Accountability e responsabilità sono temi al centro del regolamento GDPR e in Europa stanno fioccando le prime sanzioni amministrative anche con cifre considerevoli.
Accountability – la Responsabilità – è il tema al centro del nuovo regolamento della privacy, o meglio “GDPR” – General Data Protection Regulation. La sua continua evoluzione si attesta sempre più al centro delle notizie. Qualche mese fa il garante francese (CNIL) ha imposto la sanzione amministrativa più alta riscontrata finora – 50 milioni di euro.
In Italia tuttavia già da qualche tempo si sta parlando di cifre di entità paragonabile. Nel 2017, con la vecchia normativa (Codice della Privacy o D lgs 196 2003), il garante italiano ha multato cinque aziende per un totale complessivo di 11 milioni di euro – essendo limitato il peso delle singole sanzioni il garante ha deciso di adeguarsi punendo ogni singolo trattamento illecito.
Attualmente Google, oggetto della multa da parte del garante francese, ha presentato il ricorso – al momento è la multa più alta registratasi, ma non certo la sola.
Ci sono state già multe in Austria, Portogallo e Germania. Tutte interpretabili ma con un filo comune – il principio che guida il GDPR, ossia l’Accountability – la Responsabilità.
“Accountability” in inglese però ha un significato distinto dalla “Responsibility”, non si parla solo di dover accettare un carico o una colpa, significa comportarsi in una maniera corretta e poter fornire una giustificazione al perché delle decisioni ed azioni intraprese.
In Austria, è stata assegnata una multa addirittura per aver ripreso una porzione ritenuta eccessiva del marciapiede al di fuori di uno stabile dotato di videosorveglianza.
In Portogallo, un ospedale pubblico si è visto sanzionare una multa di 400.000 euro per un livello di protezione ritenuto inadeguato circa i dati dei pazienti custoditi nell’archivio digitale. La multa era divisa in due parti:-la prima di 300.000 euro per mancato rispetto della riservatezza e limitazione degli accessi – su quasi mille utenze, meno di 300 erano di medici operativi nell’ospedale, la restante parte è stata ricondotta a un accesso indiscriminato e, soprattutto, ingiustificato ai dati dei pazienti; la seconda parte, 100.000 euro, per non aver assicurato la riservatezza, l’integrità, la disponibilità e la resilienza del sistema. L’ospedale ha obiettato a sua discolpa che il sistema utilizzato era stato rilasciato dal ministero della salute portoghese, tuttavia il garante ha risposto che è responsabilità dell’ente assicurare l’adeguatezza di tutti sistemi utilizzati.
In Germania, un noto social network è stato multato per non aver cifrato le password degli utenti contenute all’interno del suo database. La sicurezza del sito è stata compromessa e in seguito alla scoperta l’azienda si è autodenunciata al garante tedesco. Dopo un’indagine, la quale si rende obbligatoria dopo la denuncia di un Data Breach, il garante ha specificato che l’azienda ha reagito in maniera adeguata una volta venuta a conoscenza della violazione, ma non ha adottato le misure di sicurezza necessarie per garantire la protezione dei dati personali degli utenti e limitare l’impatto di un eventuale attacco.
In Francia, la sanzione ai danni di Google è basata su due violazioni del regolamento, di cui la prima per il mancato rispetto dell’obbligo di trasparenza e informazione. Il garante francese sostiene che informazioni essenziali quali la finalità del trattamento, il periodo di conservazione e le categorie di dati coinvolti non sono sempre presenti o sono “eccessivamente distribuite” tra diversi documenti, così da risultare difficilmente comprensibili da parte degli utenti. La seconda violazione riguarda l’obbligo di una base giuridica in particolare per il trattamento relativo alla pubblicità mirata. Secondo il garante francese il consenso raccolto non è “abbastanza informato” ai sensi del GDPR, per i motivi di cui sopra, né specifico e nemmeno disambiguo. L’unica opzione percorribile infatti era quella di autorizzare il trattamento dei dati per tutti i servizi, e c’era una palese violazione della definizione di consenso (art. 4 del GDPR) – ossia una casella pre flaggata, la quale non è sufficiente a dimostrare un’azione affermativa.
Il garante francese previamente aveva sparato un colpo di avvertimento sull’importanza del consenso quando ha costretto un’azienda a cambiare i propri processi aziendali riguardo l’acquisizione di dati da parte di un ente terzo. Anche quando i dati sono acquisiti indirettamente, l’azienda dev’essere in grado di dimostrare la validità del consenso raccolto per tutti i dati trattati e non è sufficiente il contratto. Il garante infatti ha reso noto che l’obbligo dell’articolo 7 non può essere adempito solo con la mera presenza di una clausola contrattuale che garantisce la validità del consenso.
Che cosa possiamo imparare da questa prima interpretazione delle regole? L’importanza del concetto di “Accountability” – non basta più il solo contratto, non si può più scaricare la responsabilità, bisogna poter giustificare le proprie scelte ed aderire alle migliori prassi.
Le sanzioni emerse ad oggi secondo il GDPR sono decisamente più alte rispetto a quelle precedenti, tuttavia la multa sanzionata a Google è solo l’1% del teorico massimale di 3,9 miliardi di euro – il consenso infatti è considerato un principio basilare del GDPR e quindi le sanzioni amministrativi possono tecnicamente arrivare fino al quattro percento del fatturato annuo.
Sicuramente una sanzione amministrativa massimale avrebbe un impatto importante anche per Google – si parla di 4% del fatturato, non dell’utile – ma è davvero la peggiore ipotesi contemplabile? Le sanzioni correttive possono diventare ben più gravi – il garante ha infatti il potere non solo di obbligare la rettifica o cancellazione dei dati, ma anche la possibilità di vietare, anche su base permanente, il trattamento stesso dei dati, impendendo di fatto l’operatività dell’ente sanzionato.
