È facile notare una azione sempre più incisiva, da parte delle Autorità di Controllo, nel sanzionare i titolari del trattamento per non aver ottemperato in modo corretto ai doveri previsti dal capo III del GDPR.
I titolari sono tenuti a fornire agli interessati tutte le informazioni necessarie per renderli edotti di come dovranno trattare i loro dati e di quali sono i loro diritti, per agevolare l’esercizio di tali diritti e per fornire agli interessati un riscontro puntuale rispetto all’azione intrapresa a seguito di una istanza di esercizio dei diritti.
I principali errori commessi dalle aziende riguardano principalmente i dati personali, che venivano acquisiti senza il consenso dell’interessato e senza la trasmissione dell’informativa. Inoltre, l’informativa privacy non presentava il contenuto minimo previsto dalle norme e non indicava le finalità e modalità di trattamento effettivamente adottate dall’azienda.
Gli errori esaminati erano per la maggior parte frutto della medesima impostazione: l’aver guardato alla privacy compliance in modo “meccanico”, cioè come ad una serie di adempimenti burocratici da attuare dotandosi di moduli o soluzioni informatiche standard.
Le nuove norme, invece, hanno imposto un approccio diverso (accountability) che impone all’azienda di prendere coscienza ed analizzare con lucidità le proprie modalità di trattamento dei dati e di attuare le misure effettivamente corrispondenti per il caso concreto (privacy by default e by design).
Spesso, infatti, le informative privacy e la documentazione conseguente erano state realizzate secondo uno standard pensato per “aziende dello stesso settore”, senza però evidenziare la peculiarità, le caratteristiche ed unicità delle operazioni effettuate dall’azienda, delle quali non veniva fatta menzione.
A livello “macro” i dati raccolti dalla Commissione Europea hanno evidenziato che nel corso del 2019 in tutta l’Unione Europea sono state depositate 144 mila denunce individuali e 89 mila notifiche di data breach, che hanno portato all’apertura di 400 casi di cui 281 con elementi di transnazionalità.
Il nuovo approccio risk based introdotto da GDPR presuppone necessariamente che la valutazione del rischio parta dall’analisi della peculiare situazione aziendale e, da questa, inizi a tracciare e definire i processi, le procedure e le misure di protezione più adeguate all’attuale assetto dell’azienda.
(V.M)
