Privacy: rottamazione sanzioni per le contestazioni pendenti

Il Garante della Protezione dei dati Personali ha chiarito, con l’uscita di precise istruzioni, come usufruire  della definizione agevolata dei procedimenti sanzionatori pendenti.

In parole semplici ha spiegato come “rottamare” le sanzioni privacy precedentemente prese ed ad oggi non ancora pagate.

Potranno usufruire di questa speciale “rottamazione” solo quelli che alla data del 25 maggio 2018 abbiano ricevuto la notifica dell’atto di violazione o l’atto di contestazione.

A questo indirizzo le FAQ del Garante in merito a quanto sopra riportato:

https://www.garanteprivacy.it/home/faq/definizione-agevolata-delle-violazioni-in-materia-di-protezione-dei-dati-personali

Nelle FAQ del Garante è riportata la seguente tabella in cui vengono esposti gli ammontare degli importi da pagare per ciascuna violazione commessa:

La privacy non è un’informativa

Ormai sono quindici anni che ci occupiamo di privacy ed applicazione della normativa nelle aziende.

Il nostro approccio è produttivo e rivolto alle aziende, senza imporre inutili procedure, superflui documenti da compilare o assurde richieste di sicurezza fisica.

Mi viene in mente quando nel 2004 mi chiamò un caro amico di mio padre, uno dei più stimati commercialisti di Bologna, e mi chiese “Stefano, è vero che devo costruire un caveau per conservare i dati dei miei clienti?”. Io risi e gli spiegai i principi della normativa e l’inutilità di tale soluzione.

Il mantra che mi sento dire da quando anni a questa parte invece è che la privacy è solo un’informativa. Dai devi fare solo due informative cosa vuoi che sia. Oppure mi dicono di essere in regola con la normativa perché hanno fatto le informative.

Non era così con la 196/03 non lo è, a maggior ragione, con il nuovo Regolamento Europeo UE2016/679.

 L’informativa è la parte più visibile della normativa, la prima che viene data all’interessato e la prima che gli organi preposti al controllo vedono. Ma non è tutta la privacy. sia chiaro.

Non mi metto in quanto momento a fare l’elenco, infinito, di tutti gli adempimenti che sono necessari, ma esprimo solo un paio di concetti.

Il primo, il più importante, è quello de ”Accountability” cioè della responsabilizzazione dell’azienda sul trattamento dei dati personali. Non ci sono più regolette da seguire per trattare e proteggere i dati in modo corretto ma il focus viene sposato sulle esigenze dell’imprenditore e sulla sua necessità di trattare e proteggere i dati personali.

E qui si apre un mondo molto interessate sia dal punto di vista del trattamento dei dati che dal punto di vista della sicurezza. Si pensi ad esempio alla necessità di informare clienti o potenziale clienti di un nuovo servizio.

Con il principio de ”Accountability” e del bilanciamento degli interessi, il nostro imprenditore, utilizzando gli strumenti giuridici giusti, può informare i suoi clienti anche se non un esplicito consenso ed in alcuni casi può anche informare potenziali clienti se per gli stessi esistono reali vantaggi.

Ovviamente i vantaggi non sono un prezzo più basso o un’offerta imperdibile. E tutto quanto lo si può fare tramite i processi privacy (privacy by design) adottati dall’azienda e ponderati con un consulente competente e smart.

Da qui si desume che la privacy della tua azienda non può essere uguale alla privacy dell’azienda del tuo vicino o peggio ancora del tuo concorrente, in quanto per avere un vantaggio competitivo rispetto a loro, devi studiare un sistema di gestione delle informazioni diverso.

L’altro grande nodo che riguarda sempre il concetto di “Accountability” è quello della sicurezza del dato. Una volta bastava installare un’antivirus, un backup settimanale, le password ed apre diavolerie informatiche simili ed eri in regola con la normativa. Se succedeva qualcosa nessuno poteva dirti nulla.

