Cosa insegna un anno di sanzioni del GDPR


Hits: 17

Sanzioni GDPR: quali sono le contestazioni per il trattamento dei dati

Molti sono i bilanci relativi al primo anno di applicazione del GDPR. Esistono analisi sulla tipologia dei titolari, sulla durata dei procedimenti, sulla dimensione della sanzione, ecc.

Nel fagocitare tutte queste informazioni, oltre alla indigestione di informazioni ridondanti, ci è rimasta la voglia di capire quale fosse stato l’oggetto della sanzione. Cioè per quale motivo l’Autorità di controllo avesse sentito la necessità di ricorrere allo strumento sanzionatorio nei confronti del titolare.

Infatti, la dimensione delle sanzioni non è indicativa poiché è specifica per il soggetto sanzionato e non è un aspetto oggettivo applicabile a chiunque. Mentre, il vero indicatore è rappresentato dall’inadempimento contestato.

Questo, oltre che dare un indicatore sullo stato di applicazione del GDPR, rappresenta un prezioso indicatore di priorità utile al titolare per pianificare la sua revisione.

Purtroppo nulla ha soddisfatto la nostra voglia, quindi abbiamo provveduto noi a colmare questa lacuna.

la metodologia

Per prima cosa abbiamo dovuto rintracciare tutti i provvedimenti in cui fossero riportati sanzioni rispetto al GDPR, escludendo tutti quelli riferibili alla vecchia normativa. Il lavoro non è stato facile.

In tutto siamo riusciti a rintracciare circa 60 provvedimenti in cui fossero presenti sanzioni ex GDPR.

Per ogni provvedimento analizzato abbiamo verificato che gli inadempimenti che hanno generato sanzioni sono quasi sempre riferibili a più articoli del GDPR (anche per questo non è indicativa la sanzione in se, proprio perché spesso è relativa a diversi inadempimenti).

Ma allora quali sono gli illeciti sanzionati? Ecco i risultati dell’analisi.

Principi del trattamento

In cima alla classifica, con una presenza del 53% rispetto ai provvedimenti esaminati, viene contestato il mancato rispetto dell’Articolo 5. In pratica l’Autorità ha ritenuto che ben in un caso su due non vengono rispettati i criteri di base del trattamento.

L’Articolo 5 – “Principi applicabili al trattamento di dati personali” richiama i principi di base del trattamento come:

  • liceità, correttezza e trasparenza;
  • limitazione della finalità;
  • minimizzazione dei dati;
  • esattezza;
  • limitazione della conservazione;
  • integrità e riservatezza.

Ed allo stesso tempo sancisce il principio di accountability: il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).

Le basi giuridiche del trattamento

Al secondo posto troviamo gli articoli 6 e 9 con il 33% di presenze nelle contestazioni.

In pratica l’Autorità di controllo ha rilevato che in un caso su tre i trattamenti erano riferibili a basi giuridiche non corrette e, pertanto, prive di liceità.

Infatti, sia l’articolo 6 – “Liceità del trattamento”, relativo ai trattamenti in generale, che l’articolo 9 – “Trattamento di categorie particolari di dati personali”, relativo al trattamento di dati particolari, rappresentano il punto di riferimento rispetto alla liceità del trattamento. Più precisamente, individuano le basi giuridiche su cui fondare trattamenti leciti.

In assenza della corretta base giuridica su cui fondare il trattamento, il trattamento stesso perde la sua necessaria connotazione di liceità.

Misure di sicurezza

Ben nel 22% dei casi esaminati viene sanzionata la mancata adozione di misure di sicurezza adeguate, come indicato dall’articolo 32 – “Sicurezza del trattamento”.

Alcune delle misure prescritte sono di natura tecnica, ma molte sono di natura organizzativa e, perlopiù, non prevedono costi per il titolare.

Tra le misure troviamo:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Informazioni da fornire all’interessato

Nel 16% dei casi esaminati viene contestata la mancata o non corretta informazione da fornire all’interessato.

Si tratta di una percentuale abbastanza elevata, visto che dovrebbe essere abbastanza diffusa la pratica di mettere a disposizione dell’interessato le informazioni su come vengono trattati i dati personali.

Mancata notifica data breach

Sembrerebbe molto comune l’applicazione delle sanzioni per mancata notifica del data breach sia all’Autorità di controllo che agli interessati: circa il 9% dei casi esaminati.

È da notare che le sanzioni fanno riferimento alla mancata notifica e non alle cause che hanno portato al data breach, quindi articoli 33 e 34.

Riscontro dei diritti

Un posto di rilievo è riservato al mancato riscontro agli interessati ed ai diritti conseguenti (dall’articolo 15 al 20 del GDPR).

L’intera famiglia ha una presenza del 13% dei casi in cui sono state applicate sanzioni.

 

Conclusioni

Dall’analisi dei provvedimenti che hanno comminato sanzioni è possibile comprendere quali sono i punti di maggiore attenzione su cui lavorare nella nostra revisione periodica per i trattamenti che abbiamo in corso. Questa diventa una sorta di lista delle priorità da tener presente durante il costante lavoro di rivalutazione capace di evitare gli errori più comuni.

Lascia un commento