di Luciano Quartarone, CISO & Data Protection Officer di Archiva Group
Il 25 maggio 2018 diveniva attuativo il Regolamento (UE) 2016/679, comunemente noto con l’acronimo “GDPR”, entrato in vigore il 24 maggio 2016 con la pubblicazione del testo normativo sulla Gazzetta Ufficiale della Unione Europea, ma per lungo tempo, troppo, non adeguatamente considerato. Dopo cinque anni di applicazione di GDPR sono diversi gli aspetti sostanziali che le aziende devono ancora pienamente contestualizzare e implementare.
L’attività svolta dalle Autorità di controllo evidenzia come la protezione delle persone fisiche, con riguardo ai loro dati personali, richieda alle aziende la revisione di processi, di tecnologie, oltre al consolidamento delle conoscenze e delle competenze specifiche, non solo delle persone direttamente coinvolte nelle attività di trattamento, ma di tutta la struttura gerarchica dell’azienda. Non è possibile, infatti, relegare la gestione della c.d. Data Protection, al solo ufficio Legal o Compliance: occorre riconoscere che la protezione delle persone fisiche è una questione che riguarda trasversalmente tutte le funzioni aziendali. Analizzando i provvedimenti sanzionatori è possibile categorizzare le azioni che le aziende possono inserire nei loro percorsi di conformità al Regolamento, assumendo dunque un approccio più consapevole e coerente con le norme, oltre che preventivo rispetto le sanzioni.
A cinque anni dalla piena attuazione del Regolamento GDPR molte aziende considerano ancora il tema della protezione delle persone fisiche, con riguardo ai loro dati personali, l’ennesimo fardello burocratico che limita la libertà di azione e iniziativa dell’impresa. Questa errata percezione può portare distorsioni nel recepimento del Regolamento e a trascurare lo svolgimento degli adempimenti richiesti dalla normativa. Per arginare questa percezione, in alcunicasi è facile ricorrere a consulenze che hanno come principale obiettivo quello di produrre una moltitudine di “carta”, con molta forma, ma ben poca sostanza ed efficacia. È decisamente più raro imbattersi in aziende che hanno concretamente inteso come il Regolamento, al pari di ogni norma e standard accreditato, possa essere fattore abilitante il business aziendale e non una costrizione. È così che aziende di ogni ordine e grado possono incappare in sanzioni amministrative emesse dal Garante per la protezione dei dati personali, l’Autorità di controllo preposta in questo ambito. A dire il vero, la sanzione non è il rischio più grave che un’azienda deve fronteggiare. Sicuramente il danno di immagine e la compromessa reputazione, più che i costi degli eventuali adeguamenti tecnici e procedurali, possono rappresentare un pericolo per il sostentamento delle organizzazioni
Quante sono e su quali elementi normativi insistono le sanzioni GDPR?
In una ipotetica graduatoria europea per numero di sanzioni, l’Italia salirebbe sul secondo gradino del podio, preceduta dalla Spagna e seguita dalla Romania. Prestando attenzione all’entità delle sanzioni, l’Italia sarebbe quarta nella stessa graduatoria, preceduta da Irlanda, Lussemburgo e Francia, per via delle maxi sanzioni comminate rispettivamente a Meta Platforms, Inc. e Meta Platforms Ireland Limited per complessivi 1.060.000.000 euro, Amazon Europe Core S.à.r.l. (746.000.000 euro) e Google LLC (90.000.000 euro). Nel mercato italiano, fanno scuola i provvedimenti verso le grandi compagnie di telefonia mobile e i principali fornitori di servizi di luce e gas.
Che cosa ha rilevato il Garante per la protezione dei dati personali, nei trattamenti operati da queste aziende?
È possibile classificare i provvedimenti sanzionatori emessi dal Garante per la protezione dei dati personali (il “Garante”), in sette principali tipologie: (i) base giuridica insufficiente per il trattamento dei dati; (ii) non conformità ai principi generali del trattamento dei dati; (iii) misure tecniche e organizzative insufficienti per garantire la sicurezza delle informazioni; (iv) insufficiente adempimento dei diritti degli interessati; (v) insufficiente adempimento degli obblighi di informazione; (vi) accordo di trattamento dei dati insufficiente ; (vii) collaborazione insufficiente con l'autorità di vigilanza.
