Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter

Un anno di GDPR nella relazione del Garante

08/05/2019
Alessandra Di Nunzio
Fabio Marinello

Lo Studio legale Stefanelli&Stefanelli ha partecipato all’incontro con il Garante della Protezione dei Dati Personali, per assistere al discorso sull’attività del 2018.

In occasione della presentazione della Relazione annuale, il Presidente Antonello Soro ha riepilogato l’attività complessivamente svolta nei sette anni di mandato che volgono ora al termine. Ha così riflettuto sui profondi mutamenti di questo periodo, generati in particolar modo dall’impatto delle nuove tecnologie digitali, nel contesto sociale, economico e culturale. Di fronte a tali cambiamenti, emerge un quadro in cui il Regolamento 2016/679 risulta espressione della leadership culturale dell’Europa, capace di oltrepassare i confini territoriali e assumere un ruolo trainante nel garantire la protezione dei dati personali, e con essa la tutela non solo dell’identità ma anche della dignità dell’uomo:

“Il digitale è divenuto agente potentissimo di trasformazione sociale, […] con la forza propria delle rivoluzioni epocali, può essere presupposto tanto di espiazione quanto di limitazione delle libertà […]. Governare l’innovazione in funzione della tutela della persona e delle libertà è, allora, il vero obiettivo, da cui dipendono presente e futuro delle nostre società, con implicazioni che si estendono a ogni campo della vita individuale e collettiva. Dal lavoro alla salute e alla ricerca scientifica, ma anche alla giustizia […].”

Quali i temi principali all’interno della Relazione?

  • Amministrazione Pubblica, con diverse valutazioni riguardanti il processo di digitalizzazione dei servizi e le modalità di pubblicazione di dati personali online.
  • Sanità e dati genetici, nel cui ambito si rivelano fondamentali il corretto utilizzo dell’informativa, la raccolta del consenso e le modalità per garantire agli interessati l’effettivo esercizio dei diritti degli interessati. Non mancano considerazioni sulle cautele necessarie per la gestione del fascicolo sanitario elettronico, del dossier sanitario e sull’attività di ricerca in ambito sanitario.
  • Protezione dei dati nel rapporto di lavoro, rispetto alla quale assumono particolare importanza i temi del controllo del lavoratore come geolocalizzazione, videosorveglianza, controlli sulla posta elettronica aziendale e la gestione dei dati connessi all’utilizzo di dispositivi tecnologici.
  • Marketing e profilazione, settore per il quale risultano sostanziali lo svolgimento della valutazione d’impatto, la modalità di raccolta del consenso e di esercizio dei diritti degli interessati (in particolare il diritto di opposizione), al fine di evitare situazioni frequentemente oggetto di segnalazione quali le telefonate indesiderate o l’acquisizione di dati tramite siti ingannevoli.
  • Attività ispettiva e sanzionatoria dell’Autorità Garante

Con riferimento all’attività ispettiva e sanzionatoria dell’Autorità Garante, il programma del 2018 prevedeva che fosse indirizzata in particolare verso i settori relativi a:

  • organizzazioni che gestiscono banche dati di rilevanti dimensioni
  • trasferimento di dati sanitari a terzi per fini di ricerca
  • istituti di credito
  • attività di rating
  • attività di telemarketing

Fino ad oggi, i controlli si sono concentrati su:

  • trattamenti svolti tramite app per smartphone o tablet da parte di soggetti pubblici, con un forte accento sulle attività di profilazione, geolocalizzazione, e comunicazione di dati a terzi
  • trattamento di dati personali raccolti attraverso siti web, con particolare attenzione al rilascio dell’informativa, all’acquisizione del consenso e alla comunicazione di dati a terzi
  • servizi medico-sanitari erogati tramite app per smartphone e tablet, con specifica attenzione a informativa, consenso, e modalità per garantire agli interessati l’effettivo esercizio dei diritti
  • servizi di money transfer
  • servizi di assicurazione per la responsabilità civile
  • centri di assistenza agricola

Ecco quali sono i temi su cui maggiormente si sono concentrate le valutazioni dell’Autorità Garante:

  • misure minime di sicurezza da parte di chi tratta dati sensibili
  • rispetto dell’obbligo di informativa
  • pertinenza e non eccedenza dei trattamenti
  • libertà e validità del consenso
  • durata della conservazione dei dati

In linea generale, l’elemento trasversale delle valutazioni è la sostanzialità del trattamento, ossia l’effettivo impatto che esso ha sull’interessato.

 

SANZIONI: i numeri del 2018

(clicca sulle immagini per ingrandirle)




In conclusione, i Titolari, seguendo l’ormai noto principio dell’accountability, devono adottare sistemi di sicurezza capaci di proteggere in modo effettivo i dati, ma devono, soprattutto, svolgere tale trattamento in modo lecito e trasparente, in caso contrario il rischio sarà di incorrere in gravi sanzioni!

A tal proposito, il 20 maggio 2019 segnerà la fine del periodo di grazia e darà inizio ad una nuova e regolare attività ispettiva e sanzionatoria.

Inoltre, il rischio sarà anche di trattare i dati personali senza comprenderne il vero valore (sia per l’interessato sia per il Titolare) e quindi in modo superficiale e poco attento. Tant’è vero che all’interno del suo discorso il Presidente ha ricordato: “il 2018 è stato […] l’anno peggiore relativamente alla sicurezza cibernetica, così costantemente esposta a minacce da configurare una sorta di “cyber-guerriglia” permanente. E nel settore pubblico, in generale, gli attacchi sono cresciuti nell’ultimo anno del 41%, in ambito sanitario l’incremento ha toccato l’acme del 99% rispetto all’anno precedente, con effetti tanto più gravi che in altri settori, perché l’alterazione dei dati sanitari può determinare errori diagnostici o terapeutici. La carente sicurezza dei dati e dei sistemi che li ospitano può rappresentare, in altri termini, una causa di malasanità”.

Viene ribadita, ancora una volta, l’assoluta necessità della “responsabilizzazione” del Titolare, da interpretarsi come effettiva assicurazione di garanzie sui diritti e sulle libertà degli interessati.