Oggi invece il principio è completamente cambiato. La responsabilizzazione della sicurezza del dato è tua. E non puoi adottare solo le misure prescritte dal vecchio codice ma devi avere misure idonee a proteggere il dato. Quindi backup giornalieri se non orari, un disaster recovery efficiente, e tutte quelle misure necessarie per proteggere il dato.

E se succede qualcosa?

Per prima cosa devi fare una denuncia di Data Breach all’Autorità, poi devi ulteriormente implementare le misure di sicurezza e soprattutto devi prepararti ad un’ispezione nella quale le Autorità valuteranno se le misure da te installate fossero adeguate a fermare i malintenzionati. Certo, mi dirai che entrano pure alla Nasa se vogliono, ed è per quello che se hai adottato le misure idonee ed hai avito un problema di Data Breach potresti non essere sanzionato.

Ma se chiudi i recinti dopo che i buoi sono scappati, non avere dubbi che le Autorità non perdoneranno.

Il Costo del DPO – Data Protection Officer

Responsabile della protezione (RDP)

Competenze e costi della figura professionale privacy

 

Con l’entrata in vigore del GDPR, dal 25/5/2018, si è resa obbligatoria per alcuni tipi di azienda la figura del DPO, un consulente altamente specializzato nella normativa e pratica in materia di protezione dei dati, capace di adempiere ai propri compiti.

Ci dovremmo pertanto trovare di fronte ad una figura di elevato livello professionale, di comprovata formazione, competenza ed esperienza, operante nel settore da diversi anni, e perennemente aggiornato.

 

Il responsabile della protezione dei dati deve essere designato in base alle sue qualità professionali, in particolar modo della conoscenza specialistica della normativa e delle prassi per la protezione dei dati, ovvero della sua capacità di assolvere ai compiti designati dall’art. 39 del GDPR.

Le mansioni indicate dal suddetto articolo sono:

  • informare e fornire consulenza al Titolare, o al Responsabile, e ai suoi dipendenti che eseguono il trattamento dei dati, in merito agli obblighi derivanti dal nuovo Regolamento e da altre disposizioni dell’Unione o degli Stati membri relativamente alla protezione dei dati (cfr. art 35)
  • sorvegliare che tali norme vengano rispettate, insieme alle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, compresi formazione e attribuzione delle responsabilità del personale che esegue i trattamenti o addetti alle attività di controllo
  • laddove richiesto, fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati dell’introduzione di nuove tecnologie nel processo di protezione, e controllarne lo svolgimento ai sensi dell’art. 35
  • cooperare con il Garante ed ogni organo di controllo avente l’autorità
  • operare da punto di contatto con l’autorità per il controllo per tutte le questioni annesse al trattamento, tra cui la consultazione preventiva ai sensi dell’art. 36, e le consultazioni inerenti a qualunque altra questione.

 

Come si evidenzia dalle specifiche dell’art. 39, ci troviamo di fronte ad una figura che svolge prettamente attività di consulenza, ovvero predisposta ad informare l’azienda in merito agli adempimenti normativi previsti e sorvegliarne l’osservanza degli stessi, con relativa applicazione. Anche per questo è altamente sconsigliato che il DPO sia un dipendente stesso dell’azienda, ma una figura consulenziale esterna ad essa.

 

Se ne deduce pertanto che, in ambito di costi, non possa essere una tariffa fissa, ma correlata sempre al tipo di interventi che il DPO deve operare nell’azienda, essendo una serie di aspetti altamente variabili sia da azienda ad azienda, sia nel tempo per la stessa azienda, laddove opera cambiamenti della sua attività, anche lievi.

Se prendiamo in considerazione

  • la grandezza dell’azienda,
  • il campo in cui opera,
  • il numero dei dipendenti,
  • la complessità dei trattamenti effettuati dal Titolare,
  • il tipo e la quantità di dati trattati,
  • la versatilità delle procedure,
  • la presenza di un sistema di gestione
  • le infrastrutture IT,
  • l’esposizione del sistema alle varie tipologie di Data Breach,

ci si rende conto come non sia possibile stabilire un costo forfettario per ogni azienda,ma che deve essere correlato a tutti questi, e molti altri, aspetti aziendali, valutati attentamente dopo aver conosciuto l’azienda in modo non superficiale come possa essere in un paio di incontri.

