General Data Protection Regulation (GDPR): la privacy non è un’opinione

Dopo l'entrata in vigore del GDPR si sono inaspriti i controlli in materia di tutela della privacy e dei dati personali. Ecco alcuni casi che dovrebbero mettere all'erta le aziende inadempienti!


General Data Protection Regulation (GDPR):...

Per un lungo periodo, nella veste di utenti siamo stati inconsapevolmente spinti a fornire informazioni collaterali richiedendo un servizio. Tali dati venivano poi impiegati per altri scopi (campagne promozionali e decisioni sulla strategia di marketing da attuare).

Per un lungo periodo le aziende hanno potuto cavalcare l’onda della digitalizzazione e dell’assenza di “regole” vere e proprie nell’approccio al cliente online.

Come ogni nuova materia, anche il marketing digitale ha avuto bisogno di tempo per essere regolamentato. Tuttavia, con l’entrata in vigore del GDPR (General Data Protection Regulation) il 25 maggio 2018 è finita la pacchia.
Un sistema ben preciso di prescrizioni ha sottomesso l’anarchia del Web Europeo. La privacy ha trovato espressione attraverso una nuova forma di governo: democratica, oligarchica, monarchica, non importa, ma sicuramente un’autorità che ha stabilito diritti, doveri e limiti.

Con essa, sono arrivati gli scogli per chi questi limiti li deve rispettare. Abituate a gestire la grande mole di dati e informazioni “secondo coscienza” o, meglio, comodità, le grandi aziende potrebbero aver preso sotto gamba la nuova normativa. Un po’ con lo stesso atteggiamento riservato ai buoni propositi per l’anno nuovo, che già quando si fanno, si sa non verranno rispettati.

Peccato che in questo caso ci sia un soggetto il cui unico compito è quello di far rispettare le regole in materia di privacy. Il Garante per la Protezione dei dati personali non si è infatti fatto sfuggire i comportamenti illeciti.
A questo proposito è bene far notare che gli obblighi di un’azienda in materia di GDPR sono da esplicarsi non solo nei confronti degli utenti, ma anche nei confronti degli stessi dipendenti.
Semplicemente, la cura verso il rispetto delle informazioni personali deve essere riservata a ogni individuo con cui l’impresa entra in contatto.

Ecco dunque due recenti casi in cui sono venuti meno i doveri dell’azienda verso gli utenti o verso i dipendenti.

Protezione dei dati personali: passeresti con successo il controllo del Garante della Privacy?
Scoprilo con una consulenza Gratuita degli Esperti di SNS.
Scopri di più!

Tutela della privacy degli utenti: il caso TIM

Recentemente un’indagine condotta dal Garante per la Protezione dei dati personali in sinergia con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, ha portato alla luce degli illeciti e degli inadempimenti da parte del colosso delle telecomunicazioni.

Sembra infatti che tra il 2017 e il 2019 Tim abbia gestito i dati degli utenti in modo “fantasioso”, macchiandosi così di colpe che le sono costate una sanzione di ben € 27.802.946. È la prima volta che la multa inflitta è proporzionale all’effettivo fatturato della compagnia, dando un segnale molto importante al mondo aziendale coinvolto nell’archiviazione e nella gestione dei dati di terzi.

Ma quali sono le irregolarità commesse dall’azienda?

Contatto di potenziali clienti a fini promozionali senza che fosse stato fornito il consenso

Addirittura l’azienda avrebbe raggiunto anche utenti iscritti al Registro Pubblico delle Opposizioni: non solo quindi chi non aveva espresso diretto consenso, ma anche chi aveva espresso chiaramente un diniego.

Assenza di appropriati controlli sui call center con cui collabora

Questo si è di fatto tradotto in un disallineamento tra le registrazioni di contratti verbali e tra le black list di Tim e quelle dei call center stessi. Ci sono così stati contatti con persone “fuori lista”.

Ambiguità nella modulistica dei concorsi

Alcuni form, ad esempio quelli per accedere al concorso “Tim Party”, presentavano un unico consenso relativo a finalità diverse. Per poter partecipare all’estrazione dei premi, risultava quindi obbligatorio prestare adesione anche al trattamento dei dati per le finalità promozionali.

Violazione del principio di Privacy By Design

L’azienda non ha progettato la struttura dei sistemi informatici di supporto al cliente. Le applicazioni e il sito Internet non prevengono eventuali problemi in materia di protezione del dato. Non garantiscono insomma la privacy di default.

Non si è pensato a garantire una tutela effettiva sostanziale piuttosto che formale. La conseguenza? Cattiva gestione del data breach e dei sistemi di trattamento dei dati personali.

Protezione dei dati personali: passeresti con successo il controllo del Garante della Privacy?
Scoprilo con una consulenza Gratuita degli Esperti di SNS.
Scopri di più!

