GDPR e privacy: quali sono gli errori ricorrenti delle aziende italiane?

Nell’articolo “GDPR e privacy: come si stanno muovendo le Autority?” abbiamo scoperto come si comportano i garanti europei per quanto riguarda le sanzioni utilizzando lo strumento GDPR Enforcement Tracker di CMS.Law.

Facendo un focus sull’Italia, abbiamo preso atto del nostro 2° posto nella classifica dei 10 Paesi con il maggior numero di sanzioni e del 4° posto per il loro valore totale.

Delle 1406 sanzioni e multe complessive di tutti i Paesi (fino al 31/12/22), ben 206 sono italiane, per un totale di 142.166.096 €

I provvedimenti presi dal Garante Italiano riguardano soprattutto la violazione degli articoli che riguardano i principi del GDPR e i diritti dell’interessato.

Ora analizziamo nello specifico la top 10 (su 31 articoli totali) degli articoli GDPR la cui violazione ha portato il Garante Italiano ad emettere più sanzioni.

Al primo posto troviamo l’Art. 5 GDPR – Principi applicabili al trattamento di dati personali con 187 violazioni.

Cosa dice l’articolo 5 del GDPR?

La responsabilità dei dati è del titolare del trattamento, il quale deve essere in grado di provare che i dati sono:

• trattati in modo lecito, corretto e trasparente;
• raccolti per finalità determinate, esplicite e legittime, in modo limitato alle finalità stesse e mantenuti tempestivamente aggiornati;
• conservati solo per il tempo necessario alle finalità per cui sono stati raccolti;
• protetti da eventuali danni e riservati tramite misure tecniche e organizzative adeguate.

Un esempio di violazione dell’articolo 5 del GDPR

Utilizzare i dati personali ricevuti tramite la compilazione di un modulo di contatto di richiesta informazioni per l’invio senza consenso di materiale a fine pubblicitario.

Al secondo posto l’Art. 6 GDPR – Liceità del trattamento con 94 violazioni.

Cosa dice l’articolo 6 del GDPR?

L’Art. 5 paragrafo 1, lettera a) dice che i dati devono essere trattati in modo lecito. Ma cosa si intende per “lecito”? Lo definisce l’Art. 6.

Il trattamento dei dati è considerato lecito quando:

• l’interessato ha espresso il suo consenso perchè i propri dati vengano utilizzati per finalità specifiche;
• è necessario per motivi contrattuali e precontrattuali (la volontà dell’esecuzione di un contratto o dell’avvio di misure precontrattuali deve avvenire su richiesta dell’interessato);
• il titolare è legalmente obbligato per uno specifico trattamento (ad esempio conservare documenti fiscali per il numero di anni richiesti dalla legge);
• è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
• è necessario per motivi di interesse pubblico;
• è necessario per il legittimo interesse del titolare, a meno che questo non prevalga sui diritti dell’interessato.

Un esempio di violazione dell’articolo 6 del GDPR

Effettuare profilazione dell’interessato usando come base giuridica del trattamento il legittimo interesse del titolare.

Al terzo posto l’Art. 9 GDPR – Trattamento di categorie particolari di dati personali con 51 violazioni.

Cosa dice l’articolo 9 del GDPR?

È vietato trattare dati personali che rivelino:

• l’origine razziale o etnica,
• le opinioni politiche,
• le convinzioni religiose o filosofiche,
• l’appartenenza sindacale,

nonché trattare:

• dati genetici,
• dati biometrici intesi a identificare in modo univoco una persona fisica,
• dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Uniche eccezioni al divieto del trattamento di questi dati sono:

• il consenso dell’interessato per finalità specifiche;
• l’esigenza del trattamento per l’esecuzione di un contratto di lavoro;
• le esigenze connesse alla sicurezza e alla protezione sociale;
• la tutela di un interesse vitale dell’interessato o di un’altra persona fisica;
• il trattamento effettuato da fondazioni, associazioni o altri organismi senza scopo di lucro che, nell’ambito di legittime attività tratta i dati di membri, ex membri e persone in contatto regolare. I dati personali non possono comunque essere comunicati all’esterno senza previo consenso degli interessati;
• il trattamento di dati resi pubblici direttamente dall’interessato;
• la necessità di accertare, esercitare o difendere un diritto in sede giudiziaria;
• la necessità per motivi di interesse pubblico, anche nel settore della sanità pubblica, nella misura appropriata per garantire la tutela dei diritti fondamentali e gli interessi dell’interessato;
• la necessità per finalità di medicina preventiva, medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale nel caso in cui il trattamento venga effettuato sotto la responsabilità di un professionista soggetto al segreto professionale;
• finalità di archiviazione nel pubblico interesse, per ricerche scientifiche o storiche o a fini statistici purchè siano previste adeguate misure tecniche e organizzative al fine di garantire i diritti e le libertà dell’interessato e rispettando il principio della minimizzazione dei dati.

