GDPR: sanzioni per 2,92 miliardi di euro

gdpr sanzioni

Dal 28 gennaio 2022 le sanzioni emesse dal GDPR hanno sono aumentate del 168% rispetto al 2021.

Il 2022 ha registrato un nuovo record in merito alle sanzioni emesse ai sensi del GDPR e delle notifiche di data breach a livello europeo: dal 28 gennaio 2022 hanno raggiunto complessivamente i 2,92 miliardi di euro, con un aumento del 168% rispetto all’anno precedente.

Questi dati emergono dal report annuale “GDPR fines and data breach survey: January 2023”, pubblicato dallo studio legale internazionale DLA Piper. Il documento mette in evidenza che le sanzioni più elevate sono quelle comminate a Meta Platforms Ireland Ltd., a dimostrazione del fatto che i social media, a causa dell’ampio trattamento in materia dei dati personali, sono stati oggetto di una particolare attenzione da parte delle autorità di regolamentazione.

Molte delle sanzioni inflitte riguardano la profilazione del comportamento degli utenti e la possibilità di utilizzare la base giuridica della “necessità contrattuale” per legittimare la raccolta in modo massivo di dati personali. Mentre il DPC irlandese aveva inizialmente confermato questa possibilità, lo European Data Protection Board ha invece manifestato un orientamento diverso.

Diminuzione dei data breach

L’indagine rivela anche che il volume totale dei data breach notificati è leggermente diminuito rispetto all’anno precedente. Il totale medio giornaliero si è infatti ridotto da 328 notifiche a 300.

Questo avviene probabilmente perché i soggetti coinvolti stanno diventando più cauti nel notificare i data breach alle autorità privacy per paura di sanzioni, richieste di risarcimento e indagini.

Il ruolo dei dati per addestrare l’intelligenza artificiale

Oltre al rapporto tra l’utilizzo dei dati personali in relazione alla pubblicità e ai social media, nel report viene messa in luce una crescente attenzione per l’Intelligenza Artificiale. Quest’anno, in particolare, sono state condotte diverse indagini sulla società di riconoscimento facciale Clearview AI a seguito di numerose denunce da parte di organizzazioni per i diritti digitali, con l’emissione di diverse sanzioni.

Poiché l’intelligenza artificiale e le piattaforme di apprendimento automatico sono sempre più diffuse, il report prevede un rapido aumento delle indagini e della normativa, con particolare attenzione sia ai fornitori che agli utenti dell’IA.

Trasferimento internazionale di dati

Infine, l’indagine riporta anche alcune decisioni degne di nota prese dalle autorità privacy in merito all’applicazione dei requisiti del GDPR Schrems II e del Capitolo V a specifici trasferimenti internazionali di dati personali.

Non è possibile difatti adottare un approccio basato sul rischio quando si valutano i trasferimenti di dati personali verso Paesi terzi, sostenendo che questi sono assolutamente vietati se la mera possibilità di accesso da parte di governi esteri dà luogo ad un qualsiasi rischio di danno.

Come essere compliant al GDPR ed evitare sanzioni

A fronte del nuovo Regolamento UE 679/2016, le aziende sono dunque obbligate a introdurre una serie di misure specifiche, soprattutto per non incorrere nelle pesanti sanzioni previste.

Protezione dei dati

Le aziende devono saper dimostrare, attraverso una documentazione specifica, di aver fatto tutto ciò che è nelle loro possibilità per proteggere i dati personali acquisiti. Sono inoltre chiamate a preservare questi dati personali dalla modifica fortuita o illecita o dalla perdita, dalla distruzione e dalle divulgazioni o dagli accessi non autorizzati.

Per questo è importante monitorare il sistema delle protezioni regolarmente, in modo da individuare eventuali violazioni (interne o esterne) ed effettuare comunicazioni tempestive alle autorità e ai soggetti interessati.

Utilizzo dei dati

Tutte le organizzazioni devono utilizzare i dati personali in modo corretto, lecito e trasparente, dimostrando anche di aver ricevuto un consenso esplicito per tutti i trattamenti effettuati.

È necessario inoltre disporre di misure di data governance che includano la continua valutazione del rischio e la predisposizione di una documentazione dettagliata.

Conoscenza dei dati

L’azienda deve avere infine una chiara conoscenza di quali siano i trattamenti effettuati e le categorie di dati gestiti, come vengono trattati e protetti, dove siano localizzati e chi è autorizzato a trattare i dati personali.

Vuoi evitare di incorrere in pesanti sanzioni? Contattaci a info@assitech.net per una consulenza gratuita sul GDPR.

GDPR e aziende: cosa fare per essere compliant

GDPR compliant

La tua azienda è compliant al GDPR? Ecco cosa fare per essere conformi ed evitare pesanti sanzioni.