Caso Tim: le conseguenze

A fronte di queste irregolarità, oltre alla sanzione monetaria sono state imposte a Tim delle misure correttive. L’azienda dovrà provvedere:

  • All’aggiornamento delle black list e degli elenchi degli utenti che non hanno prestato il consenso al trattamento dei dati;
  • A rivedere il regolamento di Tim Party e la relativa modulistica;
  • A non utilizzare i dati raccolti con l’applicazione MyTim o TimPersonal;
  • All’implementazione di sistemi più sicuri per la gestione dei dati e la salvaguardia della privacy;

Il Garante per la protezione dei dati personali è stato chiaro: Tim ha commesso illeciti nei confronti della tutela della privacy degli utenti. È stata quindi sanzionata per un ammontare di € 27.802.946.

Protezione dei dati personali: passeresti con successo il controllo del Garante della Privacy?
Scoprilo con una consulenza Gratuita degli Esperti di SNS.
Scopri di più!

Tutela della privacy del personale: i doveri verso gli ex dipendenti

Un altro caso di interesse riguarda un’azienda che non ha adempito ai propri doveri nei confronti di un ex dipendente.

Per la tutela della privacy individuale infatti, l’impresa dovrebbe chiudere gli indirizzi di posta elettronica dei dipendenti al momento della cessazione del rapporto lavorativo.

È con questa affermazione che il Garante della Privacy ha accolto il reclamo di un ex dipendente, che affermava che il proprio account aziendale di posta elettronica fosse rimasto attivo per ben un anno e mezzo dopo il licenziamento.

Durante questo periodo di tempo l’azienda aveva avuto pieno accesso alla casella di posta del soggetto, cadendo inevitabilmente nella lettura di comunicazioni anche di carattere personale.

Come avrebbe quindi dovuto agire l’azienda in questione?

Il Principio: il datore di lavoro deve fare gli interessi del sottoposto in materia di privacy, anche nel caso di un ex dipendente.

La prassi corretta: disattivare l’indirizzo di posta in questione e reindirizzare gli interlocutori su un altro canale, tramite una risposta automatica contenente un indirizzo valido.

In questo modo la visualizzazione dei messaggi in arrivo risulterebbe impossibile tutelando l’interessato. Nello stesso tempo però l’azienda vedrebbe tutelati i propri interessi: in caso di comunicazioni lavorative, avrà la possibilità di avvertire il mittente di doversi rivolgere a un altro contatto.

Questo provvedimento costituirà un precedente per le decisioni future in materia di privacy: il Garante ha provveduto a iscriverlo presso le autorità nel registro interno delle violazioni.

Il datore di lavoro deve agire nell’interesse della riservatezza del dipendente anche quando quest’ultimo non lo è più. Per questo motivo un’azienda che non aveva disattivato l’account di posta elettronica di un ex dipendente ha subito una sanzione. Aveva avuto pieno accesso alle corrispondenze per più di un anno e mezzo.

Protezione dei dati personali: passeresti con successo il controllo del Garante della Privacy?
Scoprilo con una consulenza Gratuita degli Esperti di SNS.
Scopri di più!

Conclusioni

La fumosità in materia di privacy e di gestione dei dati personali è stata definitivamente abbattuta dall’entrata in vigore del GDPR nel 2018. Ci sono però delle aziende che non si sono uniformate alle nuove prescrizioni, perpetrando illeciti sulla scia di un sistema carente in fatto di controlli.

Il Garante per la Protezione dei dati personali si è però espresso: sanzionata Tim per € 27.802.946 per la cattiva politica attuata nei confronti dei dati degli utenti; sanzionata anche la seconda azienda, che avrebbe mancato nel disattivare l’account e-mail di un ex dipendente, continuando ad accedervi.

La conclusione che possiamo trarre da questi episodi è molto semplice: le nuove norme, senz’altro più rigide rispetto a quelle a cui le aziende si sono abituate, portano con sé anche una maggiore volontà di controllo.

Se avete quindi a cuore il vostro business, fate attenzione quando si parla di privacy e gestione dei dati: Garante is watching you.

Protezione dei dati personali: passeresti con successo il controllo del Garante della Privacy?
Scoprilo con una consulenza Gratuita degli Esperti di SNS.
Scopri di più!
Visualizza commenti (0)

Commenti

Articoli correlati

Amministrazione

Corrispettivi elettronici: il déja vu che sa di nuovo

Dopo la rivoluzione della fattura elettronica, divenuta obbligatoria anche nelle transazioni B2B e B2C dall’inizio di quest’anno, il Decreto Fiscale collegato alla legge di...

Pubblicato il da Alessandro Righi
Hardware

Meltdown e Spectre vs Intel e “amici”

Due gravi problemi di sicurezza interessano buona parte dei processori costruiti nell’ultima ventina di anni, rendendo teoricamente possibile l’accesso ai dati sui dispositivi che...

Pubblicato il da Eniac S.p.A.