Autore: Natalia Jurisch
Data: 05/07/2019
“Compliance GDPR” è sicuramente tra le espressioni che nell’ultimo anno e mezzo più hanno tormentato i titolari di imprese, i manager di società e in generale i professionisti, i quali sono corsi – talvolta con un po’ di ritardo – ai ripari, assoldando esperti privacy per essere in regola con la normativa.
Ma poi si sa: “il budget è quello che è”, “l’importante è che se arriva un’ispezione abbiamo tutti i documenti in ordine”, “ma sì, tanto prima di fare ispezioni da noi, andranno da Google, da Facebook, dai colossi della raccolta dati”. E così, spesso si è optato per un approccio più che altro formale, non tenendo in debito conto la necessità (oltre che di formare i dipendenti) di adottare appropriate misure di sicurezza tecnico-organizzative, senza l’implementazione di un’adeguata infrastruttura informatica, di una corretta gestione e separazione delle banche dati, né di sistemi di archiviazione per la conservazione dei dati, che riflettessero quanto scritto nei documenti, pure impeccabili.
Ad oggi però, dopo un primo periodo più o meno dichiarato di tolleranza, le autorità di controllo di tutta Europa (Italia inclusa) hanno cominciato ad attivarsi e i nodi iniziano a venire al pettine.
Arriva a questo proposito dal CNIL, l’autorità di controllo sulla protezione dei dati personali francese, un provvedimento sanzionatorio a nostro avviso degno di considerazione (délibération del 28 maggio 2019 n° SAN-2019-005).
Il CNIL ha infatti sanzionato per ben 400.000 euro una società di servizi immobiliari francese, Sergic SAS, per aver violato le prescrizioni di cui agli artt. 32 e 5 par 1 lett. e) del GDPR che impongono rispettivamente l’adozione di adeguate misure di sicurezza e la conservazione dei dati personali per periodi di tempo non superiori a quanto necessario per il conseguimento delle finalità per cui detti dati sono trattati.
Le condotte alla base delle contestate violazioni potrebbero in verità essere abbastanza diffuse nelle realtà societarie.
Attraverso il proprio sito, Sergic consente agli utenti di candidarsi a delle selezioni per ottenere immobili in locazione. A questo scopo è richiesto di fornire dati personali propri e dei componenti della propria famiglia, tramite compilazione di form e upload di documenti giustificativi necessari alla preparazione del proprio fascicolo personale. Tra questi documenti, rientrano a titolo esemplificativo carte di identità, certificati attestanti lo stato di salute, certificati di morte, di matrimonio e sentenze di divorzio, documenti reddituali, fiscali ed estratti conto, ricevute di affitto, certificati di registrazione della previdenza sociale e documenti relativi alla percezione di assegni familiari o di pensioni di invalidità.
Grazie alla segnalazione di un utente, il CNIL ha potuto verificare che i fascicoli personali (e relativi dati e documenti) erano liberamente accessibili da chiunque, semplicemente modificando il numero contenuto nella parte finale dell’indirizzo URL, ciò anche per via della mancata adozione di una efficace quanto basilare procedura di autenticazione dell’utente.
Secondo il CNIL, dunque, la violazione dei dati essendo imputabile a un difetto di progettazione (per vero piuttosto elementare) del sito, è dunque da ricollocarsi nell’alveo della mancata adozione di misure di sicurezza adeguate ex art. 32 GDPR. Nel valutare la gravità della violazione e dunque per quantificare la sanzione pecuniaria, l’autorità francese ha tenuto conto di alcune circostanze. In particolare, l’estrema vulnerabilità dei sistemi di sicurezza (violabili con pochi sforzi), la “delicatezza” dei dati trattati dalla società nonché la gran quantità degli stessi (290.870 file riferiti a 29.440 persone fisiche). Inoltre, ha influito considerevolmente l’inerzia della società, che risultava a conoscenza della violazione da (almeno) marzo 2018.
Quanto alla seconda violazione del GDPR contestata, il CNIL ha ritenuto contrario al disposto di cui all’art. 5 par 1 lett. e) il fatto che la Società abbia conservato tutti i dati dei candidati ai quali non era stata concessa la locazione degli immobili, rilevando che, in conformità al principio di minimizzazione del trattamento, il periodo di conservazione dei dati non deve essere superiore a quanto strettamente necessario al perseguimento delle finalità per cui gli stessi sono stati raccolti e trattati. I dati in questione, quindi, avrebbero dovuto essere cancellati immediatamente dopo la decisione di non concedere la locazione ai candidati “scartati”.
Precisa altresì il CNIL che, anche laddove si fosse evidenziata una necessità di conservazione dei dati per un periodo più lungo al fine di consentire alla Società di eventualmente difendersi in sede giudiziaria o di adempiere a un obbligo di legge, tali dati avrebbero dovuto come minimo essere archiviati in uno spazio di archivio intermedio, accessibile solo a persone autorizzate al trattamento di tali dati in virtù delle proprie specifiche mansioni all’interno della Società, quali ad esempio dipendenti della funzione legale interna.
Quello che quindi viene qui in rilievo è la necessità di creare una infrastruttura informatica adeguatamente segregata che consenta dunque la netta separazione logica tra un database cd. “attivo” e un database cd. “di archivio”, di modo da riflettere le reali esigenze di conservazione connesse alle diverse finalità di trattamento dei dati.
Degno di particolare nota è, infine, che l’autorità di controllo francese reputi del tutto ininfluente il fatto che la Società avesse adottato un piano d’azione per il futuro, dando al contrario esclusivo rilievo al fatto che, nei mesi precedenti, non avesse implementato misure tecnico organizzative concretamente ed effettivamente idonee a garantire il corretto trattamento dei dati personali e quindi a tutelare i correlati diritti e libertà dei soggetti interessati.
Alla luce di tutto quanto sopra, riteniamo il provvedimento del CNIL di estrema importanza. Da esso, in particolare, emergono tre assunti fondamentali alla base dei modus operandi di tutte le autorità di controllo dell’Unione Europea:
(i) Realizzare i documenti richiesti dalla legge non vuole dire essere “GDPR compliant” senza la predisposizione di misure tecniche e organizzative adeguate;
(ii) È fondamentale adottare una infrastruttura informatica che garantisca la effettiva sicurezza dei dati personali (soprattutto facendo ricorso alla cd. «partizione»).
(iii) Dal 25 maggio 2018 è aumentata nell’opinione pubblica la sensibilità sul tema della tutela dei dati personali. Sapere come e da chi vengono trattati i propri dati personali è (finalmente) diventato importante per le persone.
Le segnalazioni alle autorità di controllo in tutta l’Unione Europea sono aumentate esponenzialmente e le attività d’indagine sono decuplicate, così come i casi di applicazione di sanzioni pecuniarie, anche salate.
È finito il tempo in cui ci si poteva concedere di pensare “tanto non verranno mai nella mia Società”? Stay tuned…