Il 23 giugno 2020 è stata pubblicata dal Garante Privacy la relazione annuale sull’attività svolta dall’Autorità nel corso del 2019. Perché è importante conoscerne i contenuti? Il documento consente di capire di cosa le imprese dovranno maggiormente preoccuparsi nell’ambito della gestione dei dati in quanto la Relazione permette di avere una buona prospettiva sulle scelte, le indagini, gli obiettivi e le criticità evidenziati dall’Autorità e che saranno il banco di prova nei prossimi anni in relazione al corretto trattamento ed alla protezione dei dati.
In primo luogo la relazione sottolinea come sono stati molto incisivi gli interventi del Garante contro il telemarketing con l’applicazione di pesanti sanzioni (una di 27,8 milioni di euro e un’altra di 11,5 milioni di euro) ad operatori che hanno utilizzato i dati degli abbonati senza il loro consenso. Per le imprese a vocazione digitale ed ecommerce occorrerà stare sempre più attenti perché privacy e diritti del consumatore sono strettamente connessi (considerazione che ritroveremo a conclusione di questo contributo). A conferma di ciò si segnala anche che l’Autorità ha fornito riscontro a oltre 8.000 reclami e segnalazioni riguardanti, oltre che il marketing telefonico, anche: la sanità, il credito al consumo, la sicurezza informatica, il settore bancario e finanziario, il lavoro (anche sotto il profilo del ruolo del medico competente).
Sul fronte cybersecurity e sulla scarsa attenzione alle misure di sicurezza da parte delle imprese (soprattutto con piattaforme on line), l’Autorità ha proseguito l’attività di vigilanza e intervento, anche a seguito di casi di particolare gravità. È senz’altro significativo il dato relativo alle notifiche di data breach (1443), ma è ancor più importante conoscere l’oggetto delle violazioni perché sono gli aspetti a cui le imprese devono prestare maggiore attenzione. Le tipologie di violazione dei dati personali più frequenti hanno riguardato:
- attacchi informatici volti all’acquisizione di dati personali (quali credenziali di accesso, dati relativi a strumenti di pagamento, dati di contatto);
- accesso non autorizzato a caselle di posta elettronica (ordinaria e certificata);
- perdita o indisponibilità di dati personali causata da malware di tipo ransomware;
- smarrimento o furto di dispositivi digitali o documenti cartacei contenenti dati personali;
- comunicazione o diffusione accidentale di dati personali;
- osservazione delle prescrizioni in materia di videosorveglianza;
Di particolare interesse sono i dati riferiti alle ispezioni e le informazioni estremamente utili per ogni imprenditore sulle modalità con cui queste si svolgono. Gli accertamenti, svolti anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato numerosi settori, sia nell’ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti effettuati da società di intermediazione finanziaria; da istituti bancari (con particolare riferimento ai flussi di dati verso l’anagrafe dei conti correnti); da società che svolgono attività di marketing e fidelizzazione (anche con riferimento alla profilazione dei clienti).
In cosa consiste una ispezione privacy? Il Garante Privacy osserva, informazione estremamente utile per le imprese, che si è provveduto ad acquisire, laddove non compiutamente rappresentati dal titolare del trattamento, gli elementi necessari alla valutazione del rischio derivante dalle violazioni oggetto di notifica, sia attraverso acquisizione documentale, sia attraverso specifiche attività ispettive presso i titolari o i responsabili del trattamento.
=> Ispezioni GDPR: come prepararsi in azienda
Ed ancora si sottolinea che le modalità di svolgimento delle attività di controllo realizzate a cura del Dipartimento attività ispettive prevede che, con l’ordine di servizio sottoscritto dal dirigente, sia possibile, in particolare:
- controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico;
- richiedere informazioni e spiegazioni;
- accedere alle banche dati ed agli archivi;
- acquisire copia delle banche dati e degli archivi su supporto informatico.
Infine vale la pena indicare quali sono stati i settori imprenditoriali verso i quali maggiormente si sono svolte le ispezioni effettuate dall’Autorità:
- grandi gruppi alberghieri, in relazione al trattamento di dati personali della clientela, anche qualora svolto tramite siti web, al fine di verificare, nell’ambito dei diversi servizi offerti, le categorie di dati raccolti e le tipologie di trattamenti effettuati, tra cui l’eventuale profilazione o attività di marketing nei confronti degli interessati, le misure di sicurezza previste e l’eventuale comunicazione di dati personali a soggetti terzi;
- soggetti esercenti l’attività di call center, con riferimento al trattamento dei dati personali delle persone contattate, al fine di verificare, in particolare, le modalità di rilascio dell’informativa e di acquisizione del consenso o di registrazione del diniego, nonché le fonti di acquisizione delle liste dei destinatari delle chiamate telefoniche e l’effettività del riscontro delle stesse con il Registro delle opposizioni;
- gruppi societari, per la verifica delle modalità di trattamento dei dati personali in relazione al rilascio di carte di fidelizzazione, delle modalità dell’eventuale profilazione della clientela, anche a fini di marketing, nonché della sussistenza dei relativi presupposti giuridici;
- società di intermediazione immobiliare di rilevanza nazionale, in relazione al trattamento di dati personali della clientela, anche qualora svolto tramite siti web, al fine di verificare, nell’ambito dei diversi servizi offerti, le categorie di dati raccolti e le tipologie di trattamenti effettuati, tra cui l’eventuale attività;
- di marketing nei confronti degli interessati o di comunicazione dei dati personali a soggetti terzi, le modalità ed i tempi di conservazione dei dati trattati;
- tour operator di rilevanti dimensioni, in relazione al trattamento di dati personali della clientela, anche qualora svolto tramite siti web, al fine di verificare, nell’ambito dei diversi servizi offerti, le categorie di dati raccolti e le tipologie di trattamenti effettuati, tra cui l’eventuale attività di marketing nei confronti degli interessati o di comunicazione dei dati personali a soggetti terzi, le modalità ed i tempi di conservazione dei dati trattati;
- circoli sportivi, in relazione al trattamento di dati personali della clientela, anche qualora svolto tramite siti web, al fine di verificare le categorie di dati raccolti (eventualmente, anche di tipo particolare ai sensi dell’art. 9 del RGPD) e le modalità di rilascio dell’informativa e dell’acquisizione del consenso della clientela, l’eventuale attività di marketing nei confronti degli interessati o di comunicazione dei dati personali a soggetti terzi, nonché l’eventuale utilizzo di impianti di videosorveglianza.
Le categorie sono molteplici ma è facile indicare un fattore comune che si presenta perfettamente in linea con quanto evidenziato all’inizio di questo contributo e cioè la connessione tra privacy e diritti dei consumatori. I vari settori di indagine, infatti, sono stati individuati tra quelle categorie di imprese che più usualmente, anche in ragione del proprio business, raccolgono dati dei propri clienti anche a fini di marketing e profilazione, soprattutto per quelle imprese che hanno una forte vocazione digitale. Questo sta a significare come sia essenziale, per evitare controversie o sanzioni, comprendere l’importanza di un corretto trattamento dei dati in quanto l’efficienza e lo sviluppo dell’attività imprenditoriale passerà sempre più spesso dalla corretta protezione e utilizzo dei delle informazioni
Articolo dell’Avv. Emiliano Vitelli