Le RGPD un an après : quels enseignements, et quelles perspectives ?

GDPR un anno dopo: quali lezioni e quali prospettive?

Legal Watch – giugno 2019.

Il 25 maggio 2018 è entrato in vigore il Regolamento generale sulla protezione dei dati.

Questo nuovo testo ha portato con sé numerosi cambiamenti nelle pratiche aziendali, sia a livello di organizzazione interna che nei contatti con i clienti.

Sebbene la protezione dei dati sia sancita dal quadro giuridico francese dal 1978 e a livello europeo dal 1995, questo Regolamento ha dato nuovo impulso a ciò che rappresenta sia un diritto umano che una questione economica. E le sanzioni pecuniarie previste nel nuovo testo non sono estranee a questo contesto.

Qual è la situazione pratica in materia di conformità, di azioni della CNIL e delle sue controparti europee?

In Francia, si è registrato un aumento significativo di reclami, notifiche di sicurezza e richieste di informazioni alla CNIL. A fine maggio, l'autorità di controllo ha pubblicato un rapporto statistico su questo primo anno, che ha registrato oltre 11.900 reclami (+30 %) e 2.044 notifiche di violazione dei dati. La CNIL continua inoltre a indagare su numerosi casi, alcuni dei quali in collaborazione con i suoi vicini europei. È quindi coinvolta in 800 procedimenti transnazionali.

Oltre a supportare le aziende nei loro sforzi di conformità, la CNIL ha anche emesso numerose sanzioni. Diamo un'occhiata più da vicino ad alcune di esse:

  • La sanzione più eclatante è senza dubbio quella inflitta a Google, per la cifra record di cinquanta milioni di euro.
  • Altre due sanzioni, ben più modeste, meritano tuttavia particolare interesse, perché sono state sottoposte al Consiglio di Stato, che ne ha esaminato la proporzionalità.
  • In uno dei casi, datato 17 aprile 2019, il Consiglio di Stato ha confermato la sanzione di 75.000 euro: dopo una diffida e diverse ripetute richieste da parte della CNIL, l'Adef (Associazione per lo Sviluppo dell'Abitazione) non aveva ancora rimediato a una falla di sicurezza che consentiva l'accesso online ai documenti dei richiedenti alloggio. Il tempo impiegato dall'associazione per attuare le misure correttive richieste è stato uno dei fattori determinanti per il Consiglio di Stato.
  • Nel secondo caso, sempre del 17 aprile 2019, il Consiglio di Stato ha ridotto l'importo della sanzione inflitta dalla CNIL a Optical Center: l'azienda aveva infatti corretto, entro due giorni dalla notifica della CNIL, una falla di sicurezza che consentiva l'accesso alle fatture dei clienti tramite il suo sito web. La sanzione è stata ridotta da 250.000 a 200.000 euro.
  • Concludiamo questo breve inventario con l'ultima sanzione del 13 giugno 2019, questa volta significativa perché riguarda un'azienda molto piccola: la società Uniontrad aveva installato un sistema di videosorveglianza che teneva i suoi dipendenti sotto costante sorveglianza.

In questo caso, la CNIL aveva inoltre allertato l'azienda due volte prima di intimarle formalmente di modificare le proprie pratiche, senza che le misure richieste fossero state adottate entro il termine stabilito. Il 18 giugno, la CNIL ha emesso una sanzione amministrativa di 20.000 euro, tenendo conto delle dimensioni e della situazione finanziaria dell'azienda.

La conclusione tratta da questi diversi casi è che sia le multinazionali sia le piccole imprese o associazioni sono suscettibili di essere soggette a sanzioni. Inoltre, tutte le decisioni sottolineano l'importanza della reattività del titolare del trattamento dei dati quando viene scoperta una violazione e l'impatto di tale reattività sull'entità di qualsiasi potenziale sanzione.

E i nostri vicini europei?

Tutti gli indicatori mostrano un aumento dei reclami e delle indagini da parte delle autorità preposte alla protezione dei dati, nonché dell'entità delle sanzioni.

Sono poco più di 280.000 i casi registrati da tutte le autorità per la protezione dei dati nello Spazio economico europeo, inclusi circa 144.000 reclami e 89 violazioni della sicurezza. A fine maggio, 371 autorità per la protezione dei dati erano sotto inchiesta.

Un'iniziativa volta a stilare un elenco delle diverse sanzioni a livello europeo, aggiornata da una società di consulenza tedesca, fornisce una visione globale dell'operato delle autorità di vigilanza: https://www.enforcementtracker.com.

Le sanzioni più elevate, oltre a quella adottata dalla CNIL nei confronti di Google, sono state imposte dal Portogallo, che ha imposto una multa di 400.000 euro a un ospedale per mancata protezione dei dati dei pazienti; dalla CNIL, sempre per 400.000 euro, a un'agenzia immobiliare; e dalla Spagna per un'applicazione per smartphone che utilizza segretamente i microfoni dei telefoni di singoli individui. La lega calcistica professionistica spagnola è stata multata di 250.000 euro per questa violazione e ha presentato ricorso contro la decisione.

Verso un coordinamento delle autorità pubbliche oltre il GDPR?

Una novità degna di nota riguarda la cooperazione tra le autorità pubbliche, volta ad aumentarne la coerenza e l'efficacia. Queste iniziative riguardano in particolare le autorità garanti della protezione dei dati, quelle responsabili delle questioni relative alla concorrenza e quelle responsabili della tutela dei consumatori.

Le discussioni, avviate nel 2016 dal Garante europeo della protezione dei dati nell'ambito del progetto "digital clearing house", sono ora coordinate dal settore accademico e supportate da una risoluzione del Parlamento europeo.

Il progetto riunisce ora autorità provenienti da Europa e altri continenti. Le sinergie sviluppate si concentrano sulla protezione delle persone nel contesto dell'economia digitale e dei "big data". L'incontro del 5 giugno 2019 ha riunito 25 autorità di vigilanza dell'Unione Europea e di altri paesi. Sono state discusse due questioni importanti, riguardanti Facebook e Microsoft. Le autorità stanno inoltre concentrando le loro discussioni sullo sviluppo di servizi con compenso non monetario. In altre parole, fino a che punto possiamo accettare che le persone paghino con i propri dati in cambio di un servizio digitale?

Indicazioni concrete su questo tema sono attese in autunno, dopo la prossima riunione delle autorità di vigilanza. Ciò potrebbe rappresentare uno sviluppo significativo alla luce delle sfide dell'economia digitale.

E inoltre:

• In Francia: La CNIL mette online una nuova versione del suo strumento destinato ad assistere il titolare del trattamento dei dati nelle sue analisi di impatto (AIPD).

• in Europa : Verso un'interpretazione più restrittiva delle norme sulla prospezione elettronica? Diverse autorità di controllo hanno annunciato che stanno rivedendo la propria interpretazione in merito all'ottenimento del consenso degli interessati e ai cookie. Tra queste, Belgio, Francia, Regno Unito e Paesi Bassi. Va notato che il Comitato europeo per la protezione dei dati si era già pronunciato esplicitamente, in un comunicato stampa del maggio 2018, contro l'uso dei "cookie wall", che subordinano l'accesso a un sito web al consenso dei visitatori.

• nel mondo: Per valutare la necessità di una legge che regoli gli algoritmi, la Commissione Commercio del Senato degli Stati Uniti ha esaminato, durante un'audizione del 25 giugno, come aziende come Google, YouTube e Facebook utilizzano l'intelligenza artificiale per influenzare

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT