Il mondo del Web, si sa, ha regole tutte sue e si muove su una linea temporale diversa da quella della realtà fisica e storica. Soprattutto in materia di privacy, le lacune sono sempre state innumerevoli e per lungo tempo sono mancate delle linee guida valide.

Possiamo dire che la regolamentazione sul trattamento dei dati personali fosse piuttosto fumosa, fino all’entrata in vigore, il 25 maggio dello scorso anno, del nuovo regolamento GDPR (Genera Data Protection Regulation). Il Codice di Hammurabi del Web. La Magna Carta dell’utente medio.

Valido a livello europeo, il GDPR fornisce prescrizioni precise in materia di privacy e del trattamento dei dati di persone fisiche e giuridiche. Se però, da utenti, non vi sembra che sia cambiato poi tanto l’approccio delle aziende il motivo è molto semplice (da aziende, sicuramente già lo saprete): è stato concesso, da parte del Garante, un periodo di tolleranza di circa un anno per adeguarsi alle nuove regole.

Il periodo di tolleranza però è quasi finito: a partire da maggio 2019 tutti dovranno essere in regola e lo spauracchio del GDPR sta cominciando a farsi sentire maggiormente anche per i recenti interventi dei Garanti europei nei confronti di aziende inadempienti.

A maggio 2019 scadrà il periodo di tolleranza previsto dal Garante, in materia di GDPR: a un anno dall’entrata in vigore del regolamento, tutti dovranno rispettare le prescrizioni. Intanto, in Europa, scattano le sanzioni.

Il risveglio del GDPR: casi scottanti a livello europeo

Il tempo stringe: le misure necessarie per mettersi in regola con le disposizioni del GDPR in materia di privacy devono essere ultimate. Sembra che anche i colossi della Silicon Valley abbiano avuto qualche problema ad adattarsi alle nuove prescrizioni. Ultimamente, infatti, sono fioccate multe e ammonimenti da parte dei Garanti dei nostri colleghi europei. 

Quali sono stati i destinatari delle prime sanzioni?

1. Google e la querelle in Francia

Una prima importante violazione delle prescrizioni GDPR è stata commessa proprio dal motore di ricerca con cui, probabilmente, tutti noi abbiamo abbiamo tentato di reperire notizie sulle nuove regole: Google.

Il Garante francese, infatti, ha multato una delle aziende leader del mondo informatico con una sanzione pari a cinquanta milioni di euro.

Il motivo? A quanto pare non c’è un’adeguata trasparenza e chiarezza nelle informazioni fornite agli utenti. Google dissemina informazioni fondamentali, come ad esempio la tipologia di dati personali utilizzata, i periodi di conservazione dei dati stessi e gli scopi del data processing, tra vari documenti e vari link. Per avere un quadro completo l’utente dovrebbe leggere tutto il materiale presente che, però, non è facilmente raggiungibile.

La seconda colpa di cui Google si macchia agli occhi delle norme GDPR è quella di fornire spiegazioni vaghe, soprattutto in merito alla personalizzazione degli annunci: anche qualora l’utente riuscisse a raccogliere tutte le informazioni circa l’utilizzo dei suoi dati, con grande probabilità non avrebbe chiaro quali siano le attività effettivamente svolte dall’azienda con essi. E vista l’invasività di tale attività (si tratta dell’offerta di più di venti servizi, che combinano i dati forniti dall’utente nell’una o nell’altra applicazione), ciò costituisce un non piccolo problema.

Google multato per cinquanta milioni di euro in Francia: non fornisce informazioni chiare e trasparenti agli utenti che usufruiscono dei suoi servizi. Le prescrizioni GDPR impongono invece che gli utenti siano messi in condizione di accedere a tutte le informazioni possibili riguardo al trattamento dei propri dati.

2. Il diktat tedesco contro Facebook

Dopo Cambridge Analytica è stato abbastanza chiaro a tutti che le regole di Facebook in materia di privacy fossero parecchio… fluide. 

Questa “tolleranza” è stata confermata da una recente inchiesta tedesca, riguardo alla presunta inadempienza del social rispetto al regolamento GDPR. È stata messa in discussione in particolare la modalità con cui Facebook riesce ad acquisire dati da terze parti, ovvero in parole povere, la pratica di sincronizzare in automatico la triade Facebook-Instagram-WhatsApp (pur sempre figlie dello stesso padre).

L’antitrust tedesco ha quindi redarguito l’azienda: in Germania Facebook potrà combinare i dati degli utenti solo sotto loro esplicita autorizzazione.

Un altro avvertimento ha riguardato la presenza, spesso latente, del social all’interno di altri siti: tramite pulsanti “Like” disseminati qua e là, Facebook riesce a raccogliere anche i dati di navigazione degli utenti non direttamente iscritti alla piattaforma. Che fine ha fatto la trasparenza imposta dal GDPR?

In nome della trasparenza imposta dal GDPR, l’antitrust tedesco ha preso un’importante decisione nei confronti di Facebook: gli utenti devono poter dare esplicito consenso affinché il social combini i dati raccolti da terze parti (ad esempio Instagram e WhatsApp).

