L’applicazione del Regolamento europeo deve andare oltre il concetto di adempimento formale cui sottostare per evitare sanzioni. Non bastano i documenti, bisogna attuare concretamente le disposizioni di legge per attuare una corretta data protection.
Ma lo scenario è chiaro: in questo anno e mezzo di prima applicazione del GDPR, confrontandomi quotidianamente con aziende, imprenditori, manager di PMI alle prese con il fatidico adeguamento alla normativa, uno dei tormentoni in cui mi imbatto è quello che per essere in regola con la normativa sia sufficiente adoperarsi per avere un po’ di carte e scartoffie, più o meno personalizzate, riproducenti il dettato del temuto e non ben identificato GDPR.
Una sorta di pass-par-tout pronto per essere sfoderato nel caso di una verifica da parte del Garante.
Per fortuna l’adeguamento richiesto dal GDPR va ben oltre la mera formale compilazione di documenti e registri, come ben già viene espresso nel momento in cui fra i suoi principi fondamentali pone quello della “accountability”.
Indice degli argomenti
Data protection: l’accountability nel GDPR
Infatti l’art.24 del GDPR prevede che “tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. Inoltre, se ciò è proporzionato rispetto alle attività di trattamento, le predette misure includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento”.
Al titolare del trattamento, vero e proprio “custode” – non proprietario – dei dati, viene richiesta una serie di attività positive e concrete per garantire la tutela dei dati degli interessati, nonché conseguentemente la dimostrazione della loro attuazione.
In parole povere quindi all’imprenditore che vuole adeguarsi si richiede un esame profondo e puntuale di tutti i propri processi organizzativi, flussi di dati, organigrammi aziendali e rapporti di fornitura per verificare eventuali punti di debolezza ed attuare, se necessario, concrete misure di riorganizzazione della società, dei processi, della selezione dei fornitori.
Si tratta di un vero e proprio percorso di auto-analisi che l’imprenditore deve iniziare e che richiede la sua apertura e disponibilità a mettersi in gioco, a modificare la propria organizzazione, a investire risorse anche economiche se necessario.
Come sempre riferisco si tratta di un percorso avventuroso, di ricerca e studio della propria attività, ricerca faticosa ed oneroso talvolta, ma che porterà ad una serie di conseguenze sorprendentemente positive.
In primis l’azienda si sarà “adeguata” al GDPR, ma nello stesso tempo avrà migliorato i propri processi organizzativi e produttivi, avrà ridefinito mansioni e responsabilità con maggior precisione, avrà riesaminato i propri fornitori individuando quelli a loro volta “adeguati”, e non da ultimo sarà diventata più competitiva, potendo valorizzare il corretto trattamento dei dati al suo interno, dati che rappresentano la vera ricchezza del prossimo imminente futuro.
Le ispezioni e le sanzioni: il caso Sergic
Se proprio tutto questo non dovesse bastare a convincere l’imprenditore del perché dell’opportunità offerta dall’adeguarsi al GDPR, imprenditori e manager sono molto sensibili ad un ultimo aspetto, ovvero quello delle sanzioni pecuniarie, che nel caso del GDPR possono arrivare nel loro massimo ammontare, ai sensi degli artt.83 ed 84 GDPR, fino a 20.000.000 di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Ma spesso anche di fronte a queste cifre l’imprenditore pensa ingenuamente e pigramente che non possa mai capitare un sopralluogo o pensa che crearsi il proprio pass-par-tout di documenti sia la soluzione più rapida e conveniente.
A smentire nei fatti questa errata convinzione arriva proprio una interessantissima e significativa pronuncia del Garante Francese (CNIL) del 28 maggio 2019 n.SAN-2019-005 con cui quest’ultimo ha sanzionato una società immobiliare francese la Sergic SAS infliggendole 400.000 euro di pena pecuniaria per la violazione degli artt. 32 e 5, par.1 lett. e) del GDPR, secondo cui il titolare debba adottare misure di sicurezza adeguate per il trattamento dei dati e che impone che i dati vengano conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Dalla pronuncia si evince che l’immobiliare Sergic attraverso il proprio sito permetteva agli utenti di registrarsi e candidarsi a delle selezioni per ottenere degli immobili in locazione. L’interessato doveva compilare un form e fornire dati personali propri e dei propri familiari caricando anche in upload documenti (ad esempio: carte identità, certificati stato di salute, certificarti di morte, di matrimonio, sentenze di divorzio, dichiarazioni dei redditi, documenti fiscali ecc.) che andavano a costituire un vero e proprio fascicolo personale.
