La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.
Partiamo da un fatto recente. Il Garante per la Protezione dei dati personali ha sanzionato UniCredit per 600mila euro a causa dei data breach subiti tra il 2016 e il 2017 applicando le norme del GDPR. L’Autorità ha accertato che l’accesso non autorizzato ai dati dei clienti è avvenuto attraverso account di dipendenti di un partner commerciale della banca ed è dipeso anche da falle nel sistema di gestione e protezione dati dell’istituto di credito.
Il data breach UniCredit
Gli accessi abusivi sono avvenuti in due momenti distinti: nell’autunno 2016 e nell’ estate del 2017, andando a colpire un bacino di oltre 400.000 clienti. I dati sottratti hanno rivelato preziose informazioni sui clienti, tra cui anagrafica e contatti, iban ed eventuali finanziamenti.
Alla luce di tutto ciò, il Garante ha emesso la sanzione applicando le norme del GDPR; il totale di 600mila euro è stato calcolato sulla base di alcuni fattori, quali: il numero rilevante di persone coinvolte, ma anche la pronta adozione, da parte dell’Istituto Bancario, nell’applicare le misure volte a rafforzare la sicurezza dei sistemi informatici a seguito del Data Breach.
Il GDPR è sempre più concreto
La notizia della sanzione rende l’idea di un quadro normativo sulla protezione dei dati personali sempre più concreto e attuale. Difatti, anche nella recente relazione annuale del Garante tenuta il 23 giugno scorso, si sottolinea il carattere sempre più concreto del Regolamento e dell’attività dell’Autorità Garante.
Il lavoro svolto in questi due anni si potrebbe riassumere, con le parole del Garante, un percorso tra continuità ed innovazione. Il Collegio ha condotto un’attività continuativa e che ha interessato diversi ambiti: dalla tutela dei consumatori opponendosi al telemarketing aggressivo con l’applicazione di pesanti sanzioni, alla pubblica amministrazione. Il Garante ha richiamato le amministrazioni a rispettare canoni di proporzionalità e a contemperare obblighi di pubblicità degli atti e dignità delle persone. Ha fissato regole precise per l’esercizio del diritto di accesso civico ed è intervenuto nel settore della sanità per orientare la normativa nazionale.
L’anno di proroga del mandato del Collegio dell’Autorità si è rivelato particolarmente impegnativo soprattutto a causa dell’emergenza sanitaria legata al Covid-19. Negli ultimi mesi l’Autorità si è impegnata, in particolare, nel fornire pareri e indicare misure di garanzia per: l’effettuazione dei test sierologici; la raccolta dei dati sanitari di dipendenti e clienti; l’uso della ricetta elettronica; l’avvio della sperimentazione clinica e la conduzione della ricerca medica; l’attivazione dei sistemi di didattica a distanza; lo svolgimento del processo penale e amministrativo da remoto.
GDPR: verso una cultura europea della protezione dei dati
A poco più di due anni dalla sua piena applicazione, inoltre, la Commissione europea ha pubblicato un rapporto di valutazione sul Regolamento europeo in materia di protezione dei dati personali (Gdpr). Il rapporto mostra come il GDPR abbia raggiunto la maggior parte dei suoi obiettivi, in particolare garantendo ai cittadini UE un solido insieme di diritti e creando un nuovo sistema europeo di governance. Il GDPR si è, inoltre, dimostrato un buon alleato per le diverse soluzioni digitali in circostanze di emergenza come quella dovuta al Covid-19.
Il documento della Commissione evidenzia come l’armonizzazione delle legislazioni nazionali sia in forte aumento grazie al GDPR, sebbene vi siano ancora taluni ambiti che necessitano di una osservazione continua (ad esempio per il bilanciamento in materia di libertà di espressione o in ambito sanitaria). Anche le aziende, con una nota positiva, hanno dato avvio costante e continuativo alla “responsabilizzazione”, guardando alle misure per la protezione dei dati personali come un vantaggio rispetto alla concorrenza.
La relazione della Commissione europea prevede anche differenti azioni che coinvolgono i diversi stakeholder (Commissione, Stati membri, Autorità di protezione dati, soggetti pubblici e privati) per rendere completa l’applicazione del GDPR con particolare riguardo alle piccole e medie imprese. Gli obiettivi finali indicati dalla Commissione sono quelli di ridurre frammentazione della normativa a livello europeo.
Inoltre, si è sottolineato l’impegno a promuovere e sviluppare ulteriormente una cultura europea della protezione dei dati e l’applicazione rigorosa delle norme conformi al GDPR. Questo richiede, però, il supporto delle Autorità di protezione dati, ma soprattutto una maggiore e più incisiva cooperazione fra tutte le Autorità.
Dalla relazione è, altresì, emersa una maggior consapevolezza dei diritti degli interessati ex artt. 15 e ss. del GDPR. Le disposizioni sulla protezione dei dati personali si sono presentate correttamente adeguate all’era digitale che stiamo vivendo. Il Regolamento ha permesso una partecipazione più attiva e consapevole, nel rispetto dei principi di privacy by design e privacy by default.
Sicuramente l’incentivo a migliorare e a proseguire nel percorso di adeguamento al GDPR scaturisce, anche, dai poteri correttivi da parte dell’Autorità Garante; difatti sono sempre più numerosi avvertimenti, ammonimenti e sanzioni.
Le competenze e le altre risorse necessarie per il futuro
Considerando il lavoro svolto sino ad oggi, è possibile individuare nella necessità di avere personale competente, nonché nella disponibilità di risorse tecniche e finanziarie, alcuni tra i fattori preponderanti per la piena realizzazione del processo di compliance, in ambito pubblico e privato.
Un ulteriore aspetto certamente da non trascurare, riguarda l’impatto del GDPR a livello internazionale. L’Edpb (il Comitato europeo per la protezione dei dati formato da rappresentanti di tutti i Garanti europei) lavora costantemente all’implementazione di un sistema di governance europea della protezione dei dati personali, tramite l’elaborazione di linee-guida che fungono da ausilio interpretativo su aspetti complessi e discussi del Regolamento.
La Commissione ha proposto di continuare con l’operato dei negoziati per un percorso di adeguamento completo, impegnando l’azione sul fronte extra-europeo, attraverso la creazione di task force di studio e l’attivazione di “Privacy shield”, assicurando il rispetto di determinate regole di protezione per gli utenti europei a livello mondiale.
Professionisti della protezione dei dati – un percorso in e-learning
Per un aggiornamento multidisciplinare e completo su modelli e strumenti della protezione dei dati personali, la Studio Legale Lisi Academy propone un percorso in e-learning rivolto a coloro che, a vari livelli, si occupano di trattamento di dati personali per conto di aziende, società, enti pubblici e privati.
I nostri esperti garantiranno l’acquisizione di specifiche competenze giuridiche, tecniche ed organizzative, così come delineate dal GDPR (Regolamento UE 679/2016) senza tralasciare le ultime novità normative in materia di governance digitale, previste dal Codice dell’Amministrazione Digitale.
Il corso è diretto dall’Avv. Andrea Lisi.
Per info e iscrizioni clicca qui.
Di Anna Rahinò, Avvocato – consulente di Studio Legale Lisi e componente del D&L NET
