Abstract
Il 23 giugno l’Autorità Garante per la protezione dei dati personali, presieduta dal dott. Soro, ha presentato la relazione della propria attività relativa all’anno 2019.
Nello stesso periodo anche la Commissione Europea ha rilasciato un bilancio sull’applicazione del Regolamento Europeo 2016/679 sulla protezione dei dati personali, divenuto pienamente applicabile il 25 maggio 2018.
Il bilancio sul GDPR
A poco più di due anni dalla sua piena applicazione, la Commissione europea ha pubblicato un rapporto che mostra come il GDPR abbia raggiunto la maggior parte dei suoi obiettivi, garantendo ai cittadini UE un solido insieme di diritti e creando un nuovo sistema europeo di governance abbastanza flessibile da supportare circostanze impreviste come la crisi dovuta al Covid-19.
Anche fra le aziende si fanno strada la cultura della “responsabilizzazione” e l’idea che le misure a protezione dei dati personali possano costituire un vantaggio competitivo.
La relazione propone anche un elenco di azioni che coinvolgono i diversi stakeholder (Commissione, Stati membri, Autorità di protezione dati, soggetti pubblici e privati) per facilitare ulteriormente l’applicazione del GDPR nelle piccole e medie imprese.
Secondo la Commissione, il Regolamento migliora la trasparenza e aumenta la consapevolezza dei diritti di cui godono le persone nell’UE e delle possibilità del loro esercizio. Le regole sulla protezione dei dati si sono dimostrate inoltre adeguate all’era digitale, il GDPR ha promosso infatti la partecipazione attiva e consapevole delle persone alla transizione digitale e favorisce un’innovazione affidabile attraverso un approccio basato sul rischio e su principi come privacy by design e privacy by default.
Relativamente alla dimensione del flusso dati da e verso le aziende site in UE, la Commissione intende lavorare con l’EDPB alla modernizzazione di alcuni meccanismi per i trasferimenti di dati personali al di fuori dell’Ue tra cui le clausole contrattuali standard, che risultano essere lo strumento più utilizzato dalle aziende.
L’attività del Garante Italiano
La relazione sull’attività dell’Autorità nell’anno 2019 illustra i diversi fronti sui quali è stato impegnato il Collegio, caratterizzato in particolar modo dall’impatto determinato dall’emergenza sanitaria legata al Covid-19 su tutti i settori della vita nazionale e dalla necessità di dettare linee guida chiare sulla raccolta dei dati sanitari di dipendenti e clienti.
Il 2019 ha visto una serie di interventi centrati innanzitutto sulle rilevanti novità introdotte dal Regolamento UE e sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; l’economia fondata sui dati; le grandi piattaforme; i big data; l’intelligenza artificiale e le problematiche poste dagli algoritmi; la sicurezza dei sistemi e la protezione dello spazio cibernetico; la pervasività delle diverse forme di controllo e sorveglianza; il ricorso sempre più diffuso ai dati biometrici; la monetizzazione delle informazioni personali; le fake news; l’Internet delle cose; il revenge porn.
Sul fronte delle violazioni dei dati on line e sui rischi di profilazioni occulte l’anno trascorso ha registrato la sanzione di 1 milione di euro applicata a Facebook per le violazioni emerse nell’ambito dell’istruttoria relativa all’ormai nota vicenda “Cambridge Analytica”, che ha interessato anche cittadini italiani.
Riguardo ai pericoli posti da Tik Tok, il social network cinese che consente di creare e condividere audio, video e immagini, usato da milioni di utenti, in gran parte giovanissimi, il Garante ha chiesto e ottenuto la costituzione di una specifica task force nell’ambito del Comitato europeo che riunisce tutte le Autorità privacy dell’Unione (EDPB).
Sul fronte cybersecurity e sulla scarsa attenzione alle misure di sicurezza da parte di pubbliche amministrazioni, imprese e piattaforme on line, l’Autorità ha proseguito l’attività di vigilanza e intervento, anche a seguito di casi di particolare gravità.
Significativo a questo proposito il numero dei data breach notificati nel 2019 al Garante da parte di soggetti pubblici e privati: 1443.
E’ proseguito il lavoro svolto per assicurare la protezione dei dati on line, in particolare riguardo ai possibili rischi connessi all’uso degli assistenti digitali, installati sui nostri smartphone o presenti nelle nostre case.
Il Garante ha inoltre fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che prendono “in ostaggio” un dispositivo elettronico (pc, tablet, smartphone, smart tv per poi chiedere un riscatto per “liberarlo”. Una minaccia, questa, particolarmente pericolosa nell’epoca del Covid-19 che ha portato molte più persone e per molto più tempo ad essere connesse online.
Le cifre
L’Autorità ha fornito riscontro a oltre 8.000 reclami e segnalazioni riguardanti, tra l’altro il marketing telefonico; la sanità; il credito al consumo; la sicurezza informatica; il settore bancario e finanziario; il lavoro; gli enti locali.
Le ispezioni effettuate sono state 147. Gli accertamenti, svolti anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato numerosi settori, sia nell´ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti effettuati da società di intermediazione finanziaria; da istituti bancari (con particolare riferimento ai flussi di dati verso l’anagrafe dei conti correnti); da società che svolgono attività di marketing e fidelizzazione (anche con riferimento alla profilazione dei clienti). Per quanto riguarda il settore pubblico l´attività di verifica si è concentrata sul Sistema statistico nazionale (Sistan), sullo Spid, sui software per la gestione del “whistleblowing” e sulle banche dati di rilevanti dimensioni.
Data breach, sanzionato un istituto bancario
Un esempio dell’attività istruttoria del Garante è stato irrogare il pagamento di una sanzione di 600 mila euro per un data breach avvenuto tra aprile 2016 e luglio 2017 e consistente in accessi abusivi ai dati personali di oltre 700 mila clienti.
Gli accessi abusivi, avvenuti in due momenti distinti, erano stati effettuati utilizzando le utenze di alcuni dipendenti di un partner commerciale esterno alla banca ed avevano riguardato una molteplicità di informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban).
La sanzione, anche se determinata applicando la disciplina precedente l’entrata in vigore del GDPR, ha comunque tenuto conto del principio della responsabilizzazione del Titolare del trattamento e del concetto di misure adeguate al rischio sui dati personali sia in relazione alle misure minime di sicurezza previste dal Codice privacy che alle regole fissate dalla stessa Autorità in materia di tracciamento delle operazioni bancarie.
Fonti
- Relazione annuale dell’Autorità Garante per la Protezione dei Dati Personali
- Rapporto di valutazione sul Regolamento europeo in materia di protezione dei dati personali (Gdpr) – Commissione Europea
- Provvedimento su data breach – 28 marzo 2019 – Autorità Garante per la Protezione dei Dati Personali
