Il GDPR è entrato in vigore il 25 maggio 2018, due anni dopo la sua approvazione definitiva avvenuta nel 2016. Aziende, professionisti e tutti i titolari del trattamento hanno quindi avuto due anni di tempo per adeguarsi prima che la nuova normativa diventasse effettiva. Ciononostante, abbiamo assistito ad un primo periodo di applicazione caratterizzato da una certa tolleranza da parte del Garante della Privacy e degli altri organi ispettivi. D’altronde nei primi mesi di applicazione del GDPR la normativa non era neppure completa perché mancava in Italia il decreto di adeguamento: solo ad agosto 2018 con il D.Lgs. 101/2018 il Legislatore italiano ha reso uniformi le disposizioni del vecchio Codice Privacy del 2003 con le nuove disposizioni del Regolamento Europeo GDPR.
La tolleranza da parte delle autorità è quindi durata ancora qualche mese ed infatti solo nei primi mesi del 2019 il Garante della Privacy si è ancora dotato di uno specifico piano ispettivo finalizzato alla verifica del rispetto della normativa in materia di protezione dei dati personali.
Ora però non c’è più tempo perché il Garante per la Protezione dei Dati Personali ha approvato il piano per l’attività ispettiva riferito al primo semestre del 2019. Cominciano quindi i controlli per verificare il rispetto della privacy e chi non è in regola rischia grosso.
Vediamo nel dettaglio il piano ispettivo.
Sono stati individuati i principali soggetti che verranno ispezionati nei primi mesi.
Il Garante ha espressamente citato una serie di trattamenti che vengono considerati particolarmente meritevoli di tutela per ragioni di carattere generale. Tra queste troviamo:
- I trattamenti effettuati dall’ISTAT con particolare attenzione al Sistema Integrato di Microdati (SIM) e agli altri sistemi informativi statistici.
- Gli istituti bancari. In tale contesto le verifiche si concentreranno sulla gestione dei flussi all’anagrafe dei conti. Tali dati che non rientrano strettamente nella definizione di dato sensibile di cui all’art. 9 del GDPR ma si tratta di dati estremamente delicati e riservati la cui analisi rischia di essere piuttosto invasiva per gli interessati.
- Trattamenti effettuati per attività di marketing. Si tratta di una categoria di trattamento molto ampia che coinvolge un gran numero di operatori commerciali. Probabilmente l’attività ispettiva si concentrerà sulle aziende che operano online e che sfruttano i big dataper attività di marketing ma è facile che il Garante proceda anche alla verifica di realtà meno rilevanti che fanno uso dei dati personali per finalità di promozione commerciale. Una attività che certamente rientra tra quelle oggetto di verifica è l’invio di comunicazioni commerciali via email (newsletters) e le telefonate commerciali.
- I trattamenti che coinvolgono la profilazione degli interessati con l’utilizzo di carte fedeltà. Questo strumento è sempre più diffuso in quanto gli operatori commerciali utilizzano le carte fedeltà per aggregare un gran numero di informazioni sugli interessi e le attività di ogni singola persona fisica. Ovviamente all’aumentare delle informazioni su una persona aumenta il rischio che il trattamento comporta per gli interessati. Si pensi per esempio al caso di accesso indesiderato, o di diffusione, o comunque di utilizzo illecito di una banca dati con molte informazioni personali, anche sensibili.
- Gli enti pubblici con banche dati di notevoli dimensioni.
Ma non solo: il Garante ha ulteriormente esteso l’elenco dei destinatari dei controlli.
Il Garante all’interno del piano di ispezione specifica che l’attività di controllo avrà come oggetto anche i tutti gli altri soggetti, pubblici e privati e che sarà organizzata in base a categorie omogenee. Ciò al fine, evidentemente di analizzare come i soggetti simili tra loro affrontano il tema della privacy ed individuare eventuali carenze e inadeguatezze anche mediante il confronto tra le attività dei diversi titolari. Da questo deriva senz’altro l’opportunità di adeguamento per quei soggetti che non sono ancora in regola perché si sono attivati in ritardo o perché non si sono attivati affatto.