Peccato che questi fascicoli fossero liberamente accessibili da chiunque, semplicemente modificando il numero contenuto nella parte finale dell’indirizzo URL, a causa della mancata adozione della semplice misura di autenticazione da parte dei singoli utenti.
Proprio un normale semplice utente si è così accorto di questo “difetto” ed ha fatto partire la segnalazione al Garante francese. Il CNIL ha contestato ovviamente in primo la mancata adozione della misure di sicurezza adeguate ex art.32 GDPR e nel valutare la gravità della violazione per quantificare la sanzione pecuniaria ha tenuto conto di alcune circostanze: la particolare vulnerabilità dei sistemi, la particolare natura “sensibile” dei dati trattati e la grande quantità di questi ultimi (circa 290.000 file riferiti a circa 30.000 persone) ed il fatto che la società fosse a conoscenza di tale “difetto” sin dal marzo 2018 senza che vi ponesse rimedio.
In secondo luogo il garante francese ha contestato alla Sergic anche la violazione dell’art.5, par. 1, lett. e) GDPR in quanto i dati dei canditati veniva conservato ben oltre la tempistica derivante dalla finalità per cui erano stati raccolti, mentre avrebbero dovuto nel caso specifico essere cancellati subito dopo la decisione di concedere in locazione gli immobili ai candidati ritenuti non meritevoli.
Ed ecco che la Sergic, come farebbe l’imprenditore medio, si è difesa fra l’altro producendo documenti perfetti a riprova di aver adottato un piano d’azione per il futuro, ma il CNIL ha ritenuto ininfluente tale aspetto meramente documentale, dando maggior peso al fatto che in concreto non fossero state adottate misure tecnico organizzative idonee a garantire il corretto trattamento dei dati.
Ecco quindi come tale decisione è manifestazione chiara ed inequivocabile del fatto che l’adeguamento, la “compliance” richiesta dal GDPR e dai garanti europei debba essere sostanziale, vera e concreta, certamente poi documentabile.
Data protection: i controlli in Italia
Questo corrisponde a quanto emerge anche dai primi sopralluoghi effettuati dalla Guardia di Finanza in Italia, come confermato durante il Congresso Annuale di ASSO DPOtenutosi a Milano l’8 ed il 9 maggio 2019 dal Colonnello Marco Menegazzo, Comandante del Gruppo Privacy del “Nucleo Speciale Tutela Privacy e Frodi Tecnologiche” della Guardia di Finanza, posto alle dipendenze del Comando Unità Speciali, Reparto del Corpo della Guardia di Finanza che, in virtù e per effetto del Protocollo d’Intesa siglato in data 10 marzo 2016 tra il Comando Generale e l’Autorità Garante per la protezione dei dati personali, è istituzionalmente preposto a collaborare con la prefata Autorità nello specifico comparto della tutela dei dati personali delle persone fisiche.
Il Colonnello ha riferito come proprio i primi accertamenti abbiano fatto emergere nelle prime Società oggetto di attività ispettiva proprio questa discrasia fra parte documentale dell’adeguamento e sostanza dell’adeguamento stesso ed ha ribadito l’assoluta importanza della coerenza e corrispondenza fra quanto espresso nei documenti e le misure effettivamente adottate dai titolari o responsabili del trattamento, che devono poter essere dimostrate e comprovate, non solo dichiarate.
Questo approccio “sostanzialistico” è espresso chiaramente anche nella deliberazione del 14 febbraio 2019 in cui il Garante italiano ha affidato alla Guardia di Finanza delega ad effettuare “controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati.
Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati”.
Si ricorda che tale discrasia non solo è sanzionabile sul piano del GDPR ma può anche costituire reato penale ai sensi dell’art.168 del Codice Privacy ai sensi del quale “salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni”.
Conclusione
Alla luce di tutto quanto sopra i prossimi mesi saranno fondamentali perché gli imprenditori, dopo aver conosciuto il GDPR nell’anno appena trascorso, dovranno acquisire sempre più “consapevolezza” dell’importanza di un reale e sostanziale adeguamento al GDPR, che parta certamente dalla valorizzazione della ricchezza del dato trattato per poterlo poi di conseguenza trattare e custodire con misure adeguate a tutela degli interessati ma anche nell’interesse dell’imprenditore stesso.
