Le sanzioni in ambito GDPR incorrono, spesso, quando l’organizzazione non riesce a dimostrare una corretta postura rispetto alla norma, in questo senso l’applicazione dei precetti di una disciplina come la Data Protection è fondamentale per diminuire il rischio sanzionatorio che può essere oneroso anche dal punto di vista della reputazione con inevitabili ricadute sul business.
Tipologie di sanzioni previste dal GDPR
Sanzioni penali
Con riguardo alle sanzioni penali, il GDPR non ne prevede direttamente, lo stesso ammette dall’altro lato la facoltà per gli Stati membri di stabilire disposizioni relative a sanzioni penali.
In Italia, le fattispecie penalmente rilevanti già previste dal Codice Privacy* sono state modificate ed integrate con ulteriori violazioni.
Le fattispecie per cui saranno applicabili sanzioni penali sono quindi, ai sensi del riformato Codice Privacy:
- 167 (Trattamento illecito dei dati)
- 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala);
- 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala);
- 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante);
- 170 (Inosservanza dei provvedimenti del Garante).
*Il codice in materia di protezione dei dati personali, informalmente noto anche come codice della privacy, è un testo unico italiano che contiene le norme nazionali relative alla tutela dei dati personali. In vigore dal 2004, è stato profondamente modificato nel 2018, per adeguare la normativa italiana a quella dell'Unione europea in seguito all'approvazione nel 2016 del Regolamento generale sulla protezione dei dati (GDPR).
Sanzioni amministrative
L’art. 83 del GDPR distingue due gruppi di sanzioni amministrative:
Sanzioni amministrative minori, sino a 10 mln di euro o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Nel primo gruppo rientrano le violazioni cosiddette di minore gravità, con sanzioni sino a 10 mln di euro o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore e riguardano nello specifico le violazioni degli obblighi imposti ai seguenti soggetti, il titolare ed il responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43 GDPR). (in queste sanzioni rientrano anche altri soggetti, ma qui stiamo indagando le ricadute sull’azienda).
Sanzioni amministrative maggiori, fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
ll secondo gruppo di sanzioni, più pesanti in considerazione della maggiore gravità delle fattispecie a cui sono ricondotte, ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le seguenti violazioni:
- dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
- dei diritti degli interessati a norma degli articoli da 12 a 22;
- i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
- qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
- l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR.
GDPR e danno di immagine
Nell’era del web, la nozione di danno alla reputazione commerciale si è evoluta o, se vogliamo, ha trovato la sua maturità: la reputazione è fondamentale, sia essa riferita alla persona (Personal Reputation) o a un’azienda (Brand Reputation).
Le aziende di qualsiasi tipologia B2B e B2C investono ingenti somme nel creare i contenuti, le infrastrutture e le campagne di comunicazione online, si capisce quindi come il tema del monitoraggio e la difesa della propria reputazione sia una priorità per le organizzazioni, oramai consapevoli di quanto un “incidente” in tal senso possa rappresentare una perdita ingente – anche e soprattutto economica, aldilà delle sanzioni previste dalla normativa.
Giusto a titolo esemplificativo il caso di data breach subito da “Equifax” nel 2017, dove i dati (finanziari) di 143 milioni di americani sono stati trafugati da una violazione on-line dei sistemi informatici dell’azienda, ha causato una perdita del titolo azionario del 32% del suo valore.
Il risk assessment
Il risk assessment fotografa l’AS-IS dell’intera organizzazione o di una parte di essa e individua quindi le attività di rimedio.
L’importanza del Risk Assessment per la Protezione dei Dati
La valutazione dei rischi è fondamentale nella protezione dei dati personali per svariate ragioni. Prima di tutto, permette alle organizzazioni di comprendere il panorama dei rischi e di focalizzarsi sulle priorità. Questa consapevolezza consente di allocare risorse in maniera efficiente e di prioritizzare le attività di mitigazione.
Attraverso questa attività le organizzazioni possono stabilire la probabilità di eventi dannosi e il loro impatto potenziale, sviluppando di conseguenza una strategia per la gestione dei rischi che mira a ridurre al minimo le conseguenze negative per la sicurezza dei dati personali.
Valutazione dei Rischi
Dopo aver identificato i rischi, essi devono essere valutati per stabilirne la gravità e la probabilità. Questo processo coinvolge l'attribuzione di un livello di rischio ad ogni minaccia potenziale. Le aziende possono definire un punteggio di rischio basato su metriche quali il valore dei dati esposti e la possibilità di occorrenza del rischio.
Nel contesto della protezione dei dati personali, che sottostà ad una normativa, è bene specificare che la valutazione dei rischi ed i relativi punteggi di rischio non devono sollevare l’azienda dal rispetto della normativa, anzi, la compliance normativa “totale” dovrebbe essere il vero obiettivo delle attività di compliance. Sappiamo tuttavia che il rischio “zero” non esiste, capire quindi quali sono le attività aziendali più esposte per tipologia, quantità, numero di trattamenti, durata e complessità dei flussi informativi di dati personali è fondamentale.
Gestione dei Rischi Identificati
Una volta valutati i rischi, segue la fase di gestione, dove l'obiettivo è di ridurne la probabilità e mitigarne l'impatto. A seconda dell'analisi precedente, possono essere adottate soluzioni come il potenziamento delle infrastrutture IT, la formazione del personale, e l'implementazione di politiche di Data Protection e protocolli di emergenza più efficaci.
