Confartigianato avvisa che sta per iniziare il conto alla rovescia delle multe Lo hanno definito “periodo di grazia” e durerà fino al 19 maggio 2019, però, pur tenendo conto di questa prima fase di attuazione del regolamento europeo, le sanzioni saranno ugualmente applicate. In base alla natura, gravità e durata dell’illecito commesso e quindi proporzionate alla violazione. Meglio adeguarsi in fretta, quindi, per due buoni motivi: primo, perché per le imprese il Regolamento europeo è uno strumento fondamentale per dare uno slancio alla propria reputation (il danno reputazionale è il più temuto fra quelli derivanti dalla mancata attuazione del Gdpr). Secondo, perché il mancato adeguamento – con le conseguenti violazioni – porta a sanzioni amministrative e penali particolarmente invasive. Per evitare di incorrere nelle sanzioni, non solo devono essere rispettare le norme in materia di protezione dei dati personali ma, in osservanza del principio di accountability, i titolari dovranno dimostrare di essere consapevoli delle modalità di trattamento e di conservazione degli stessi. E rendere conto di quanto fatto. Le sanzioni possono essere amministrative, penali e correttive: Amministrative: fino a 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente; Penali: riguardano il trattamento illecito dei dati, la comunicazione, diffusione illecita e acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, la falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante, l’inosservanza dei provvedimenti del Garante; Correttive: il Garante può rivolgere avvertimenti o ammonimenti al titolare, o al responsabile del trattamento dei dati, sul fatto che i trattamenti possono violare o hanno violato le norme. Per meglio inquadrare il fenomeno, sono d’aiuto i dati dell’Information Security & Privacy della School of Management del Politecnico di Milano: in Italia, nel 2018, il 23% delle aziende si è adeguata, il 59% ha avviato progetti in questione e l’88% ha dedicato un budget specifico alle misure definite dal Gdpr. Un’azienda su cinque, invece, “non prevede investimenti dedicati, o stanzia risorse solo in caso di necessità”. ARRIVANO LE PRIME SANZIONI IN EUROPA Una multa di 4 mila euro a un’azienda austriaca che usava male il sistema di videosorveglianza; una da 20 mila a un’azienda tedesca per la mancata cifratura delle password degli utenti e una da 400 mila a una struttura ospedaliera portoghese per problemi di accesso al dato. Ecco le prime sanzioni GDPR. Sono arrivate inesorabili le prime sanzioni in Europa ad alcune aziende, private e pubbliche, che non hanno ottemperato alle disposizioni del GDPR entrato in vigore ormai da diversi mesi. La meno costosa (4.000 €) è stata erogata nei confronti di un’azienda austriaca colpevole di utilizzare il sistema di videosorveglianza impropriamente, ovvero puntandolo su un marciapiede esterno al perimetro aziendale, riprendendo, senza alcuna giustificata motivazione e senza apposite informative, i passanti. La seconda sanzione viene inflitta dal Garante tedesco. Il caso in oggetto è un’azienda, che dopo aver dichiarato l’avvenuto data breach (perdita di dati) riguardante credenziali di caselle di posta elettronica di cittadini tedeschi, è comunque stata multata (20.000 €) per il fatto che le password delle caselle di posta elettronica venissero salvate in chiaro all’interno della base di dati senza l’opportuno utilizzo di sistemi di cifratura. La sanzione più sostanziosa è stata inflitta ad una azienda portoghese, ben 400.000 €!!! Vittima sacrificale, un’azienda ospedaliera, a seguito di un controllo ispettivo sono stati riscontrati seri problemi di politiche di accesso al dato, infatti, medici, infermieri, psicologi di qualsiasi reparto potevano accedere e modificare con estrema facilità i dati personali e sanitari contenuti all’interno delle cartelle cliniche di tutti i pazienti ospiti del complesso ospedaliero. IL SERVIZIO DI CONFARTIGIANATO Affidarsi a professionisti seri e preparati è un passo fondamentale, perché la conformità al Gdpr richiede passaggi complessi e aggiornamenti che non possono essere frutto dell’improvvisazione. Confartigianato Cremona di via Rosario, 5 (tel. 0372 598811) offre alle aziende associate, attraverso le competenze del proprio team privacy, un check UP iniziale, un kick off introduttivo e infine un piano di adeguamento al GDPR concreto e facilmente utilizzabile dall’imprenditore.