Base giuridica insufficiente per il trattamento dei dati
Affinché un trattamento di dati personali avvenga nel rispetto delle disposizioni normative è necessario che ricorra almeno una delle condizioni descritte all’art. 6, comma 1 del Regolamento: le c.d. “basi giuridiche”. Tali condizioni sono applicabili alla generalità dei trattamenti. L’art. 9 e l’art. 10 individuano basi giuridiche c.d. “speciali” qualora sia opportuno, rispettivamente per il trattamento di dati particolari oppure per il trattamento di condanne penali e reati, individuare dei presupposti di liceità ulteriori rispetto quelli definiti all’art. 6, comma 1. In molti provvedimenti sanzionatori del Garante è possibile riscontrare una violazione dei già menzionati articoli. I casi che hanno fatto clamore negli anni passato hanno riguardato grandi e prestigiose aziende come Wind Tre, Enel Energia e Sky Italia, tra le più note.Nei provvedimenti sanzionatori che hanno interessato queste aziende, il Garante ha appurato come il trattamento dei dati personali non fosse retto da un supporto giuridico corretto, ovvero come il consenso per il trattamento di dati personali (art. 6.1 GDPR) non fosse raccolto nel rispetto dei principi del Regolamento. Nel caso di Wind Tre, che ha comportato alla compagnia telefonica, nel luglio 2020, una sanzione amministrativa pecuniaria pari a Euro 16.729.600, il Garante in più riprese ha richiamato, la violazione dell’art. 6, comma 1 affermando come la pubblicazione di dati personali sia avvenuta in assenza di consenso, oppureche il trattamento di dati personali dei segnalanti sia avvenuto in violazione dell’articolo in discorso e dell’articolo 130 del Codice Privacy.
Nel provvedimento verso Enel Energia del 16 dicembre 2021, per un importo complessivo pari a Euro 26.513.977, il Garante ha contestato, fra le varie, di “non aver acquisito uno specifico ed idoneo consenso da parte degli interessati con riguardo a trattamenti svolti da soggetti diversi in veste di autonomi titolari.”. In particolare, il Garante ha osservato come “un consenso unico alla comunicazione dei dati per finalità promozionali anche da parte di società del gruppo, società controllanti, controllate e collegate e partner commerciali di EE (Enel Energia, n.d.r.), non può considerarsi né specifico né libero e non costituisce una idonea base giuridica per i richiamati trattamenti, ai sensi dell’art. 6 GDPR".
Analoghe considerazioni sono state fatte nei provvedimenti verso Sky Italia S.r.l., nel settembre 2021, per aver effettuato, fra le altre, trattamenti di dati personali in assenza del prescritto consenso e idonea informativa. Anche in questo caso la sanzione è stata considerevole: 3.296.326 euro.
Nel corso degli anni sono stati poi emessi provvedimenti in cui l’entità della sanzione amministrativa per questa tipologia di violazione è decisamente inferiore. Infatti, ogni caso deve essere analizzato e contestualizzato in quanto non può essere ricondotto ad una semplice e immediata applicazione di una formula matematica. Vi sono però alcune lezioni importanti che devono essere tratte da questi casi.
In particolare, dobbiamo riconoscere la necessità di definire processi periodici di validazione delle basi giuridiche a fondamento delle attività di trattamento censite nel registro ex. art. 30 “Registri delle attività di trattamento”. Questo implica avere anche un processo virtuoso di mappatura e revisione delle attività di trattamento. Piùnello specifico, l’attività di validazione, richiede che l’azienda abbia una esatta conoscenza di quali dati personali sono presenti all’interno della propria organizzazione e che quindi possa ricostruirne l’intero ciclo di vita potendo al contempo motivarne e giustificarne i fondamenti che ne hanno permesso l’iniziale raccolta e le successive attività.
È evidente, così, che questo insieme di operazioni sui dati personali interessi l’intera organizzazione e non possa essere relegata al solo ufficio Compliance o Legal dell’azienda.