Il Regolamento UE 679/2016, noto come GDPR (General Data Protection Regulation), è entrato in vigore in tutta l’Unione Europea il 25 maggio 2018. Questo nuovo Regolamento ha apportato sostanziali modifiche alla disciplina del trattamento e della libera circolazione dei dati personali.

Dopo la sua introduzione, enti, aziende e organizzazioni che trattano i dati personali delle persone residenti nell’Unione Europea sono stati chiamati a tutelare la privacy in modo più stringente e regolato.

Chiunque non sia compliant al GPDR rischia sanzioni pecuniarie fino a 20 milioni di euro o al 4% del fatturato globale annuale, se superiore.

Proprio per questo non bisogna sottovalutare o trascurare l’adeguamento al GDPR, soprattutto dopo il ricorso massivo allo smart working da parte delle aziende.

È quindi importante capire come il regolamento si applichi alla tutela della privacy nel lavoro da remoto, considerando anche i rischi per la sicurezza informatica. 

Le novità introdotte dal GDPR

Gli aspetti più importanti di questo regolamento definiscono in modo più puntuale e specifico l’area dei diritti e dei doveri sia delle organizzazioni interessate che degli utenti.

Responsabilizzazione delle aziende

Il titolare del trattamento deve assicurare il rispetto dei principi del GDPR, mediante comportamenti dimostrabili. Non deve quindi solamente strutturare la propria organizzazione in modo da garantire un livello di sicurezza adeguato sul piano normativo, ma anche giustificare le scelte compiute.

Nuovi diritti

Agli interessati del trattamento vengono riconosciuti diversi diritti, quali:

  • portabilità dei dati. L’utente può ottenere dal titolare del trattamento i dati personali che lo riguardano e trasmetterli ad un altro titolare del trattamento, come ad esempio un’altra azienda
  • diritto alla cancellazione (o all’oblio)
  • possibilità di proporre reclami all’autorità di controllo.

Maggiore importanza alla privacy

Il GDPR prevede l’implementazione di misure atte a proteggere i dati personali fin dalla fase di progettazione (by design) di un servizio, di un prodotto o di un processo. In questo modo, le regole e i principi di protezione dei dati vengono inseriti già nel momento della sua creazione.

La protezione per impostazione predefinita (privacy by default), invece, implica l’attuazione di interventi finalizzati a garantire soltanto il trattamento di quei dati personali necessari per la specifica finalità perseguita.

Responsabile della Protezione dei Dati (DPO)

Un’innovazione fondamentale del nuovo GDPR riguarda la designazione di un DPO (Data Protection Officer). Le sue funzioni vanno dalla promozione della cultura della tutela dei dati personali alla sorveglianza dell’applicazione del GDPR, fino alla gestione dei rapporti con l’Autorità Garante.

Il DPO rappresenta una sorta di controllore, il cui compito è verificare la corretta applicazione del GDPR. 

Questa figura è obbligatoria nella PA e negli enti pubblici, ad eccezione delle autorità giudiziarie, nelle aziende con più di 250 dipendenti o che trattano dati sensibili e su larga scala.

Registro di trattamento

Le organizzazioni con più di 250 dipendenti o che effettuano trattamenti a rischio, sono inoltre obbligate a tenere un registro delle operazioni di trattamento.

Notifica tempestiva di violazione

È introdotto l’obbligo di comunicazione all’autorità di controllo delle violazioni dei dati personali entro 72 h dal momento in cui il titolare ne ha avuto conoscenza.

In caso di data breach (ovvero di un incidente che abbia esposto informazioni personali o confidenziali) il titolare del trattamento deve poter dimostrare al giudice di aver assunto preventivamente tutte le precauzioni del caso.

Codici di condotta

Il GDPR fornisce alcuni utili strumenti per aiutare le aziende ad essere compliant e attestare l’adeguatezza delle misure di sicurezza adottate.

Le sanzioni previste

Per chi non dovesse rispettare il GDPR, sono previste pesanti sanzioni. L’importo, da valutare in funzione di numerosi elementi, può infatti toccare anche la cifra di:

  • 10 milioni di euro, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, per violazioni minori
  • 20 milioni di euro, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, per violazioni legate al rispetto dei diritti fondamentali.

Oltre a questo, i singoli Stati possono definire ulteriori sanzioni. Le autorità di controllo mantengono invece poteri di ammonimento, revoca di certificazioni, ingiunzioni e limitazione o divieto di trattamento, con inevitabili ripercussioni sul servizio erogato.

Come essere compliant al GDPR

A fronte di questa normativa, le aziende sono obbligate a introdurre una serie di misure, soprattutto per non incorrere nelle sanzioni previste dal nuovo regolamento.

Protezione dei dati

Le aziende devono saper dimostrare in modo documentato di aver fatto tutto ciò che è nelle loro possibilità per proteggere i dati personali acquisiti. Sono inoltre chiamate a preservare i dati personali dalla perdita o dalla modifica fortuita o illecita, dalla distruzione e dalle divulgazioni o dagli accessi non autorizzati.

