Sono passati ormai più di due anni da quando il Gdpr, il regolamento per la protezione dei dati personali, è stato implementato all’interno dell’europa ed i risultati ottenuti sinora possono essere letti sulla base di molteplici aspetti.
Se da un lato, infatti, l’elevato numero di sanzioni irrogate rappresenta l’impegno dei Paesi europei a tenere alta l’attenzione per il rispetto della privacy, dall’altro esso denota come ancor oggi vi sia un numero molto elevato di violazioni della privacy che i soggetti coinvolti non riescono a contenere. Risale ad agosto 2020 la classifica del sito di informazione finanziaria Finbold che ha decretato come l’Italia abbia raggiunto – considerando il periodo dal 1 gennaio 2020 al 17 agosto 2020 – il primato europeo per aver pagato l’importo più alto di multe, corrispondente a 45,6 milioni di euro su un totale di circa 60 milioni in tutta europa, pari al 75,8% del totale delle multe. A seguire troviamo la Svezia con 7 milioni di euro di multe pagate, mentre la Spagna è la prima in classifica per il numero di sanzioni irrogate: 76 sul numero totale di 124.
Ciò che può risultare, leggendo tali dati, è che le imprese italiane siano più indisciplinate o che il Garante per la Privacy nazionale sia particolarmente attento e severo rispetto alle corrispondenti autorità europee. In realtà, il numero delle violazioni italiane comminate finora sono solo 13, un numero relativamente basso. Ciò che rileva, però, è l’ammontare delle multe, in particolare di quelle inflitte ad importanti compagnie telefoniche, che inevitabilmente hanno fatto scalare la classifica al nostro paese.
Tramite i sistemi di Gdpr Enforcement Tracking – a partire dal database dell’Unione europea che registra le violazioni e le sanzioni comminate dalle Autorità Garanti rese pubbliche dai rispettivi Paesi membri – si possono visionare le sanzioni di ogni singolo paese europeo, potendosi immediatamente constatare che la violazione più ricorrente sia quella relativa a “basi giuridiche insufficienti per il trattamento dei dati” in espressa violazione dell’art. 6 del Gdpr. Sul database sono resi pubblici i nomi delle strutture multate, le motivazioni e l’ammontare delle multe inflitte e per quanto riguarda l’Italia, tra i soggetti multati più pesantemente, vi sono compagnie telefoniche ma anche scuole, università, regioni, comuni e ospedali.
Al fine di riportare qualche dato più specifico, la multa più alta è stata inflitta a Tim, per 27,8 milioni di euro, contro la quale tra il 2017 e il 2019 il Garante per la protezione dei dati personali ha ricevuto centinaia di segnalazioni relative alla ricezione di comunicazioni commerciali non richieste effettuate senza il consenso degli interessati e perché nelle app fornite dalla società sono state fornite informazioni errate e non trasparenti sul trattamento dei dati e sono stati utilizzati metodi di consenso non validi.
A seguire vi è Wind, che è stata sanzionata per 16,7 milioni di euro per diverse attività illecite di trattamento dei dati relative al marketing diretto. Centinaia di interessati hanno affermato di aver ricevuto comunicazioni non richieste inviate senza il loro preventivo consenso tramite Sms, email, telefonate e chiamate automatizzate. I clienti non hanno potuto esercitare il diritto di revocare il proprio consenso e opporsi al trattamento per finalità di marketing diretto perché le informazioni contenute nella privacy policy erano incomplete rispetto ai dati di contatto.
Iliad si posiziona al terzo posto per essere stata sanzionata con una multa di 800mila euro per violazioni della protezione dei dati riguardanti il trattamento dei dati dei clienti per l’attivazione delle carte Sim e le modalità di registrazione dei dati di pagamento. Inoltre, il Garante per la protezione dei dati ha dichiarato che la società aveva violato i principi di liceità, correttezza e trasparenza nonché di integrità e riservatezza con riguardo al trattamento dei dati personali per finalità di marketing diretto e alla conservazione dei dati dei clienti nell’area personale del suo sito Web.
Questi dati forniscono la consapevolezza di quanto ancora ci sia da fare al fine di tutelare la privacy degli utenti e che siano ancora piuttosto diffuse delle procedure scorrette di trattamento e conservazione dei dati personali. Pertanto, risulta di fondamentale importanza, da un lato, predisporre della documentazione a regola d’arte per farsi autorizzare dai propri clienti al trattamento dei loro dati e dall’altra, occorre un sistema di gestione aggiornato e in linea con quanto richiesto dal Gdpr.
Infatti, uno dei problemi relativi alla violazione del Gdpr è che spesso i dati e le autorizzazioni al trattamento degli stessi vengono raccolti in formato cartaceo: ciò espone i soggetti coinvolti a sanzioni più facili poiché tali dati sono resi facilmente accessibili a chiunque o si verifica una perdita o una divulgazione all’esterno dei dati, più o meno consapevole, per mancanza di sicurezza informatica. Un altro problema della raccolta cartacea dei dati è che risulta più complicato il monitoraggio delle date di scadenza delle autorizzazioni al trattamento dei dati personali dei clienti e ciò non fa altro che far circolare dati il cui trattamento non dovrebbe più essere consentito.
Tali elementi fanno emergere la circostanza per la quale sarebbe doveroso porre rimedio a tali problematiche attraverso l’utilizzo di un unico strumento digitale in grado di raccogliere e archiviare in modo protetto e sicuro i dati degli utenti. Un software che permetta la memorizzazione delle autorizzazioni al trattamento dei dati e le date di scadenza delle stesse può rivelarsi utile in modo da non inviare più comunicazioni e/o continuare a trattare i dati oltre le date per cui si è autorizzati a farlo, violando così i principi basilari del Gdpr.
Tali considerazioni portano a riflettere sul fatto che, nonostante vi siano sempre più transazioni di ogni genere in rete, le aziende e gli enti pubblici non sono ancora sufficientemente preparati alla gestione informatica dei dati, dimostrando di non essere digitalmente sicuri. Ed evidentemente tale circostanza sta diventando sempre più lesiva per l’immagine di tali soggetti. Ciò non fa che dimostrare come non sia ancora stata acquisita una completa consapevolezza nell’adozione di misure operative e tecniche per la salvaguardia dei dati trattati, nell’ottica della piena accountability prevista dal Gdpr.
© RIPRODUZIONE RISERVATA