Un esempio di violazione dell’articolo 9 del GDPR

La trasmissione da parte di un’azienda sanitaria di documenti riferiti ad interessati che hanno richiesto l’oscuramento di quei documenti.

Al quarto posto l’Art. 13 GDPR – Dati personali raccolti presso l’interessato: informazioni da fornire con 49 violazioni.

Cosa dice l’articolo 13 del GDPR?

Quando il titolare raccoglie dati dall’interessato deve fornire una specifica informativa che contenga i seguenti elementi:

• l’identità del titolare del trattamento e se presente del rappresentante;
• se nominato, i dati di contatto del DPO;
• le finalità del trattamento e le basi giuridiche che le giustificano;
• se la base giuridica del trattamento è il legittimo interesse, devono essere definiti quali sono questi interessi perseguiti (ricordiamo che gli interessi legittimi del titolare non possono prevalere sugli interessi o i diritti e le libertà fondamentali dell’interessato);
• da chi vengono trattati i dati personali;
• l’intenzione o meno di trasferire i dati in altri Paesi;
• il periodo di conservazione dei dati;
• i diritti degli interessati tra cui anche la possibilità di fare reclamo all’autorità competente;
• se la base giuridica del trattamento è il consenso, deve essere indicata la possibilità di revocarlo;
• se fornire i dati personali costituisce un obbligo legale o contrattuale oppure se è un requisito necessario per la conclusione del contratto oltre alle possibili conseguenze nel caso in cui questi non vengano comunicati;
• se il titolare utilizza processi decisionali automatizzati, tra cui la profilazione.

Nel caso in cui il titolare voglia eseguire trattamenti per finalità diverse da quelle specificate quanto sono stati raccolti, deve prima fornire un’ulteriore informativa all’interessato.

Un esempio di violazione dell’articolo 13 del GDPR

Fornire un’informativa che non comprenda tutti gli elementi richiesti dal Regolamento UE.

Al quinto posto l’Art. 12 GDPR – Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato con 47 violazioni.

Cosa dice l’articolo 12 del GDPR?

Il titolare del trattamento deve adottare misure appropriate per fornire all’interessato tutte le informazioni relative ai diritti che gli sono garantiti dal Regolamento UE, Capo III, Artt. dal 12 al 23.

La comunicazione dei diritti agli interessati deve avvenire in forma scritta, in modo trasparente, facilmente accessibile e utilizzando un linguaggio di facile comprensione.

Nel caso in cui un interessato faccia richiesta di esercitare uno dei suoi diritti, il titolare deve rispondere senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta (il termine può essere prorogato a 2 mesi in caso di particolari complessità o un elevato numero di richieste).

Il titolare può rifiutarsi di soddisfare la richiesta dell’interessato se può dimostrare di non essere in grado di identificare l’interessato.

L’articolo 11 dice che se per le finalità per cui il titolare effettua il trattamento non è necessario che gli interessati possano essere identificati, non è tenuto ad acquisire informazioni ulteriori al solo scopo di adempiere a queste richieste.

Il titolare deve comunque darne comunicazione all’interessato spiegando di non essere in grado di identificarlo. Nel caso in cui questi fornisca sufficienti informazioni perché venga identificato, il titolare deve provvedere ad eseguire la richiesta.

Se per altri motivi, il titolare non è in grado di adempiere alla richiesta deve darne comunicazione all’interessato, specificando il motivo e comunicandogli la possibilità di fare reclamo all’autorità competente.

L’esercizio dei diritti garantiti dal Regolamento è gratuito per l’interessato a meno che le richieste effettuate siano infondate, eccessive o ripetitive. In questi casi il titolare può addebitare un contributo spese ragionevole per i costi sostenuti oppure rifiutare la richiesta.
Ovviamente il titolare deve saper dimostrare l’infondatezza e l’eccessività della richiesta.

Un esempio di violazione dell’articolo 12 del GDPR

Non informare l’interessato dei diritti che gli sono garantiti dal Regolamento UE.

Al sesto posto l’Art. 32 GDPR – Sicurezza del trattamento con 42 violazioni.

Cosa dice l’articolo 32 del GDPR?

Definisce alcune delle misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato ai livelli di rischio che il titolare del trattamento deve adottare per garantire ed essere in grado di dimostrare la conformità dei trattamenti al Regolamento UE.

Alcune di queste misure tecniche e organizzative che possono essere messe in atto sono:

• la pseudonimizzazione e la cifratura dei dati personali;
• la capacità di assicurare riservatezza, integrità, disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare in modo tempestivo la disponibilità e l’accesso dei dati personali in caso di incidente;
• la presenza di una procedura che ne testi, verifichi e valuti regolarmente l’efficacia;
• la valutazione dei rischi derivati dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o l’accesso accidentale o illegale ai dati trattati;
• la formazione del personale che ha accesso a dati personali.