Non conformità ai principi generali del trattamento dati
Qualsiasi attività di trattamento deve essere coerente ai principi generali stabiliti all’art. 5 del Regolamento: “Liceità, correttezza e trasparenza”; “Limitazione della finalità”; “Minimizzazione dei dati”; “Esattezza”; “Limitazione della conservazione”; “Integrità e riservatezza”; “Responsabilizzazione”. In tutte le casistiche sopra descritte sono state contestate violazioni anche rispetto questo articolo.
Un caso notevole, rispetto questa tipologia di inosservanza, è rappresentato dal caso Clearview AI Inc.. Il Garante ha sanzionato l’azienda americana per 20 milioni di euro, dopo aver appurato come stesse applicando tecniche di sorveglianza biometrica sul territorio Italiano. Clearview possedeva un base dati di oltre 10 milioni di milioni, ovvero 10 mila miliardi, di immagini facciali acquisite da tutto il mondo. L’azienda offriva un servizio di ricerca che permetteva di creare profili ai dati biometrici estratti dalle immagini già acquisite, che potevano essere arricchite con ulteriori dati come la geolocalizzazione.
Nell’istruttoria condotta dal Garante è stata evidenziata la violazione del principio di trasparenza poiché gli interessati non erano stati informati adeguatamente sul trattamento dei loro dati. Il trattamento di dati personali per scopi diversi da quelli per i quali erano stati resi disponibili online da parte degli interessati, è costato all’azienda americana anche la violazione del principio di limitazione delle finalità, a cui è seguita la contestazione di violazione del principio di limitazione dell’archiviazione, non essendo stato specificato il periodo di conservazione dei dati. Proprio questo ultimo aspetto permette di osservare come la redazione del Titolario di Classificazione e del Massimario di scarto, strumenti archivistici obbligatori per le PA, possano aiutare e sostenere anche le organizzazioni private nel generale recepimento normativo: non solo GDPR, ma, in questo caso, anche di conservazione[1] , così come definita da AgID nelle Linee guida sulla formazione, gestione e conservazione dei documenti informatici.
[1] Conservazione: Insieme delle attività finalizzate a definire ed attuare le politiche complessive del sistema di conservazione e a governarne la gestione in relazione al modello organizzativo adottato, garantendo nel tempo le caratteristiche di autenticità, integrità, leggibilità, reperibilità dei documenti
Misure tecniche e organizzative insufficienti per garantire la sicurezza delle informazioni
È pacifico come la sicurezza delle informazioni sia un tema di primaria rilevanza per tutte le aziende, non solo quelle che per scopi di business trattano dati, siano essi personali, particolari o altrimenti rilevanti per l’azienda. Oltre alle implicazioni discendenti dal Regolamento, vi è un altro regolamento europeo da considerare nel trattamento di dati: il Regolamento (UE) 2018/1807 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell'Unione europea. È l’altra faccia della medaglia del GDPR.
Questi impongono a titolari e responsabili del trattamento di mettere “[…] in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]”, “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche […]”. È necessario, dunque, che le misure tecnico organizzative adottate da Titolari e Responsabili tendano a ridurre i rischi evidenziati e non ad accettarli per come sono stati valutati. Una misura di sicurezza, per essere adeguata, deve portare a un livello di accettabilità tecnica (pertinenza della misura) e qualitativa (efficacia della protezione), tali da confermare un accettabile livello di rischio illecito, rischio derivante da un attacco informatico o incidente di tipo industriale o ambientale. L’art. 32 del Regolamento, cui pertiene la sicurezza dei trattamenti, non può fare riferimento al rischio lecito, ovvero alle conseguenze negative derivanti dal trattamento stesso che, nel loro complesso, possono risultare gradite agli interessati, non essendo esse stesse lesive di diritti o libertà specifiche.
A gennaio del 2021 Roma Capitale è stata sanzionata complessivamente per 350.000 euro per non aver implementato adeguate misure tecniche e organizzative sui dati dei cittadini che avevano ottenuto il permesso di accedere alle zone a traffico limitato. Infatti, il personale comunale procedeva alla verifica della conformità dei permessi e delle relative autorizzazioni a circolare nell’area di interesse, tramite la scansione dei codici QR presenti sui badge degli automobilisti e visibili dal parabrezza. Il Garante, però, ha potuto osservare che in realtà, oltre al personale comunale, chiunque poteva scansionare i codici e accedere alle informazioni in esso contenute, poiché era sufficiente un normale software di scansione di codici QR. Le informazioni memorizzate nel sistema includevano, ad esempio, il nome dell'utente o il numero di targa del veicolo. Inoltre, per questo trattamento di dati personali, il Comune di Roma era ricorso a un provider per l'hosting e la manutenzione dei database senza aver prima sottoscritto un accordo sul trattamento dei dati, come invece richiesto dall'art. 28 del GDPR.
