LA SANZIONE DEL GARANTE PRIVACY FRANCESE

La sanzione del garante francese
Multa da 400.000 euro. Tre lezioni da non dimenticare

É stata resa nota in questi giorni la sanzione di (400.00,00 €) che il CNIL (Garante Privacy Francese) ha inflitto a SERGIC, società specializzata nel settore immobiliare.

Queste le ragioni che hanno indotto il Garante a punire l’azienda:

  • violazione dell’art. 32 GDPR (sicurezza dei dati): nel sito web della Società titolare è possibile candidarsi come potenziali affittuari di un immobile, caricando alcuni documenti giustificativi per definire il proprio dossier (tra i documenti: carta di identità, tessera sanitaria, dichiarazione dei redditi, attestati rilasciati dalla Cassa per gli Assegni Famigliari, sentenze di divorzio, estratti conto). L’Autorità ha riscontrato l’assenza di una procedura di autenticazione sicura che possa garantire l’accesso ai documenti esclusivamente all’utente che li ha precedentemente caricati.
  • violazione del principio di limitazione di conservazione (art. 5 pgf. 1 lett. e) GDPR): la Società Titolare ha continuato a conservare tali documenti anche in seguito all’assegnazione dell’alloggio per cui l’utente si era candidato.

Una nota: le indagini del Garante sono scattate dopo il reclamo di un utente.

COSA CI INSEGNA LA VICENDA.

1. ATTENZIONE AL FUOCO AMICO.

La circostanza che sia stato un utente ad aver dato il via alle indagini dell’Autorità è un elemento da non sottovalutare, perchè in futuro è presumibile che ciò avvenga con maggiore frequenza.
Gli interessati, infatti, stanno acquisendo una sensibilità crescente verso il tema della tutela dei dati personali. È uno dei tanti effetti conseguenti all’applicazione del GDPR, che – tra i tanti meriti – ha quello di aver obbligato le aziende ad una complessa “operazione verità” , facendo emergere – in maniera finalmente chiara e trasparente – le politiche di trattamento dei dati da esse praticate.

Questo fenomeno ha dato il via ad un circolo virtuoso, di cui oggi iniziamo a vedere i primi effetti: da una parte le imprese, motivate a dimostrare la propria conformità alla normativa per rimanere concorrenziali sul mercato; dall’altra gli utenti, che via via maturano maggiore consapevolezza sul tema, essendo ora posti nelle condizioni di poter confrontare informative e “privacy policy” di aziende che offrono beni afferenti al medesimo settore di mercato; il che fa da preludio alla prossima fase, nella quale gli utenti o i consumatori saranno orientati a scegliere un prodotto o un servizio in base al grado di affidabilità da questi percepito sul fronte della protezione dei dati personali. Allo stesso modo, gli utenti saranno anche in possesso degli strumenti e delle conoscenze necessarie per compiere valutazioni critiche ed eventualmente contestare violazioni alla loro privacy.

La morale, quindi, è quella già anticipata nel titolo: occorre fare attenzione al “fuoco amico”!

Non essere conformi al GDPR significa esporsi anche a reclami o denunce da parte di propri utenti e consumatori; le aziende dovrebbero iniziare a “calcolare” questo rischio, che in breve tempo supererà, in termini di probabilità, quello derivante da un controllo ispettivo – per così dire spontaneo – del Garante (in Italia – lo ricordiamo – i controlli sono effettuati dal Nucleo speciale Privacy della Guardia di Finanza).

2. MODIFICARE L’INFORMATIVA PRIVACY NON BASTA.

In questo Blog lo abbiamo ripetuto fino alla noia: chi ritiene che per adeguarsi alla normativa sia sufficiente aggiornare qualche informativa, molto probabilmente non ha colto il messaggio che traspare fra le righe dei “considerando” e degli articoli del Regolamento Europeo (GDPR).
A partire dall’attenzione riposta dal legislatore comunitario in ordine alle misure di sicurezza che il titolare è tenuto ad implementare nel corso delle proprie attività di trattamento.
Non a caso il GDPR cita 14 volte il termine “pseudonimizzazione”, al fine di promuoverne l’applicazione per incrementare la tutela dei dati personali e/o sensibili.

Il punto è che occorre un approccio nuovo alla materia, che sia al passo con l’attuale rivoluzione digitale: dovremo chiederci come sia possibile – ancora oggi – affrontare la questione della protezione dei dati, senza operare una diagnosi accurata del grado di sicurezza delle reti e delle infrastrutture IT in uso; solo pensarlo significa essere fuori dal tempo.

Eppure, la vicenda francese dimostra che su questo fronte devono ancora essere fatti molti passi in avanti. Nel caso specifico, l’assenza di una sicura procedura di autenticazione è di per sè una violazione grave, ma rivela altresì un’approssimazione di fondo preoccupante, che dovrebbe farci riflettere.
Neppure la natura sensibile – o comunque molto riservata – dei dati raccolti dalla società ha spinto la stessa a dotarsi delle più elementari misure di sicurezza.

Ed ora che la sanzione è stata emanata? E che la notizia delle violazioni è stata diffusa?
Q
uanti clienti si affiderano di nuovo al servizio on-line di SERGIC? Più in generale, chi si sentirà al sicuro nel comunicare ad essa i propri dati?
Queste domande prenannunciano scenari inquietanti e negativi per la SERGIC che, molto probabilmente, dovrà far fronte ad ulteriori danni economici legati soprattutto alla perdita di fiducia di clienti e fornitori.

3. C’È UN LIMITE ALLA CONSERVAZIONE DEI DATI.

In questi mesi di attuazione del GDPR, il principio di limitazione della conservazione si è rivelato molto ostico per le aziende.
Come noto, il Regolamento richiede che ogni dato sia conservato per un tempo strettamente necessario a conseguire le finalità per cui esso viene trattato.
In alcuni casi è piuttosto complesso identificare un criterio di conservazione che sia in grado di rispettare tale principio.

Ma lo sforzo è necessario: avere in dote un patrimonio di dati inutilizzato o non aggiornato è un rischio inutile per le aziende, dovendone ugualmente rispondere in caso di violazione.

In questo ambito gioca un ruolo decisivo la sensibilità del giurista, in grado di comprendere fino a quando il dato può essere legittimamente conservato

La speranza è che il clamore suscitato da violazioni corredata da tali sanzioni siano tanto un monito quanto un incentivo per quelle aziende che non hanno ancora intrapreso un serio progetto di compliance, essendo ormai evidente che l’argomento è complesso ed articolato e, in molti casi, richiede tempo e risorse adeguate.