 

Di conseguenza, un DPO capace, consapevole e professionale non potrà mai stabilire una tariffa senza conoscere l’azienda ed avere eseguito almeno un Audit per conoscere meglio l’azienda e la tipologia di trattamenti effettuati. Chi si presenta a voi proponendo il servizio di Data Protection Officer a tariffa fissa, vi sta offrendo un servizio spesso scadente, solo per darvi una figura di “carta” e facendovi credere di essere compliant alla normativa.

Per concludere citiamo il Professor Francesco Pizzetti, docente di diritto all’Università di Torino e precedente Presidente dell’Autorità Garante della Privacy Italiana:

“Importante verificare che il DPO sia esperto in protezione dei dati e conosca bene il core Business aziendale. Il costo dipende poi da tutto questo. Sapendo che un buon DPO è un investimento anche se costa relativamente molto. Un cattivo DPO, soprattutto se incompetente, è un rischio gravissimo anche se (e soprattutto se) si fa pagare poco. Di solito vuol dire che sa di valere poco e comunque darà poco.”

 

La sentenza della corte di giustizia europea indica cos’è un “Archivio di Dati Personali”

La Corte di Giustizia Europea si è espressa in merito alla definizione di “archivio di dati personali”, fornendo un chiarimento fondamentale per la definizione stessa, che nonostante si basi sulla Direttiva 95/46, anziché sul GDPR, ha valenza anche per quest’ultimo, visto che riprende la nozione di “archivio” dalla Direttiva stessa.

E’ fondamentale osservare che questa sentenza è la prima (della corte di Giustizia) che chiarisce cosa si debba intendere con la definizione di “archivio di dati personali”.

Nella sentenza si legge: “Archivio di dati personali, altresì definito semplicemente “archivio”, un qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”.

La definizione di “archivio”, secondo l’art.2, lettera c), della direttiva 95/46 include l’insieme di dati personali raccolti nell’ambito di un’attività di predicazione porta a porta, contenente nomi, indirizzi e altre informazioni riguardanti le persone contattate porta a porta, allorché tali dati sono strutturati secondo criteri specifici che consentono, in pratica, di recuperarli facilmente per un successivo impiego. Affinché suddetto insieme rientri in tale nozione, non è necessario che esso comprenda schedari, elenchi specifici o altri sistemi di ricerca”.

In sostanza, finora si era considerato archivio solo ciò che rientrava in una catalogazione in sistemi automatizzati, sofisticati, similmente agli archivi digitali, limitando l’applicazione della normativa solo a quelle tipologie di sistemi, e non tenendo in considerazione gli archivi cartacei.

La sentenza della Corte di Giustizia Europea sarebbe però da considerarsi pre-GDPR, in quanto riguarda la Direttiva 95/46, e non il GDPR stesso, che nell’art 4 definisce il termine “archivio”. Tuttavia, nel GDPR la definizione non è affatto chiarissima, come si evince dal testo: “Archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato, o ripartito in modo funzionale o geografico”.

La parte affatto chiara riguarda pertanto i criteri determinati da utilizzare per accedere all’archivio, non chiarendo le caratteristiche che devono avere questi criteri, tanto che in passato numerose corti europee hanno appunto considerato archivi solo quelli comparabili ai digitali, escludendo i cartacei.

Nell’ultima sentenza, la Corte di Giustizia Europea va pertanto nella direzione opposta, includendo nella definizione di archivio anche quelle raccolte non automatizzate, cartacee, atte a raccogliere in modo organizzato i dati personali utilmente ad una successiva consultazione ed impiego dei dati stessi.