Nessun soggetto è quindi al sicuro dai controlli sul rispetto della privacy. Il Garante precisa che l’attività ispettiva non sarà limitata ai trattemanti espressamente menzionati nel piano per le ispezioni, ma, anzi, avrà un oggetto molto più ampio. Ed infatti la stessa Autorità ha precisato che le ispezioni avranno luogo anche in base alle segnalazioni ricevute. Ciò significa che in caso di violazioni verranno avviate specifiche ispezioni finalizzate a sanzionare i comportamenti non rispettosi della normativa. A ciò si aggiunge che questo piano riguarda il primo semestre del 2019 e quindi l’attenzione del Garante e della Guardia di Finanza si sposterà presto su altri ambiti.
Quali aspetti saranno oggetto dei controlli?
Il Garante ha precisato anche quali saranno i principali aspetti sui quali si concentreranno i controlli in caso di ispezione. Sono quindi individuati gli aspetti più delicati sui quali occorre intervenire con maggiore urgenza per evitare il rischio di incorrere in sanzioni. L’attività ispettiva sarà focalizzata principalmente su:
- Presupposti di liceità del trattamento, ossia sulla verifica che il trattamento sia fondato su una adeguata base legale che lo renda lecito. Per esempio potrebbe trattarsi del consenso dell’interessato, della necessità di adempiere a un contratto, o del legittimo interesse del titolare del trattamento.
- Condizioni per il consenso. Qualora il trattamento sia basato sul consenso, l’analisi avrà come finalità anche la verifica che il consenso sia espresso con modalità conformi al GDPR ed alla normativa vigente.
- Rispetto dell’obbligo dell’informativa. Esso rappresenta, oggi come in passato, uno degli aspetti principali in tema di trattamento dati in quanto è necessario che ogni privato sia informato sempre sulla gestione dei dati ad esso riferibili.
- Verifica della durata della conservazione dei dati. Si tratta di un altro tema molto importante che è stato fortemente valorizzato dalle novità normative introdotte dal GDPR. Il titolare deve trattenere i dati solo per il tempo necessario individuato in maniera specifica in funzione delle finalità e della base giuridica del trattamento. Una volta che il mantenimento dei dati non è più necessario è obbligatorio che i dati siano cancellati da ogni archivio (fisico o informatico).
Ovviamente l’attenzione dell’organo ispettivo sarà rivolta alla tutela degli interessati (ossia dei soggetti ai quali si riferiscono i dati) ed infatti il garante ha precisato che occorre prestare specifica attenzione ai profili del trattamento che hanno effetti significativi sugli interessati.
Come avviene il controllo?
Il Garante della Privacy ha incaricato la Guardia di Finanza di effettuare controlli e ispezioni sul rispetto del GDPR. Non è quindi escluso che in occasione di controlli da parte delle fiamme gialle relative ad altri profili l’indagine venga allargata ai profili privacy. È possibile inoltre anche il caso contrario: la Guardia di Finanza potrebbe essere sollecitata ad effettuare l’indagine proprio dall’esistenza di inadempimenti in campo privacy e poi allargare l’approfondimento anche agli altri profili tra cui quelli fiscali.
Quali sono i rischi per chi non si adegua?
Le sanzioni per il mancato rispetto delle regole sulla tutela dei dati personali sono ormai note ma è utile riepilogarle brevemente.
Chi non rispetta il GDPR corre rischi molto elevati:
- Sanzioni pecuniarie fino a 20 milioni di Euro o al 4% del fatturato se superiore;
- Responsabilità penale fino a 3, 4 o 6 anni di reclusione a seconda della violazione;
- Responsabilità civile: la gestione dei dati non conforme è equiparata ad una attività pericolosa.
È quindi necessario che ogni azienda si preoccupi di verificare la conformità alla normativa privacy affidandosi a consulenti esperti in materia al fine di evitare le gravi conseguenze appena citate.