GDPR: un approccio preventivo di conoscenza aiuta a trattare i dati personali in compliance alla normativa

  • Tempo di lettura: 5 minuti
gdpr approccio preventivo

In quasi quattro anni di applicazione del Regolamento (UE) 2016/679, noto ai più come il GDPR, io e i miei collaboratori del team Privacy&Legal del Gruppo Archiva, abbiamo analizzato 1101 provvedimenti sanzionatori emanati a livello europeo da parte delle singole autorità nazionali garanti per la protezione dei dati. Questa analisi evidenzia come alcuni ambiti siano più facilmente proni a sviluppare errori nella corretta implementazione del dettame normativo. Un’analisi ex-post di questo tipo può essere opportunamente adottata in ottica preventiva, per meglio dirigere gli effort che ogni organizzazione deve affrontare per poter garantire al proprio cliente di trattare i dati personali in modo coerente rispetto alla normativa vigente.

Luciano Quartarone, CISO di Archiva Group 

In questi anni le attività condotte dal Garante per la protezione dei dati, così come quelle di tutte le Autorità di controllo Europee, si sono articolate in un crescendo di pareri, incontri formativi e informativi ed anche in una serie di attività di ispezione, al fine di accertare segnalazioni di una presunta violazione dei dati.

Le informazioni rinvenibili in database pubblici evidenziano come dal 2018 ad oggi il numero delle sanzioni sollevate dalle autorità di controllo europee sia notevolmente incrementato. Si registra infatti un notevole aumento dell’ammontare delle sanzioni complessivamente emesse che passa da circa 106 milioni di euro del 2019 a circa 1,32 miliardi di euro nel 2021.

La distribuzione delle sanzioni riguarda indistintamente tutti i paesi della UE, seppur in Spagna e in Italia sia rilevabile un maggior numero di provvedimenti. L’80% dei provvedimenti sono stati emessi in 10 differenti nazioni. Spagna e Italia, da sole, raccolgono oltre il 49% delle sanzioni.

Quali sono le principali motivazioni dei provvedimenti sanzionatori?

Indipendente dai settori di mercato in cui si inseriscono le singole aziende, l’autorità di controllo riscontra violazioni inerenti principalmente all’insufficiente adempimento dei diritti degli interessati, degli obblighi di informazione, di cooperazione con l’autorità di controllo, degli obblighi di notifica della violazione dei dati.

gdpr

GDPR

La protezione dei dati personali come elemento abilitante il business dell'organizzazione.

 

In questa “graduatoria” le prime 3 cause di violazione della normativa sono:

  • Base giuridica insufficiente per il trattamento dei dati: questa tipologia di sanzione può essere sollevata quando si riscontra che un’attività di trattamento si fonda su una non corretta base giuridica. Un esempio è l’avvio di un trattamento di dati personali giustificandolo con il «legittimo interesse», quando invece è necessario richiedere il consenso all’interessato.
  • Mancato rispetto dei principi generali di trattamento dei dati: questa violazione si riscontra quando un’attività di trattamento non è coerente con i principi generali sanciti nell’articolo 5 del GDPR. Questo articolo, al comma 1 prevede che un trattamento risulti lecito quando i dati personali coinvolti siano: a) trattati in modo lecito, corretto e trasparente; b) raccolti per finalità determinate, esplicite e legittime; c) adeguati, pertinenti e limitati a quanto necessario per il raggiungimento delle finalità per le quali sono trattati; d) esatti e aggiornati; e) conservati in modo da consentire l’identificazione degli interessati per un arco temporale non superiore al conseguimento delle finalità per le quali sono tratti; f) trattati per garantire la sicurezza dei dati personali.
  • Misure tecniche e organizzative insufficienti a garantire la sicurezza delle informazioni: l’art. 32 del Regolamento (UE) 29016/679 elenca alcune serie di misure di sicurezza che il Titolare e il Responsabile del trattamento dei dati possono mettere in atto al fine di garantire un livello di sicurezza adeguato al rischio.

Davanti a queste informazioni è evidente come sia estremamente importante indirizzare i differenti dettami normativi fin dall’ideazione delle attività di trattamento: prima ancora della loro progettazione di dettaglio e sicuramente prima della loro attuazione.

Un approccio preventivo e di conoscenza della materia può aiutarci ad intraprendere percorsi di certificazione atti al pieno rispetto della prassi di riferimento.