Essere consapevoli delle norme sul trattamento dati

Comprendo che faccia un pò sorridereparlare di trattamento dei dati, ovvero di privacy, in un mondo iperconnesso e ipercontrollato. In un mondo dove abbiamo concesso aisociale alle catene commerciali ogni nostro intimo dato ometadatoin cambio di unamailgratuita, di uno spazio gratuito dove archiviare le nostre foto, o di un semplice sconto.

Può sorridere, però, il privato cittadino.

Per un’azienda o per un professionista, invece,la privacy può rappresentare “una questione di vita o di morte”.

Ammontano, infatti,fino a venti milioni di euro le sanzioniche ilGarante della Privacypuò irrogare per le violazioni delGDPR. Questa la sigla con cui si indica il Regolamento Generale sulla Protezione dei Dati Personali n. 679/2016 entrato in vigore il 25 maggio del 2018.

Con il trattamento dei dati non si scherza: le sanzioni sono pesanti

Il primo passo per evitare pesanti “sorprese” è quello di prendere coscienza del Regolamento,delle sue norme e del reale rischio d’incorrere nelle sue sanzioni.

In proposito potrei citare gli8,5 milioni di euro di sanzione irrogati a Eni Gas e Luce S.p.A.per l’effettuazione di « chiamate promozionali per conto di EGL in assenza del consenso degli interessati» [1].

Oppure i12.251.601 di euro con cui è stata punita Vodafone Italia S.p.Aper non aver implementato «sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente» [2].

Senza giungere a queste cifre da capogiro, è indicativo il caso dellasanzione di 30.000 euro comminata all’Azienda Ospedaliero Universitaria Integrata di Veronaper aver «lasciato incustodita e accessibile la postazione PC in uso, consentendo ad altri di accedere ai dati sanitari di sei ostetriche» [3].

Con altro esempio, segnalo come sia costato10.000 euro, a un medico, aver messo in atto una «condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire l’utilizzo delle proprie credenziali per l’accesso al sistema» [4]. In buona sostanza, avrebbe condiviso col medico sostituto le proprie credenziali per accedere all’applicativo per la stampa delle ricette, consentendo un indebito accesso ai dati personali e sanitari dei pazienti.

Infine, un «sistema di videosorveglianza installato nel plesso scolastico attivo e funzionante anche durante l’orario scolastico causante un’ingerenza ingiustificata nella vita delle persone» ècostato 12.000 euro a un Istituto Tecnico Statale Commerciale e per Geometri[5].

Evitare le sanzioni: dal consenso alle misure di protezione

Tutto ciò dimostra quanto possa costare caro iltrattamento dei dati personali, quali anche le immagini dei volti:

• senzaun regolare e documentato consenso;
• oppuresenzaadottareadeguate misure di sicurezzache impediscano l’uso di un terminale lasciato incustodito. Nel caso di Verona, ad esempio, sarebbe bastato un semplicescreensavermunito di password da attivarsi automaticamente dopo pochi istanti d’inutilizzo del PC.

Se questi esempi sono stati sufficienti a farti comprendere l’importanza di dare la giusta attenzione alle norme del GDPR, hai compiutola metà più importante del percorso per mettere a norma la tua attività: hai raggiunto la consapevolezza dei rischi che corri.

–

Fonti e Note:

Credits :Photo byGeorg BommelionUnsplash

[1]Garante della Privacy, 11 dicembre 2019, “Provvedimento correttivo e sanzionatorio nei confronti di Eni Gas e luce S.p.A.”,

[2]Ancora sul sito web delGarante della Privacy, 12 novembre 2020, “Provvedimento”,

[3]Garante della Privacy, 23 gennaio 2020, “Provvedimento correttivo e sanzionatorio nei confronti di Azienda Ospedaliero Universitaria Integrata di Verona”,

[4]Sempre sul sito web delGarante della Privacy, 22 maggio 2018, “Ordinanza ingiunzione nei confronti di C.R.”,

[5]Garante della Privacy,15 marzo 2018, “Ordinanza ingiunzione nei confronti d’Istituto Tecnico Statale Commerciale e per Geometri”.