Essere consapevoli delle norme sul trattamento dati

Comprendo che faccia un pò sorridere parlare di trattamento dei dati, ovvero di privacy, in un mondo iperconnesso e ipercontrollato. In un mondo dove abbiamo concesso ai social e alle catene commerciali ogni nostro intimo dato o metadato in cambio di una mail gratuita, di uno spazio gratuito dove archiviare le nostre foto, o di un semplice sconto.

Può sorridere, però, il privato cittadino.

Per un’azienda o per un professionista, invece, la privacy può rappresentare “una questione di vita o di morte”.

Ammontano, infatti, fino a venti milioni di euro le sanzioni che il Garante della Privacy può irrogare per le violazioni del GDPR. Questa la sigla con cui si indica il Regolamento Generale sulla Protezione dei Dati Personali n. 679/2016 entrato in vigore il 25 maggio del 2018.

Con il trattamento dei dati non si scherza: le sanzioni sono pesanti

Il primo passo per evitare pesanti “sorprese” è quello di prendere coscienza del Regolamento, delle sue norme e del reale rischio d’incorrere nelle sue sanzioni.

In proposito potrei citare gli 8,5 milioni di euro di sanzione irrogati a Eni Gas e Luce S.p.A. per l’effettuazione di « chiamate promozionali per conto di EGL in assenza del consenso degli interessati » [1].

Oppure i 12.251.601 di euro con cui è stata punita Vodafone Italia S.p.A per non aver implementato « sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente » [2].

Senza giungere a queste cifre da capogiro, è indicativo il caso della sanzione di 30.000 euro comminata all’Azienda Ospedaliero Universitaria Integrata di Verona per aver « lasciato incustodita e accessibile la postazione PC in uso, consentendo ad altri di accedere ai dati sanitari di sei ostetriche » [3].

Con altro esempio, segnalo come sia costato 10.000 euro, a un medico, aver messo in atto una « condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire l’utilizzo delle proprie credenziali per l’accesso al sistema » [4]. In buona sostanza, avrebbe condiviso col medico sostituto le proprie credenziali per accedere all’applicativo per la stampa delle ricette, consentendo un indebito accesso ai dati personali e sanitari dei pazienti.

Infine, un « sistema di videosorveglianza installato nel plesso scolastico attivo e funzionante anche durante l’orario scolastico causante un’ingerenza ingiustificata nella vita delle persone » è costato 12.000 euro a un Istituto Tecnico Statale Commerciale e per Geometri [5].

Evitare le sanzioni: dal consenso alle misure di protezione

Tutto ciò dimostra quanto possa costare caro il trattamento dei dati personali, quali anche le immagini dei volti:

• senza un regolare e documentato consenso;
• oppure senza adottare adeguate misure di sicurezza che impediscano l’uso di un terminale lasciato incustodito. Nel caso di Verona, ad esempio, sarebbe bastato un semplice screensaver munito di password da attivarsi automaticamente dopo pochi istanti d’inutilizzo del PC.

Se questi esempi sono stati sufficienti a farti comprendere l’importanza di dare la giusta attenzione alle norme del GDPR, hai compiuto la metà più importante del percorso per mettere a norma la tua attività: hai raggiunto la consapevolezza dei rischi che corri.

–

Fonti e Note:

Credits : Photo by Georg Bommeli on Unsplash

[1] Garante della Privacy, 11 dicembre 2019, “Provvedimento correttivo e sanzionatorio nei confronti di Eni Gas e luce S.p.A.”,

[2] Ancora sul sito web del Garante della Privacy, 12 novembre 2020, “Provvedimento”,

[3] Garante della Privacy, 23 gennaio 2020, “Provvedimento correttivo e sanzionatorio nei confronti di Azienda Ospedaliero Universitaria Integrata di Verona”,

[4] Sempre sul sito web del Garante della Privacy, 22 maggio 2018, “Ordinanza ingiunzione nei confronti di C.R.”,

[5] Garante della Privacy, 15 marzo 2018, “Ordinanza ingiunzione nei confronti d’Istituto Tecnico Statale Commerciale e per Geometri”.