Nella mia attività professionale, nonostante ripeta sempre a tutte le persone che hanno la sfortuna di capitarmi a tiro che il rispetto della normativa in tema di Privacy è fondamentale quantomeno per evitare sanzioni amministrative o, nei casi peggiori, penali, mi capita spesso di sentirmi obiettare che il Codice contiene “regole assurde”, che “nessuno controlla” e che comunque, anche se la propria attività non è conforme a quanto previsto dal Codice e si subisce una verifica o una segnalazione “in realtà alla fine non succede niente”. Si tratta di convinzioni particolarmente radicate, prive però di alcun effettivo fondamento, che finiscono solo per danneggiare chi tratta dati personali e la loro attività.
A questo proposito mi sembra opportuno riprendere un recente comunicato del Garante Privacy (“Attività ispettiva 2014: l'ammontare delle sanzioni sale a 5 milioni di euro“) e un suo provvedimento (“Deliberazione del 29 gennaio 2015 - Attività ispettiva di iniziativa curata dall'Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo gennaio-giugno 2015”), passati purtroppo un po’ in sordina, nei quali viene analizzato, sia sotto il profilo quantitativo che qualitativo, lo stato dell’arte della sua attività sanzionatoria e ispettiva.
Nel comunicato in questione, contenuto nella newsletter del Garante del 23 febbraio 2015, l’Autorità segnala di aver elevato, solo nel 2014, sanzioni amministrative per 5 milioni di euro con un aumento del 20% rispetto all’anno precedente. A tale dato occorre inoltre aggiungere 577 violazioni amministrative del Codice Privacy contestate e non ancora definite, 385 ispezioni effettuate e 39 segnalazioni all'autorità giudiziaria per violazioni di rilevanza penale. Si tratta di numeri considerevoli, che danno l’idea della notevole estensione di tale attività e dell’attenzione al rispetto della normativa prestata dal Garante.
Ancor più interessanti, a mio parere, sono poi i dati riguardanti gli ambiti maggiormente interessati dalle ispezioni e i tipi di violazioni rilevate.
Nel 2014 sono stati oggetto di particolare attenzione i trattamenti di dati personali effettuati, ad esempio, da laboratori di analisi, società farmaceutiche, app mediche, sistemi informativi della fiscalità, gestori dei nodi di interscambio dei dati Internet (Ixp), banche, grandi alberghi, società che gestiscono i sistemi di mobile payment, importanti gruppi di intermediazione immobiliare, i cosiddetti "compro oro", operatori telefonici e call center. Sembra inoltre confermata l’attenzione del Garante per le attività di trattamento di dati sensibili (e in particolare sanitari) oggetto anche in altre occasioni di specifiche verifiche (si pensi alla recente iniziativa “Sweep Day”).
A completamento di questa panoramica, non possono non essere menzionate le istruttorie avviate a seguito di segnalazioni pervenute all’Autorità da parte dei singoli utenti, che incidono in modo considerevole sull’attività di sorveglianza dell’Autorità e che possono riguardare indistintamente tutti i soggetti che, in qualsiasi ambito (anche in qualità di responsabili del trattamento), effettuato operazioni di trattamento di dati personali.
Quanto poi ai tipi di violazioni riscontrate, le più frequenti riguardano l’omessa o inidonea informativa, la mancata comunicazione al Garante e agli utenti di violazioni di dati personali e la mancata adozione delle misure minime di sicurezza previste dal Codice Privacy.
Infine, risulta di particolare interesse il provvedimento del gennaio 2015 relativo al piano ispettivo del Garante per il semestre gennaio-giugno 2015. Secondo tale provvedimento, l’attività ispettiva prevista, demandata al nucleo speciale privacy della Guardia di Finanza, oltre ad avere ad oggetto le aree-obiettivo già individuate nel 2014 si concentrerà:
- sulla verifica dell'adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati, che effettuano trattamenti di dati sensibili;
- sul controllo della liceità e correttezza dei trattamenti di dati personali con particolare riferimento al rispetto dell'obbligo di informativa, alla pertinenza e non eccedenza nel trattamento, alla libertà e validità del consenso, nei casi in cui questo è necessario, nonché alla durata della conservazione dei dati;
- sulla verifica dell'adempimento dell'obbligo di notificazione nei confronti di soggetti, pubblici e privati, nei casi previsti dal Codice (ad es per trattamenti di dati di geolocalizzazione o per attività di profilazione degli interessati, etc.).
Anche quest’anno si prevede quindi un’intensa attività da parte del Garante e della Guardia di Finanza per la verifica del rispetto della normativa privacy.
Alla luce di questi dati, la considerazione che si può trarre, banalmente, è che in materia di Privacy (o trattamento di dati personali che dir si voglia) i controlli da parte delle autorità preposte sono effettivi e frequenti (e possono costare molto caro): se non si vuole adeguare la propria attività ai più semplici adempimenti previsti dal Codice Privacy perché non si è ancora capito che i dati personali possono diventare un asset importante per l’azienda, quantomeno lo si faccia per evitare sanzioni.