E’ pertanto un chiarimento fondamentale anche in riferimento alla denominazione di “archivio” del GDPR, che nella sua dichiarazione non risolve problemi interpretativi della definizione stessa.

California Consumer Privacy Act (CCPA)

Il 28 giugno 2018 il governatore Jerry Brown ha firmato il California Consumer Privacy Act (CCPA), considerate da molti come una delle leggi sulla Privacy più dure degli Stati Uniti.

Il CCPA è stato concepito per proteggere i californiani dalle società che accedono indiscriminatamente ai loro dati. Permette inoltre che i loro dati non vengano venduti.
E’ chiaramente una risposta ad un’iniziativa che si sarebbe dovuta votare a Novembre e che, nonostante non tutti siano soddisfatti della nuova legge, è stata pertanto ritirata.

Tuttavia, lo stato della California condurrà un periodo di consultazione pubblica prima del 2020 per permettere di fornire le opportunità di rafforzare questa nuova legge.

Il CCPA è stato appena varato, e sarà senza dubbio oggetto di molte analisi, ma qui intanto offriamo una prima panoramica.

Vi sono molte leggi e regolamenti sui dati, negli Stati Uniti, ma il CCPA è molto chiaro su ciò che propone, ed è, come detto, probabilmente la legge più dura in materia di privacy. La California spesso conduce a innovazioni, e possiamo aspettarci che altri stati, se non il governo federale stesso, adottino questa legge. In ogni caso, questo Stato comprende un mercato talmente vasto che la maggior parte delle aziende statunitensi sono attive lì, e dovranno seguire in ogni caso il CCPA.

Questo è destinato alle imprese che hanno un’entrata annuale pari o superiore ai 25 milioni di $, o che commercializzano dati di più di 50.000 utenti o endpoint, o il cui ricavato dalle entrate della vendita dei dati superi il 50% del fatturato.

CCPA VS. GDPR

Possiamo notare come il CCPA sia stato chiaramente influenzato dal GDPR dell’Unione Europea, ed è interessante confrontare i due atti legislativi.

Ad esempio, come il GDPR, anche il CCPA contempla il diritto all’oblio, il diritto alla portabilità, e all’accesso ai dati. A differenza del GDPR, però, prevede che i danni espliciti possono essere concessi ai singoli in caso di violazione dei dati.

Il CCPA, a differenza, non parla di titolare o soggetto dei dati, ma di “consumatore”, ovvero una persona fisica residente in California. Per persona fisica si intende però un individuo, una ditta, una società, una joint venture, un sindacato, un’associazione, una società a responsabilità limitata, un comitato o una qualsiasi altra organizzazione o gruppo di persone che agiscono in concerto.
Nel CCPA è il “consumatore”, e non la persona, che è salvaguardato nei suoi diritti.
Nel GDPR si parla di “Data Controller” e “Data Processor”, mentre il CCPA si occupa solo di “business”.

Altra differenza interessante tra GDPE e CCPA e la differenza tra dati e metadati.
Il CCPA dichiara molto chiaramente che il consumatore ha il diritto di essere informato delle categorie di dati personali, categorie di fonti di dati, e di categorie di terzi con cui un’azienda condivide i dati personali. Nel GDPR, invece, si parla solo di dati personali, e della necessità di un linguaggio semplice per la divulgazione agli interessati. L’enfasi che il CCPA posta sulle categorie solleva interessanti dubbi sui metadati, ovvero come le categorie, il modo in cui sono definite, e il modo in cui le informazioni sono effettivamente suddivise in categorie. Ovviamente, il CCPA tutela anche i diritti sui dati effettivi.

Un’altra differenza interessante è la specificità delle rivelazioni. Il GDPR afferma che agli interessati devono essere fornite spiegazioni chiare e specifiche su quali scopi verranno utilizzati i dati personali, e il controllore dei dati ha una certa libertà su come farlo. Il CCPA è invece più prescrittivo. Specifica che un’azienda “deve fornire un collegamento chiaro e ben visibile sulla home page internet aziendale, intitolata “Non vendere le mie informazioni personali”, ad una pagina Web internet che consenta ad un consumatore (o ad una persona autorizzata dal consumatore stesso) di scegliere se accettare o meno la vendita delle proprie informazioni personali”.