Insufficiente adempimento dei diritti degli interessati
Il Regolamento ha come missione principale la tutela delle persone fisiche. La protezione dei dati, personali, è uno strumento per raggiungere questo obiettivo. È indubbio quindi che il “governo” di questi dati deve restare fra le disponibilità dell’interessato il quale in qualsiasi momento può esercitare i diritti a lui riconosciuti dal Regolamento, dagli articoli da 15 a 21. La negazione di tali diritti, non motivata da diversi obblighi normativi in capo al titolare, può risultare in danno sanzionatorio al titolare stesso. È il caso di TIM S.p.A. che nel novembre del 2021 è stata multata dal Garante per un importo complessivo pari a 150.000 euro per aver negato ad un interessato l'accesso ai dati telefonici necessari per difendersi in un procedimento penale. Non avendo ricevuto alcuna risposta alle sue ripetute richieste, l'interessato si è rivolto al Garante per ottenere i dati in tempo per l'udienza del procedimento penale in cui era coinvolto. Rispondere alla richiesta di un interessato è un obbligo per i titolari e i responsabili del trattamento. Tale riscontro deve avvenire entro 30 giorni e nel caso in cui la sua formulazione richiedesse più tempo, è necessario informare tempestivamente l’interessato del motivo. Questo caso evidenzia che le aziende sono chiamate ad una scrupolosa e attenta implementazione del Regolamento, al fine di raggiungere l’obiettivo fondante del Regolamento stesso: la protezione delle persone fisiche, ovvero la tutela dei diritti e delle libertà delle persone.
Partire dalle persone
Vale la pena anche ricordare che l’implementazione del Regolamento in azienda non costituisce un punto di arrivo, ma una base comune di approccio al tema: ogni Stato ha infatti la possibilità di arricchire il quadro normativo di riferimento con ulteriori disposizioni. Ne è esempio il caso italiano del Codice Privacy, novellato dal D.lgs 101/2018, e di altri provvedimenti del Garante, che si aggiungono al Regolamento.
Avendo chiaro qual è l’obiettivo da raggiungere, è necessario cristallizzare il punto di partenza del percorso di conformità verso la “Data protection”, attraverso un’attività di assessment di dettaglio.
Anche in questo caso le “persone” sono la conduzione del percorso di conformità normativa. È necessario investire su di loro per acquisire competenze specifiche che permettano in prima battuta di allocare ruoli e responsabilità specifiche e, in seconda battuta, strutturare processi coerenti con i requisiti normativi. La tecnologia, anche quando innovativa, è solo uno strumento a supporto di processi che devono essere ben congeniati.
Maxwell ha acquisito competenze e sviluppato metodologie di lavoro che ricalcano quanto definito in standard internazionali pertinenti in materia, e può quindi supportare aziende di ogni ordine e grado nella verifica e implementazione del Regolamento, anche in prospettiva di ottenimento delle certificazioni, di prossima pubblicazione, previste dal Regolamento stesso.
La divisione G.R.C. Xcellence si occupa infatti di supportare, implementare e migliorare il recepimento delle norme e degli standard internazionali all’interno delle organizzazioni. L’efficientamento dei processi aziendali può essere infatti raggiunto anche grazie ad una corretta sinergia tra i reparti, con l’obiettivo finale del raggiungimento di una visione unitaria in merito agli adempimenti imposti dalle normative di settore.
Nell’ottica di miglioramento continuo si inserisce l’attività di formazione ed affiancamento dedicata alle figure manageriali e finalizzata alla corretta comprensione ed implementazione delle disposizioni del Regolamento.
Il tutto avendo sempre come punto di riferimento l’approccio basato sul rischio sanzionatorio, che tiene in considerazione i provvedimenti emessi sia a livello europeo che nazionale da parte delle autorità garanti per la protezione dei dati personali.