Per questo è importante monitorare regolarmente il sistema delle protezioni, in modo da individuare eventuali violazioni (interne o esterne) ed effettuare tempestive comunicazioni alle autorità e ai soggetti interessati.

Utilizzo dei dati

Tutte le organizzazioni devono utilizzare i dati personali in modo lecito, corretto e trasparente, dimostrando altresì di aver ricevuto un consenso esplicito per tutti i trattamenti effettuati.

È anche necessario disporre di misure di data governance che includano la continua valutazione del rischio e la predisposizione di documentazione dettagliata.

Conoscenza dei dati

L’azienda deve avere infine una chiara conoscenza di: quali siano i trattamenti effettuati e le categorie di dati gestiti, come vengono trattati e protetti i dati personali, dove siano localizzati e chi è autorizzato a trattarli.

GDPR e aziende
Sai se la tua azienda è GDPR compliant? Contattaci a info@assitech.net per saperne di più.

GDPR: perché per le aziende è necessario adeguarsi

gdpr aziende adeguarsi
gdpr aziende adeguarsi

Sono passati già 3 anni dall’entrata in vigore del GDPR: ma perché per le aziende è così importante adeguarsi?

Sul Regolamento Generale sulla Protezione dei Dati n. 2016/679 esiste già una copiosa letteratura, che spiega in dettaglio i contenuti, le implicazioni giuridiche, tecniche ed organizzative nella vita di ogni azienda. Ma perché si è sentita l’esigenza di adottare questo regolamento?

La protezione dei dati personali era già infatti regolata sia a livello europeo, che nazionale, con il D. Lgs. 196/2003 noto come Codice privacy.

In questo caso il GDPR nasce da un cambio di mentalità nei confronti della riservatezza e del controllo sulle informazioni personali.

La tecnologia corre a una velocità sempre più elevata, presentando sfide e pericoli sempre nuovi. La velocità raggiunta impedisce di garantire le opportune tutele attraverso lo strumento normativo che diverrebbe superato prima ancora di entrare in vigore.

Il GDPR quindi non pone più al centro del sistema di tutela una disposizione normativa, ma concentra l’attenzione sul Titolare del trattamento. Si tratta di quel soggetto che utilizza i dati personali per determinate finalità e con modalità e mezzi scelti da lui.

È proprio il Titolare, infatti, che deve scegliere le misure di sicurezza e garantire il loro continuo adeguamento.

Il GDPR però risulta essere ancora più ambizioso. Cerca infatti di generare una maggior fiducia negli individui, invitandoli e rassicurandoli a comunicare i propri dati.

Perché adeguarsi al GDPR?

Comprese le ragioni che hanno portato alla nascita del GDPR, le imprese si chiedono perché sia necessario adeguarsi.

Le ragioni principali sono tre:

  • Il rischio di incorrere in una sanzione: (il GDPR prevede, a seconda della violazione commessa, un importo che può arrivare fino a 10 milioni di euro o fino a 20 milioni di euro) che dati gli importi potenzialmente molto elevati, può arrivare ad incidere in maniera considerevole sui bilanci.
  • Ottenere un vantaggio competitivo: l’attuale situazione globale ha determinato una maggiore dematerializzazione delle relazioni e, di conseguenza, gli utenti sono sempre più attenti a come vengono trattati i propri dati.
    Disporre di un sistema di gestione dei dati a prova GDPR consente di instaurare fiducia negli stakeholders che, a sua volta, comporterà la loro fidelizzazione e pubblicità positiva, con conseguente riduzione delle spese di marketing.
  • La responsabilità sociale connessa al trattamento dei dati personali: trattare dati comporta inevitabilmente anche una responsabilità in questo senso. Investire nella loro protezione, dalle misure tecniche alla formazione del proprio personale, aiuta a creare una consapevolezza diffusa sul valore dei dati e sulla necessità di porre in essere le dovute attenzioni sia in fase di conferimento, sia in fase di trattamento.

Perché è importante il GDPR?

Il GDPR si presenta di fatto come una legislazione di principio, anche se spesso molto dettagliata, lasciando alle persone il compito di ridurre il rischio connesso al trattamento dei dati personali.

Ciò significa che le aziende sono più libere di adattarsi ai cambiamenti della tecnologia senza dover essere legate ai tempi propri degli adeguamenti normativi, consentendo così una minor incertezza dovuta dall’attesa che le decisioni vengano prese altrove. Di certo l’adeguamento al GDPR comporta l’impiego di tempo e denaro, ma i vantaggi sono molti e duraturi.

Il GDPR permette di poter usare correttamente i dati personali nell’interesse di tutti e consente di affrontare le future sfide grazie alle nuove tecnologie, garantendo grandi vantaggi e rispettando i diritti di tutti.

Rendi Compliance la tua azienda, contattaci a info@assitech.net