Il 2019 è stato un anno chiave per l’attuazione e per una migliore comprensione del GDPR. Cerchiamo di puntualizzare le tappe più importanti e prevedere gli interventi attesi per il 2020.

Nel 2019 sono stati stabiliti sia a livello europeo che italiano dei punti fermi e sono state date importanti indicazioni interpretative e operative, fornendo le modalità di intervento per il trattamento dei dati personali.

 

I provvedimenti più importanti del GDPR

• le Linee guida per la protezione dei dati. Si tratta dei codici di condotta e degli organismi di monitoraggio necessari all’applicazione delle norme
• le Linee guida sul trattamento di dati personali attraverso sistemi di videosorveglianza che illustrano i principi generali cui attenersi nell’installazione di tali sistemi, i tempi di conservazione, i diritti degli interessati, il complesso rapporto tra dati biometrici e trattamenti effettuati tramite telecamere
• le Linee guida sulla valutazione della proporzionalità delle misure che comportano limitazioni dei diritti fondamentali relativi alla privacy e alla protezione dei dati personali
• le Linee guida sui concetti di Titolare, Responsabile e contitolarità.le Linee guida sull’implementazione di misure tecniche standard con riferimento ai pagamenti digitali e all’IoT (Internet delle cose)
• il Manuale RPD (Responsabili della protezione dei dati) pubblicato dal Garante Italiano per la protezione dei dati personali contenente le linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del GDPR

Le sanzioni

Dopo una fase iniziale di “clemenza” nei mesi immediatamente successivi al 25 maggio 2018 (data di applicazione del Reg. UE “GDPR”), i procedimenti avviati e conclusi nel 2019 con sanzioni amministrative pecuniarie soni stati numerosi in tutta Europa e hanno riguardato la violazione di quasi tutti gli articoli ma soprattutto:
art. 5 – principi generali in materia di protezione dati;
art. 12 e 13 – informativa sul trattamento dei dati raccolti presso l’interessato e modalità di fornitura di tali informazioni;
art. 15 – diritto di accesso;
art. 17 – diritto di cancellazione;
art. 33 – mancata notifica di una violazione di dati personali.

Va sottolineato che nel gennaio 2020 Il Garante per la privacy ha applicato a Tim ed Eni Gas e Luce due sanzioni, rispettivamente di 28 e 15 milioni, riguardanti trattamenti illeciti di dati personali nell’ambito di attività promozionali e attivazione di contratti non richiesti. Le sanzioni sono state determinate tenendo conto dei parametri indicati nel Regolamento UE, tra i quali figurano l’ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione. Le cifre sembrerebbero molto elevate ma bisogna ricordare come sia facoltà del garante comminare sanzioni che possono arrivare fino al 4% del fatturato delle aziende coinvolte.

Le sanzioni riguardano trattamenti illeciti nelle attività di telemarketing e teleselling, soprattutto le telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il suo diniego a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni. Il Garante, inoltre, ha vietato alla società l’uso dei dati forniti dai list provider senza che questi ultimi avessero acquisito uno specifico consenso alla loro comunicazione.

Vi è poi un altro elemento che dovrebbe indurre a riflettere le aziende che operano nel settore delle chiamate commerciali indesiderate. Il decreto di attuazione del GDPR ha infatti inserito accanto alle sanzioni pecuniarie e ai correttivi, anche specifiche sanzioni penali con pene elevate. Si tratta degli art 167, 167 bis e 167 ter del Codice della privacy.

 

Gli interventi per il 2020 – Europa

Il Regolamento e-Privacy e il diritto all’oblio

Dopo lo stop imposto dal Parlamento Europeo nel dicembre 2019 dovrebbe esserci un intervento delle Istituzioni Europee per il varo di questo Regolamento al fine di creare un quadro normativo omogeneo e coerente a livello europeo, al pari del GDPR, nello specifico contesto delle comunicazioni elettroniche. Dovrà superare le incongruenze della attuale direttiva e occuparsi di una pluralità di temi molto delicati: cookies, data driven adverstising, web marketing, metadati, 5G, IoT e dovrà fornire gli strumenti necessari per contrastare reati quali il terrorismo, la pedopornografia e l’abuso di minori attraverso modalità informatiche. Saranno fondamentali anche le versioni finali delle Linee Guida 3/2019 sulla videosorveglianza e delle Linee Guida sul diritto alla cancellazione (c.d. diritto all’oblio).

 

Gli interventi per il 2020 – Italia

Digital & Direct Marketing e i cookie

Due dei temi più dibattuti dell’ultimo anno. L’ultimo provvedimento del Garante in materia di cookie risale al 2014 e mentre i colleghi europei hanno già prodotto delle Linee Guida per regolamentare tale segmento del mercato dei servizi online, l’Autorità italiana è in netto ritardo. Anche riguardo l’attività promozionale ed il contrasto allo spam, l’ultimo provvedimento dell’Authority è del 2013. Le disposizioni di quello storico provvedimento non appaiono più in linea, né in grado di regolare una realtà profondamente mutata.
Andrà verificata anche la compatibilità dei provvedimenti precedenti all’entrata in vigore del GDPR: fino al 2019 il Garante si è occupato di verificare e “armonizzare” ai sensi del GDPR alcuni dei suoi provvedimenti a carattere generale. Purtroppo gran parte dell’attività dell’Authority è ad oggi ancorata alla previgente disciplina creando notevoli problematiche in tema di applicabilità. Il Garante dovrà dare avvio a una importante produzione di provvedimenti, che vadano a colmare gli inevitabili vuoti normativi. Infine dovrà individuare il Piano delle attività ispettive per il 2020 e approfondire la liceità e le garanzie circa il trattamento dei dati personali relativi a condanne penali e reati (art. 10 del GDPR).

Il tema della privacy, introdotto per la prima volta nell’ormai lontano 1997, nel corso degli anni ha creato non poche preoccupazioni in capo a diversi uffici delle aziende, in primis quelli marketing che trattano dati di clienti e hanno necessità di gestire database e CRM per azioni sempre più mirate e personalizzate. Ma la privacy va poi impattare su altri reparti: pensiamo all’ufficio amministrazione che per definizione detiene tutte le anagrafiche per la fatturazione ai clienti, o all’ufficio customer care che ha contatti anche quotidiani con persone o aziende, tracciando richieste o lamentele. Per non parlare di tutte quelle aziende che trattano dati sensibili (tipicamente legati alla salute), dove le garanzie e le norme da seguire sono ovviamente ancor più stringenti.

 

---

Insomma è un problema trasversale che negli anni è aumentato di complessità, da un lato perché IT, big data, cloud e AI hanno potenziato in maniera esponenziale le possibilità di trattamento, incrocio, moltiplicazione e interpretazione dei dati, dall’altro lato perché la normativa europea e nazionale è alla continua ricerca di regole e azioni per limitare e controllare un corretto utilizzo dei dati personali, nell’interesse dei cittadini. Alla luce di un contesto così complesso, GGallery ha pensato di realizzare e offrire a tutte le aziende e professionisti dei corsi in e-learning, per assolvere agli obblighi formativi sul tema della privacy in capo ai lavoratori e per aiutare anche gli addetti ai lavori ad avere informazioni aggiornate e attendibili su un argomento evidentemente delicato e “rischioso”. Per saperne di più vi invitiamo a consultare i Corsi Privacy realizzati in collaborazione con Confindustria Genova e Assolombarda sulla piattaforma AusindFAD:

Per informazioni o avere un preventivo, contattare Alessia Luca o Roberto Stranieri:
alessia@gallerygroup.it
roberto.stranieri@ggallery.it