Il CCPA parla di inferenze in un modo che il GDPR non fa. Il GDPR ha un linguaggio sulla costruzione di un “profilo” di un soggetto dei dati. Il CCPA sembra invece andare oltre, includendo inferenze sui consumatori come parte delle informazioni personali. Nello specifico, le informazioni personali includono “inferenze tratte da qualsiasi informazione identificata in questa suddivisione per creare il profilo di un consumatore che rifletta le preferenze, le caratteristiche, le tendenze psicologiche, le preferenze, le predisposizioni, gli atteggiamenti, l’intelligenza, le abilità e le attitudini del consumatore.”

Un’altra distinzione tra GDPE e CCPA è che i danni possono essere concessi agli individui. Nel GDPR è possibile riscuotere multe per inadempienza che rappresentano il 4% delle entrate globali o 20 milioni di euro, a seconda di quale sia il maggiore importo. Il CCPA prevede che, in caso di violazione dei dati, un’azienda debba risarcire il consumatore da 100 a 750 dollari. Le stime di ciò che una violazione dei dati costa ad un’organizzazione in passato sono state nella gamma da 100 a 200 dollari, quindi questo potrebbe ora aumentare in modo significativo.

Ma ciò che il CCPA dà con una mano, si riprende con l’altra. I consumatori possono portare azioni, ma ci sono una serie di condizioni che devono essere soddisfatte perché si possa procedere, come informare il Procuratore Generale, che può agire al posto del consumatore. C’è inoltre qualche discussione sulle azioni legali collettive nel CCPA, e ovviamente lo Stato della California non vuole che questa legge porti ad una “fame frenetica” di contenziosi di class action. Potrebbe quindi essere difficile contenere questo aspetto, e c’è da attendersi sicuramente un intenso lobbismo da parte di gruppi legali, durante il periodo della consultazione pubblica nel 2019, per consentire alle imprese di essere più aperte alle cause legali collettive.

LA PRIVACY DEI DATI È QUI PER RIMANERVI.

Ci sarebbe molto di più da scrivere sul CCPA, ma per ora finiamo qui il nostro intervento. Quello che per ora possiamo già vedere, confrontando il CCPA e il GDPR, è che l’area della privacy dei dati è qualcosa che i governi stanno prendendo molto sul serio. Si può inoltre vedere che ci sono diversi patrimoni legali e culturali che influenzano il modo in cui le disposizioni legislative sono presentate dalle diverse giurisdizioni.
Sta infine diventando molto chiaro che i “dati” sono un’area così ampia che diverse leggi affrontano (o ignorano) diverse parti di esso, senza che nessuna di queste sia veramente completa, per la loro vastità e varietà.

Di sicuro, ci aspettiamo sviluppi interessanti, in merito.

Brexit e GDPR Privacy

Il governo Britannico ha pubblicato il “white paper” nel quale specifica le relazioni con l’Unione Europea dopo la Brexit. Il governo Britannico deve ancora definire come saranno trattai e trasferiti i dati personali tra UE e UK dopo la Brexit.

Ancorché il 25 maggio 2018 sia entrato in vigore il GDPR anche in UK. Tuttavia un’orientamento del governo UK si può intravedere nel punto 8.39 del “white paper” nel quel cita che la Commissione Europea è in grado di riconoscere gli standard di protezione dei dati di paesi terzi e decretarne l’essenziale equivalenza al GDPR.

Nel frattempo, durante il Brexit, UK tenterà di mantenere stabile il trasferimento dei dati tra UK e UE.

Bisognerà attendere le evoluzioni per capire anche come si comporteranno con il GDPR attualmente in vigore UK e quindi se lo aboliranno, se faranno una nuova normativa o se ritorneranno alla precedente legislazione.