Un esempio di violazione dell’articolo 32 del GDPR

Non utilizzare misure di sicurezza che garantiscano un livello adeguato di protezione dei dati in relazione al livello di rischio del trattamento.

Al settimo posto l’Art. 7 GDPR – Condizioni per il consenso con 32 violazioni.

Cosa dice l’articolo 7 del GDPR?

Se per l’esecuzione di un trattamento è richiesto il consenso, il titolare deve essere in grado di adempiere all’onere della prova, cioè di dimostrare che l’interessato lo ha prestato.

La richiesta di consenso, se presentata all’interno di dichiarazioni che comprendono altre questioni, deve essere fatta in modo distinto e facilmente comprensibile.

Inoltre, l’interessato ha sempre il diritto di revocare il proprio consenso con la stessa facilità con cui l’ha concesso.

Un esempio di violazione dell’articolo 7 del GDPR

Non avere le prove necessarie per dimostrare il rilascio di un consenso in sede di richiesta da parte dell’interessato o delle autorità di controllo.

Al ottavo posto l’Art. 15 GDPR – Diritto di accesso dell’interessato con 25 violazioni.

Cosa dice l’articolo 15 del GDPR?

Tra i diritti garantiti agli interessati, il Regolamento UE prevede il diritti di accesso ai propri dati personali.

Nello specifico, l’interessato ha il diritto di chiedere conferma al titolare se è in corso un trattamento per i suoi dati personali.

In caso affermativo ha il diritto di ottenere le seguenti informazioni:

• per quali finalità i suoi dati vengono trattati;
• le categorie di dati in possesso del titolare, da chi vengono trattati e a chi sono stati comunicati;
• il periodo di conservazione;
• l’esistenza del diritto di rettifica, cancellazione, limitazione e opposizione del trattamento;
  l’esistenza del diritto di proporre un reclamo alle autorità di controllo;
• tutte le informazioni sull’origine dei dati nel caso in cui questi non fossero stati forniti dall’interessato;
• l’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione;
• nel caso in cui i dati personali vengano trasferiti in un altro Paese, deve essere informato delle garanzie di adeguatezza relative al trasferimento;

Il titolare è obbligato a fornire una copia dei dati personali dell’interessato in suo possesso. Nel caso in cui l’interessato chieda più di una copia, il titolare può addebitare un ragionevole contributo spese.

In ogni caso il diritto dell’interessato ad ottenere una copia dei propri dati personali non deve ledere i diritti o le libertà altrui.

Un esempio di violazione dell’articolo 15 del GDPR

Ignorare la richiesta dell’interessato di esercitare il proprio diritto di accesso non dando risposta congrua nei tempi stabiliti dal Regolamento.

Al nono posto l’Art. 8 GDPR – Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione con 20 violazioni.

Cosa dice l’articolo 8 del GDPR?

Innanzitutto, con “servizi della società dell’informazione” si intende un qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi.

Nel caso in cui per la liceità del trattamento è necessario il previo consenso dell’interessato, in relazione ai servizi appena definiti qui sopra, l’interessato che ha prestato il consenso deve aver compiuto 16 anni.

Per i minori che ancora non li hanno compiuti, il consenso deve essere prestato da chi ne ha la responsabilità genitoriale altrimenti il trattamento non può essere considerato lecito.

Il compito di verificare in ogni modo ragionevole la liceità del trattamento spetta al titolare che si deve adoperare tramite le tecnologie disponibili.

Un esempio di violazione dell’articolo 8 del GDPR

Non mettere in atto misure ragionevoli per la verifica della liceità del trattamento di dati appartenenti ai minori di 16.

Al decimo posto l’Art. 25 GDPR – Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita con 20 violazioni.

Cosa dice l’articolo 25 del GDPR?

Con l’art. 25 vengono introdotti 2 principi cardine del GDPR:

• Privacy by design significa che il titolare deve garantire che la protezione dei dati avvenga fin dalla progettazione. I titolari del trattamento hanno l’obbligo di prevedere sin dall’inizio dei loro progetti gli strumenti e le misure tecniche atte a garantire un’adeguata tutela dei dati personali.
• Privacy by default significa che il titolare deve garantire la protezione dei dati per impostazione predefinita. I titolari del trattamento devono mettere in atto delle adeguate misure tecniche e organizzative per garantire che siano trattati per impostazione predefinita solo i dati personali necessari per ogni specifica finalità del trattamento.

Un esempio di violazione dell’articolo 25 del GDPR

Non definire i tempi di conservazione dei dati personali violando i principi di privacy by design e by default.

Hai dubbi o necessiti di una consulenza dedicata?

Vedi rendere conforme il tuo sito web alla normativa privacy e cookie?

Vuoi adeguare i trattamenti di dati personali della tua azienda, il tuo studio professionale o attività commerciale?

Contattaci oggi stesso a privacy@microteam.it o compilando il form nella pagina contatti

Se hai trovato interessante questo articolo, condividilo con la tua rete di contatti.