GDPR: sbagliato preoccuparsi solo del data breach e dei controlli ispettivi della Guardia di Finanza

A quasi tre anni dal GDPR l’approccio delle aziende private al tema del trattamento dei dati personali sembra essere quasi del tutto orientato ai temi del data breach e della gestione dei possibili controlli che potrebbero essere effettuati dalla Guardia di Finanza.

Niente di più sbagliato. Vediamo perché.

Nelle molteplici occasioni di confronto che in questi anni si sono susseguite e che ci accompagneranno per gli anni a venire è emerso, a parere di chi scrive, come il più grande timore per i Titolari sia subire il “controllo” della GdF e/o il verificarsi del c.d. data breach.

Per data breach sappiamo intendersi una violazione delle misure di sicurezza tale da poter generare la compromissione dei dati personali (es. distruzione, perdita, divulgazione, etc.) da dover notificare, al ricorrere di determinate circostanze, all’Autorità Garante. Il pensiero corre ai noti “attacchi informatici” che hanno coinvolto le grandi Organizzazioni. Ed è proprio a questo punto che nella mente del Titolare prende vita un ragionamento tanto semplice quanto errato. Il cortocircuito perlopiù si manifesta con espressioni del tipo “noi non siamo Facebook, nessuno avrebbe interesse ad attaccarci”. Come dire, non interessando a hacker o a gruppi di attivisti siamo al sicuro da ogni “problematica privacy” salvo l’attività ispettiva da parte del nucleo speciale privacy della Guardia di Finanza.

Vi sono, tuttavia, almeno due aspetti -troppo spesso dimenticati- da evidenziare: il primo è un dato matematico; il secondo di conoscenza della normativa di settore.

Le probabilità di subire un “controllo della GdF” o un data breach sono infinitamente ridotte se confrontate con la possibilità di esercizio di un diritto da parte di un interessato. Tutte le PMI italiane (3,7 milioni di organizzazioni) effettuano, infatti, trattamenti di dati e come tali possono essere destinatarie delle istanze di cui agli artt. 15 e ss. del Regolamento Ue.

Il Titolare, in tal caso, dovrà senza ingiustificato ritardo, al più tardi entro un mese dal ricevimento della richiesta, dare riscontro alle richieste e in caso di inottemperanza l’interessato avrà il diritto di proporre reclamo all’Autorità o presentare ricorso presso l’Autorità Giudiziaria.

Si badi bene che i diritti riconosciuti agli interessati sono molteplici e prevedono il diritto di accesso, di rettifica, di cancellazione (c.d. oblio), di limitazione del trattamento, di opposizione e della portabilità dei dati. Quest’ultimo, ad esempio, permette all’interessato di ricevere in un formato strutturato, di uso comune e leggibili da dispositivo automatico, i dati personali che lo riguardano nonché di farli trasmettere dal titolare originario al successivo.

I Titolari dovranno pertanto agire in modo tale da:

  • non violare i diritti degli interessati (trattamenti illeciti, cookies, videosorveglianza tra i temi più caldi);
  • nonché essere in grado di rispondere alle istanze degli interessati.

Ciò detto, avendo tutti i titolari delle “controparti”, è ben evidente come sarà molto più probabile doversi confrontare con tali aspetti rispetto al verificarsi di un data breach –da notificare all’Autorità- o alla visita ispettiva della GdF.

In conclusione, dunque, non considerare quanto precede è un errore -verosimilmente- dovuto a una “politica di impresa miope” e che -probabilmente – non ha ancora compreso la portata della regolamentazione di cui si parla nonché del percorso che le nuove tecnologie stanno dettando e costruendo per tutti noi.

Segui e condividi i nostri contenuti anche sui social network...