Se un indirizzo email è presente su un social network non significa che posso inviargli mail commerciali!!!

Il Garante della Privacy dice:

No al social spam. 

Per inviare proposte commerciali, ad esempio, è sempre necessario il consenso dei destinatari. Per questi motivi il Garante per la privacy ha vietato a una società l’ulteriore trattamento di indirizzi email senza consenso per attività di marketing [doc. web n. 7221917].

Il Garante non è nuovo a questi interventi e si è mosso su segnalazione di una società subissata di mail promozionali non richieste.

Dagli accertamenti, svolti presso la società dall’Autorità, in collaborazione con il  Nucleo Speciale Privacy della GdF, è emerso che la raccolta degli indirizzi di posta elettronica avveniva, oltre che con altre modalità, anche attraverso l’instaurazione di rapporti su Linkedin e Facebook o “pescando” contatti sui social.

Dobbiamo ricordarci che le Linee guida sull’attività promozionale ed il contratto allo spam, emanate il 4 luglio 2013, hanno disciplinato il fenomeno del “social spam”, rendendo illecito il trattamento degli indirizzi di posta elettronica raccolti dai social network ed utilizzati per fini commerciali.

 

Il Garante ha ribadito che gli indirizzi reperiti sui social network non possono essere usati liberamente e, soprattutto, non possono essere usati a fini commerciali, scardinando la tesi sostenuta dalla società, rea di aver inviato le mail commerciali, la quale sosteneva che la semplice iscrizione a social network (Facebook, Linkedin, ecc) implica il consenso all’utilizzo dei dati personali per l’attività di marketing effettuate da terze persone. La non liceità dell’uso dei dati presi dai social, o più in generale dal web, è dovuta al fatto che le funzioni sociali dei social network sono preordinate alla condivisione di informazioni e allo sviluppo di contatti professionali, e non alla commercializzazione di prodotti e servizi.Questa opinione è sostenuta anche da tutte le altre Autorità per la Privacy europee.

Quindi cosa rischia chi fa uso delle mail reperite sui social network per fini commerciali?

La società in oggetto ha preso una ingente sanzione amministrativa, comunemente chiamante multa, e il blocco dei trattamenti, cioè il divieto di utilizzare le mail fino ad oggi raccolte, costringendola a ricominciare la raccolta dei contatti mail secondo quanto previsto dalla normativa.

 

Hai una APP della tua azienda, o stai pensando di farla? GUAI IN VISTA!

Sì perchè anche anche Google annuncia di fare sanzioni sulla privacy agli sviluppatori di App che non rispettano la normativa.

Google si sarà stancata di prendere multe privacy per colpa di quegli sviluppatori di applicazioni che non rispettano la normativa e trattano con eccessiva disinvoltura i dati personali con le loro applicazioni mobile.

Per questo ha deciso di applicare sanzioni, fra cui addirittura la cancellazione dell’ APP dal suo store, a chi sviluppa le applicazioni mobile senza rispettare la normativa sulla privacy.

Ed ovviamente chi sviluppa una app per conto tuo non paga mica lui l’errore, ma la paghi tu per lui!

Quindi, tu azienda che chiedi di sviluppare un’app per il tuo business, sai a chi rivolgerti per essere sicuro che sia in regola con la privacy, così da non rischiare sanzioni?

Il mio amico Marco Goretti ha chiesto aiuto per la privacy ad un informatico ed ha avuto delle brutte sorprese, (vedi la testimonianza video qui:https://goo.gl/TwWDuI );

VUOI CASCARCI ANCHE TU?

Oppure preferisci contattare un professionista che ti metta al riparo dalle sanzioni e ti faccia dormire sonni tranquilli?

Anche perché adesso oltre al Garante Privacy, la Guardia di Finanza e la polizia Postale si è messa a sanzionare sulla privacy anche Google (con gli strumenti in suo possesso) se non fai delle app che la rispettino!

Poi non dirmi che non ti avevo avvisato!