Il General Data Protection Regulation (comunemente chiamato GDPR) compie 2 anni: pubblicato nella Gazzetta Ufficiale Europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016, ma la sua attuazione è avvenuta solamente il 25 maggio 2018.
Due anni fa il GDPR nasceva con l’intento di aggiornare l’ormai obsoleto regolamento per la tutela della privacy, definendo ruoli, processi e limitazioni per garantire il controllo e la protezione dei dati personali.
A due anni di distanza, molta strada è stata fatta rispetto all’era pre-GDPR, ma ancora tanta ce n’è da fare per arrivare a quel contesto uniforme, educato e organizzato in tema privacy a cui ogni Garante, ma non solo, auspica.
I principali limiti del GDPR: soldi e personale
Il report pubblicato da Brave mette in evidenza come ai Garanti Nazionali manchi il personale tecnico specializzato e fondi adeguati.
Non si tratta di giuristi, bensì di personale esperto, investigatori: su 28 paesi analizzati (27 dell’Unione Europea più il Regno Unito), solamente 6 hanno più di 10 investigatori tecnici, 7 paesi hanno meno di 3 investigatori.
La Germania è la nazione più attrezzata sotto questo punto di vista con 101 investigatori tecnici su 800 addetti. L’ICO inglese su 700 addetti, conta solamente 22 investigatori, mentre l’Italia ha 8 investigatori su 170 addetti.
A livello di budget invece il trend generale mostra una flessione: dopo aver aumentato i fondi verso le autorità garanti in prossimità dell’avvento del GDPR due anni fa, i governi nel 2019 hanno iniziato a ridurre i budget.
Il Regno Unito con 61 milioni di euro di budget guida la classifica, inseguito dalla Germania con 59 milioni. Chiude il podio l’Italia con 30 milioni di euro con un aumento di 3,2 milioni nell’ultimo biennio, in controtendenza con la flessione generale.
Le multe che non arrivano come e dove (e a chi) dovrebbero
Abbiamo già parlato della disparità di trattamento fra i vari paesi e citato alcuni dati abbastanza sorprendenti, sia in numeri assoluti di multe, sia per quanto riguarda gli importi complessivi.
L’operato del Garante Irlandese è senza dubbio il più discusso e chiacchierato: il report di Brave stima che le multe ai colossi tech della Silicon Valley con sede in Irlanda potrebbero arrivare al 4% del fatturato mondiale.
Eppure lo staff irlandese incaricato è passato da 27 persone del 2017 a 140 del 2020, ma nonostante 127 casi aperti che includono nomi blasonati e nonostante le promesse del capo delle autorità, le multe comminate ai colossi del web ammontano a 0.
Le multe che arrivano per motivi strani
Ruoli e processi ben definiti dal GDPR che regolamenta la complessità di operazioni e procedimenti di tutti gli ambiti che riguardano la privacy e in particolare il trattamento dei dati.
Spesso però si verificano situazioni impreviste, errori banali e sviste clamorose. Tra i 7 casi più particolari di multe per violazioni del GDPR individuate da Wired, non ci sono protagonisti illustri, ma tante curiosità:
La scuola zelante polacca
A Danzica per verificare il pagamento della retta, una scuola ha installato un lettore biometrico di impronte digitali degli alunni all’entrata della mensa.
Con il consenso scritto dei genitori, tutti i bambini avevano accesso all’area pranzo in questo modo. Su 680 bambini, ben 676 hanno aderito a questa iniziativa, mentre i restanti 4 attendevano la fine della coda per comunicare il numero di contratto o mostrare la tessera elettronica.
Multa di 4.400€ per “diversificazione ingiusta e iniqua” e il trattamento biometrico è stato giudicato “sprovvisto di base legali, sproporzionato e non essenziale”.
Il farmacista inglese negligente
Una farmacia di Londra conservava 500.000 documenti sanitari in un cassonetto senza chiavi all’aperto.
Documenti con nomi, cognomi, date di nascita e indirizzo datati fra giugno 2016 e 2018.
Il direttore dell’ICO ha multato la farmacia di 315.000€ considerando solo il periodo con GDPR in vigore e ordinando la messa a punto corretta in massimo tre mesi.
Il partito ungherese violato
Su segnalazione di un cittadino, l’ente di controllo ungherese ha multato il partito ungherese Democratic Coalition di 35.000€ per aver subito una violazione del database che ha portato alla pubblicazione di informazioni sensibili su un forum online di dati sensibili.
Il partito era stato pure informato dagli hacker, ma non ha mai notificato la violazione alle autorità e ai 6.000 soggetti coinvolti.
L’azienda spiona rumena
Occhi indiscreti non autorizzati da parte di un’azienda rumena che filmava attraverso dispositivi elettronici in uffici, spogliatoi e mensa gli ignari lavoratori.
Nessun motivo che giustificasse questa operazione, così l’Autorità di Controllo ha inflitto una multa di 5.000€ all’azienda navale rumena.
Le statistiche invadenti cipriote
A Cipro tre aziende (aeroportuale, turistica e di vendita di biglietti aerei) hanno creato un tool per classificare le assenze per malattia degli impiegati chiamato Bradford Factor che moltiplicava il numero totale di giorni di assenza per il numero di permessi richiesti al quadrato in un dato periodo.
L’autorità ha stabilito che gli interessi dei datori di lavoro, pur riconoscendo loro il diritto di controllare la frequenza delle assenze e la validità dei certificati di malattia, non prevalevano sui diritti e le libertà dei dipendenti comminando 82.000 € di multa complessivi.
La vittima di un furto diventa colpevole di reato in Danimarca
Al peggio non c’è mai fine avrà pensato il dipendente comunale di Hørsholm.
Il pc che gli hanno rubato in macchina era il terminale utilizzato al lavoro, lo stesso computer che conteneva informazioni su 1600 lavoratori dell’amministrazione locale.
L’agenzia danese per la protezione dei dati ha chiesto una multa di 6.700 € al comune di Hørsholm.
Il call center troppo persuasivo
La pazienza è la virtù dei forti e la perseveranza è una dote encomiabile, ma a volte queste due caratteristiche possono rappresentare combustibile e comburente per un incendio fortuito.
In Lettonia il direttore dell’ispettorato per i dati ha multato per 7.000€ il retailer di un ecommerce per aver continuato a chiamare un ex cliente che aveva più volte espresso il desiderio di essere cancellato dal database.
