GDPR privacy, la relazione del Garante un anno dopo l’entrata in vigore

Nonostante sia trascorso un anno dall’entrata in vigore del GDPR (General Data Protection Regulation), il livello di consapevolezza della protezione dei dati personali risulta ancora basso. Chi si augurava ci sarebbe stata una certa elasticità e “clemenza” nell’attuazione del Regolamento Ue si è dovuto ricredere: l’Autorità Garante della Privacy ha dato risposta a oltre 5.600 reclami. Nel 2019 sarà quindi più che mai il caso di rendersi compliant al GDPR privacy.

Sebbene non se ne sia parlato molto, nel 2018 sono stati messi in pratica numerosi interventi centrati sugli aspetti più rilevanti introdotti dal GDPR privacy. Le questioni principali affrontate sono:

  • profilazione online, anche finalizzata a condizionare l’opinione pubblica;
  • diffusione delle forme di controllo e raccolta dei dati;
  • implicazioni a livello etico della tecnologia;
  • algoritmi utilizzati a livello sociale;
  • grandi piattaforme;
  • big data;
  • fake news;
  • revenge porn;
  • cybersecurity;
  • Internet delle cose.

GDPR privacy: il resoconto a un anno dall’attuazione del Regolamento Ue in materia di dati personali

I nuovi modelli economici basati sullo sfruttamento dei dati hanno posto delle sfide alle quali il GDPR privacy ha tentato di rispondere. L’esigenza di tutelare i diritti fondamentali delle persone è infatti cresciuta nel tempo. L’Autorità Garante per la protezione dei dati personali ha da poco presentato la Relazione sull’attività svolta nel 2018. Si può dunque fare una prima valutazione dell’attuazione della legislazione in materia di protezione dei dati.

Fondamentale è stata anche l’attività del Garante per la Protezione dei Dati Personali a livello internazionale. L’Advisory Board, che riuniva le Autorità dei 28 Paesi dell’Unione Europea, con il GDPR privacy ha lasciato il posto al “Comitato europeo per la protezione dei dati”. Questo riveste un ruolo decisionale oltre che consultivo.

I provvedimenti adottati dall’Autorità Garante per la Protezione dei Dati Personali a seguito del GDPR Privacy

I numeri danno un’idea di come l’attuazione del Regolamento Ue abbia sortito effetto. Nel 2018 sono stati adottati 517 provvedimenti collegiali a seguito di casi di violazione dei dati. Sono state erogate sanzioni amministrative per un totale di più di 8.160.000 €, circa 115% in più rispetto all’anno precedente. Sono state effettuate 150 ispezioni e accertamenti riguardo numerosi settori, sia nell’ambito pubblico che privato, con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche. Sono stati decisi 130 ricorsi fino all’applicazione del Regolamento Ue, mentre dal Collegio al Governo e al Parlamento sono stati resi 28 pareri. Si contano 27 comunicazioni di notizie di reato fatte all’autorità giudiziaria. Sono state contestate 707 violazioni amministrative, in prevalenza riguardanti il trattamento illecito di dati.

Violazione dei dati: i rischi che corre chi non è in regola col GDPR PRIVACY

Nel 2019 si prevede che l’attività del Garante proseguirà intensamente e con grande attenzione ad eventuali casi di data breach. Nello scorso anno infatti ci sono stati alcuni episodi molto gravi di violazione dei dati personali. Uno tra i più recenti è quello che ha riguardato il Consiglio dell’Ordine degli Avvocati di Roma. Anonymous Italia ha pubblicato sul suo blog oltre 30.000 dati “hackerati” dalle PEC degli Avvocati dell’Ordine. A seguito di questo caso clamoroso, sul quale si sta ancora indagando, sono emerse alcune considerazioni. Si è riscontrato, ad esempio, che il sistema non effettuava alcun enforcing per la modifica della prima password assegnata dall’azienda di software che fornisce l’infrastruttura tecnologica, e quindi oltre l’80% degli utenti colpiti non aveva utilizzato questa basilare cautela. D’altro canto, è emerso che i dati degli utenti non erano sufficientemente protetti, infatti il database delle password degli iscritti era incredibilmente in chiaro. Appaiono ovvie le disastrose conseguenze, in primis relative alla compromissione del diritto di difesa degli assistiti degli avvocati interessati. In spregio a quanto prescritto dal GDPR privacy, i responsabili del trattamento dei dati non solo non hanno posto in essere precauzioni basilari, ma hanno omesso di intervenire con tempestività per limitare i danni occorsi. In questo senso, il committente Ordine degli Avvocati ed il fornitore del servizio saranno chiamati a rispondere di questo increscioso, ma evitabile, incidente. Su questa vicenda, segnaliamo l’analisi svolta da un esperto del settore, Matteo Flora, a questo indirizzo

Il GDPR e la tutela della privacy nel mondo del lavoro

Non sono mancati cambiamenti anche nel mondo del lavoro. Un esempio è il caso della raccolta delle impronte digitali dei dipendenti pubblici, messa in pratica allo scopo di contrastare l’assenteismo. Il Garante ha dunque indicato le garanzie inerenti. Sono state stabilite le regole per l’uso delle nuove tecnologie, in particolar modo per quanto concerne la geolocalizzazione dei dipendenti. Sono stati anche vietati i controlli di massa su e-mail e smartphone dei dipendenti.

Per quanta riguarda la cybersecurity, l’Autorità ha proseguito anche nel 2018 l’attività di vigilanza e intervento, procedendo d’ufficio o a seguito di specifiche segnalazioni.

Il GDPR privacy nel settore fiscale

Per quanto riguarda il sistema della fiscalità, il Garante ha individuato i presupposti e le condizioni affinché l’Agenzia delle Entrate possa avviare il nuovo obbligo della fatturazione elettronica. Si sono ottenute tutele per evitare un trattamento dei dati personali sproporzionato dei contribuenti.

Anche riguardo al reddito di cittadinanza, l’Autorità ha chiesto e ottenuto una serie di misure volte ad impedire un monitoraggio troppo invasivo sulle scelte di consumo degli individui. Questo anche per conformare il meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza alla normativa europea. Il Garante ha inoltre prescritto misure tecniche riguardo all’accesso alla dichiarazione dei redditi precompilata da parte di contribuenti, Caf e soggetti autorizzati.

La tutela della privacy suI SOCIAL MEDIA a seguito del GDPR PRIVACY

Dopo tanti episodi di violazioni gravissime, come quello di Cambridge Analytica, è stata prestata particolare attenzione all’attività dei Social Media. Il Garante ha vietato a Facebook l’ulteriore trattamento dei dati degli utenti italiani, riservandosi di avviare un procedimento sanzionatorio. È stato inoltre vietato a Facebook il trasferimento dei dati degli utenti a WhatsApp. In questo anno si è lavorato intensamente per assicurare la protezione on line dei minori, in particolare riguardo ai possibili rischi presenti negli smart toys.

Al fine di contrastare il fenomeno del cyberbullismo, il Garante ha predisposto, contestualmente ai nuovi compiti assegnati dal legislatore, misure e procedure per la rimozione dei contenuti offensivi. Ha inoltre siglato un protocollo di intesa con la Polizia postale e con alcuni Co.Re.Com.. Questo avrà lo scopo di rafforzare il sistema di tutele previsto dal GDPR privacy e attivare una rete di intervento tempestiva e coordinata per proteggere le giovani vittime.

L’Autorità ha anche fornito indicazioni sull’uso dei droni a scopo ricreativo e su come difendersi dai software dannosi.