’insufficienza di base giuridica per il trattamento dei dati, mentre dal punto di vista economico, 62 multe per misure tecniche e organizzative insufficienti per garantire la sicurezza delle informazioni hanno generato un importo totale di oltre 330 milioni di euro (Tabella 2).

Un’analisi invece delle sanzioni per Paese, evidenzia che le multe in UK hanno raggiunto un totale di oltre 315 milioni di euro, con solo 3 sanzioni. Il Paese che ha dato il maggior numero di multe è stato la Spagna, con 80 sanzioni per un totale di circa 2,5 milioni di euro. L’Italia si trova al terzo posto per importo totale (circa 39 milioni di Euro) con un totale di 11 sanzioni (Tabella 3).

Secondo noi, anche grazie all’applicazione reale delle sanzioni, il Regolamento è stato un intervento radicale che ha modificato davvero i diritti degli individui restituendo ai cittadini europei il potere di esigere un trattamento rispettoso in relazione ai propri dati personali, nonostante si possano ancora incontrare nella prassi giornaliera organizzazioni che, non avendo preso atto del nuovo perimetro della definizione di dati personali, non sono pienamente coscienti di tutti gli impatti, soprattutto in merito ai doveri a loro carico, e ai rischi a cui sono esposti, rispetto a questa importante normativa.

Tabella 1. Le multe con importo più elevato nel periodo Luglio 2018 – Marzo 2020

(fonte: enforcementtracker.com, provided by CMS Law.Tax)

Tabella 2. Importi totali e numero multe comminate per tipo di violazione, nel periodo Luglio 2018 – Marzo 2020

(fonte: enforcementtracker.com, provided by CMS Law.Tax)

Articolo a cura di Camilla Brena, Head of Cyber Risks – FINEX Italy

Seguici sui nostri canali social: Facebook Twitter 

Leggi tutte le nostre notizie cliccando QUI

The following two tabs change content below.
Willis Towers Watson

Willis Towers Watson

Willis Towers Watson (NASDAQ: WLTW) è una società leader a livello globale nella consulenza, nel brokeraggio e nell’offerta di soluzioni alle imprese e alle istituzioni di tutto il mondo, al fine di trasformare i rischi in opportunità di crescita. Nata nel 1828, Willis Towers Watson oggi conta 45.000 dipendenti in oltre 140 paesi e mercati.

Lascia un commento