La gestione dei rischi prevede un percorso a 3 fasi:
- Prevenzione
Implementazione di misure preventive per ridurre la probabilità di rischi. - Rilevamento
Adozione di sistemi di monitoraggio che rilevano il verificarsi di rischi in tempo reale. - Risposta
Sviluppo di piani di risposta pronti a essere attuati in caso di incidenti.
Monitoraggio e Revisione del Risk Assessment
Infine, il processo di gestione dei rischi è ciclico e richiede un monitoraggio costante e revisioni periodiche. Il panorama di rischio può cambiare rapidamente, la normativa è un’altro fattore di cambiamento e sappiamo che può evolvere facendo diventare obsolete le strategie precedentemente implementate. Un processo di revisione ben strutturato assicura che le misure di protezione dei dati rimangano efficaci nel tempo.
L’approccio di Maxwell
Il Risk assessment di Maxwell Consulting si propone quindi come obiettivo di far emergere i maggiori ambiti di rischio, che espongono l’impresa al rischio sanzionatorio.
Un approccio che dovendo per forza di cose permeare tutta l’organizzazione aziendale, o comunque tutti i reparti che trattano dati personali con particolare riguardo ai cd dati personali particolari (ex dati sensibili) solitamente in capo all’HR e all’alta direzione/proprietà, si apre con una sessione di set up dell’intervento.
Una prima valutazione in cui vengono intervistati i dirigenti aziendali, in particolare:
- Direzione HR
- Direzione Marketing
- Direzione Vendite
- Direzione IT
- Direzione Amministrativa/Acquisti
- Responsabile della struttura (con particolare riferimento agli accessi fisici)
Si procede quindi con un approccio scalare che mette nelle condizioni l’azienda di programmare gli interventi nel tempo, partendo ovviamente dagli ambiti maggiormente esposti i quali spesso dipendono da 2 fattori:
- Il modello di business e il core business dell’azienda
- Il modello organizzativo
Il modello di business e il core business dell’azienda
È facile immaginare che se un’azienda ha processi di vendita esclusivamente online mezzo e-commerce, questa infrastruttura dovrà essere particolarmente attenzionata, poiché rappresenterà uno dei maggiori punti di accesso dei dati.
Un’azienda che opera nel retail con catene di negozi fisici, ove si raccolgono dati personali attraverso tessere fedeltà e sottoscrizione di promozioni, potrebbe avere la necessità di formare maggiormente il personale, oltre a strutturare processi paperless che abilitano corrette pratiche di data protection by design by default. Sempre la stessa azienda potrebbe aver la necessità di porre l’attenzione sui sistemi di videosorveglianza dei negozi che di fatto trattano dati personali.
L’azienda operante del settore farmaceutico che tratta dati personali particolari, come elettro cardiogrammi e analisi del sangue, avrà la necessità di robusti processi di segregazione dei dati ed una formazione specifica agli operatori dei laboratori di sperimentazione come autorizzati al trattamento, i quali devono essere coscienti della particolare rilevanza che la normativa pone sulle tipologie di dati personali trattati, che appunto vengono definiti “particolari”.
Il modello organizzativo
L’azienda che vende tramite e-commerce avrà probabilmente un modello organizzativo in cui la componente IT e MKT avranno a livello organizzativo un peso maggiore che in un’azienda di produzione o in un’azienda che opera con forza vendita diretta in un mercato B2B ove, inevitabilmente avremo una forte componenti e attività sul versante dell’ufficio commerciale.
Questi veloci esempi per far comprendere come, pur in invarianza di norma, è fondamentale che l’attività di risk assessment, come qualsiasi attività di consulenza sulla data protection, comprenda a fondo il core business dell’impresa. Gli assessment a scaffale non portano da nessuna parte.
Dopo il risk assessment
La definizione degli ambiti di rischio permette come ampiamente detto di individuare quali attività devono far seguito con una logica di progressiva riduzione dell’esposizione.
Segue per dovere di concretezza un elenco di azioni che, pur non definendo uno standard sono propedeutiche ad una seria postura in ambito Data Protection.
Cartografia AS-IS dei dati personali trattati
L’intervento mira all’emersione delle seguenti evidenze:
- La consapevolezza dell’organizzazione rispetto ai dati personali in termini quantitativi
- La necessità da parte dell’organizzazione di trattare quei dati
- L’allocazione dei dati
Cartografia AS-IS dei flussi informativi
L’intervento mira all’emersione delle seguenti evidenze:
- Consapevolezza dei punti di ingresso dei dati personali e loro monitoraggio
- Consapevolezza nel percorso sui sistemi e dell’utilità degli stessi
- Consapevolezza sui dati personali in uscita dall’azienda o in distruzione
Mappatura degli autorizzati al trattamento e moduli di formazione specifica
L’obiettivo della seguente attività è:
- Definire chi all’interno dell’azienda debba trattare i dati personali
- Definire i permessi di trattamento in base al ruolo del collaboratore
- Formare gli autorizzati al trattamento – definendo check point ed aggiornamenti
Verifica e revisione delle informative in uso. Tecniche per il revisioning delle informative. Creazione del DB Informative protezione dati
L’intervento mira a:
- Reperire tutte le informative in uso dall’azienda
- Verificare le informative rispetto ai reali trattamenti operati
- Definire le modalità per la corretta tenuta dello storico delle informative
Mappatura dei Responsabili e Sub-Responsabili al Trattamento. Definizione nomine ed eventuali contitolarità. Redazione, tenuta e creazione del Registro del Titolare
Attività propedeutica ad un ottimale rapporto con il DPO, la mappatura dei soggetti a cui l’azienda, titolare del trattamento, affida una parte delle attività di trattamento è fondamentale per garantire la compliance.