3. il doloroso scivolone della sanità portoghese

Recentemente un ospedale portoghese è stato multato con una sanzione pari a quattrocentomila euro, per inadempienza nei confronti delle misure GDPR. La negligenza riguarda la politica di accesso al dato: medici e infermieri di ogni reparto potevano non solo avere accesso a tutte le informazioni di qualsiasi paziente fosse transitato nel complesso ospedaliero, ma anche modificarli con facilità senza apparente motivo.

Non si tratta quindi di un’inefficienza del sistema interno della struttura, quanto di una policy fallace nel fornire accesso indiscriminato ai dati dei pazienti.

Multa di quattrocentomila euro per una struttura ospedaliera portoghese: il personale medico e infermieristico poteva accedere ai dati sanitari e personali dei pazienti di qualsiasi reparto e, cosa ancor più grave, modificarli a proprio piacimento.

4. Data breach… in chiaro

Il Garante tedesco per la tutela della privacy ha un gran daffare negli ultimi tempi: data breach di trecentotrentamila credenziali di posta elettronica di cittadini tedeschi, ai danni (oltre che dei poveri malcapitati) di un’azienda nazionale.

Quel che è peggio, e ciò che di fatto ha determinato la violazione in campo di GDPR, è che le password dei suddetti account fossero registrate in chiaro all’interno dei database aziendali. Questo fatto, oltre che portare alla luce i problemi delle politiche aziendali nei confronti dell’incidente informatico (non solo a livello di gestione dello stesso, ma anche per quanto riguarda il rilevamento degli attacchi informatici in corso) ha determinato una multa per l’azienda pari a ventimila euro.

Nuovo caso “anti GDPR” in terra germanica: azienda multata per ventimila euro a seguito di un data breach che ha portato alla luce password conservate in chiaro all’interno dei database aziendali.

GDPR: non solo sanzioni, anche Grandi Benefici

Eh si, quando si parla di GDPR si guardano sempre gli aspetti negativi, come le multe e i casi di sanzioni fino ad oggi riscontrati, ma qual è il rovescio della medaglia? Con l’arrivo del GDPR le Aziende e i cittadini, nonostante il grande impegno richiesto per l’adeguamento, possono godere di Grandi benefici sia nella gestione dei contatti sia a livello di sicurezza informatica.

Ecco alcuni dei principali benefici introdotti dal GDPR:

1. Maggiore Protezione dei Dati Sensibili: sembra scontato, eppure fino all’attuazione del GDPR nessuno si era mai preoccupato di attuare e regolamentare in modo chiaro la gestione dei Dati Sensibili. Inoltre con l’introduzione al Diritto all’Oblio, ogni Utente può richiedere la cancellazione del proprio account e la possibilità di recuperare tutte le attività svolte in quel portale ecommerce o in quel Social.
2. Pulizia e Gestione dei Contatti: è l’incubo di ogni Azienda, avere un’infinità di contatti sterili all’interno dei propri Database. Grazie alla gestione delle tempistiche di trattamento del Dato, tutte le Imprese, possono ripulire velocemente le proprie liste attraverso scheduler pre-configurati, per riuscire ad avere un bacino di utenti sano e sempre reattivo.
3. Regole uguali in tutta Europa: finalmente le Aziende non devono più preoccuparsi delle Regole di gestione dei Dati dei propri Clienti che hanno sede in uno Stato diverso dal proprio. Ovunque siano i tuoi Clienti sono sempre protetti e tutelati.
4. Valutazione dei Rischi preventiva: grazie all’introduzione della figura del DPO (Data Protection Officier) tutte le Imprese potranno valutare i rischi in tema di privacy durante le realizzazione della propria infrastruttura IT, evitando adeguamenti e ulteriori costi post sviluppo.
5. Incremento della fiducia: proprio così, se mi sento tutelato dalla mia Azienda e dai Fornitori, sono invogliato ad investire e a fare pubblicità, perché so di esse in un posto sicuro a prova di hacker!

Tanti sono i benefici del GDPR: da una protezione maggiore a un Database di contatti sempre pulito e aggiornato. Nessuna preoccupazione se il mio Cliente è Estero e un Grande incremento della Fiducia dei Utenti se riesco a tutelarli e a proteggerli come meritano.

Conclusioni

La politica a riguardo l’utilizzo dei dati personali si è fatta negli anni sempre più severa, fino a giungere a maggio dello scorso anno all’entrata in vigore del nuovo Regolamento GDPR. Qui sono raccolti 99 articoli con le prescrizioni europee in materia di privacy.

A partire dal maggio di quest’anno cesserà il periodo di tolleranza previsto dal Garante per adeguarsi alle norme GDPR e lo sguardo verso le aziende si fa sempre più attento: ne sono prova le numerose sanzioni che negli ultimi mesi hanno colpito, in tutta Europa, colossi come Google e Facebook.

Le pecche principali, di queste aziende e non solo, sono di fatto lacune nelle informative proposte agli utenti e poca chiarezza nelle azioni di combinazione dei dati provenienti da terze parti. In alcuni casi i problemi sono stati di natura più tecnica, come ad esempio la mancata cifratura delle password da parte di un’impresa tedesca.

In ogni caso è tempo per le aziende di ogni lido e provenienza, di correre ai ripari e mettersi in regola con le norme GDPR: il tempo stringe ma ancora non è scaduto.