Sanzioni per violazione della Privacy anche in periodo di pandemia

Nelle scorse settimane l’Autorità Garante italiana per la protezione dei dati personali ha sanzionato un’azienda ospedaliera e la società fornitrice per gravi violazioni alle disposizioni del GDPR e del Codice Privacy.

L’azienda ospedaliera e la società fornitrice che gestiva la piattaforma di iscrizione per partecipare ad una selezione pubblica si sono rese colpevoli di illecita diffusione di dati personali, tra cui quelli relativi allo stato di salute, riguardanti i candidati ad un concorso pubblico. Il Garante, in particolare, ha sanzionato:

• la mancata gestione dei rapporti con le terze parti;
• il mancato rispetto dei tempi conservazione;
• l’omessa informativa agli interessati;
• l’omissione nell’applicazione di misure di sicurezza adeguate>>.

Sul tema è intervenuta Greta Gioia, consulente per la protezione dei dati della divisione Privacy di Kirey Group, per chiarire alcuni aspetti del provvedimento e delineare quali siano le misure che le aziende devono adottare per non incorrere nel rischio di sanzioni.

Greta, innanzitutto, una curiosità di molte persone: l’Autorità Garante non si è fermata neanche nel periodo della pandemia?

<<No, anzi: sta proseguendo con la sua attività ispettiva per verificare la conformità di tutti i Titolari di trattamento (aziende, enti, organismi pubblici) alla normativa per tutelare i dati personali, considerati oggi un bene preziosissimo>>.

Spesso si sente parlare di questi termini e di misure di sicurezza da adottare. Ma le aziende si chiedono come possono concretamente gestire gli adempimenti previsti dal GDPR.

<<Per prima cosa, gli interessati devono essere informati del trattamento con un’apposita informativa redatta ai sensi dell’art. 13 GDPR. In secondo luogo, il Responsabile al trattamento dei dati deve essere designato tramite un apposito atto di nomina. L’atto di nomina non è solo un documento formale. Serve a contrattualizzare tutte le misure di sicurezza e le istruzioni che il Responsabile è tenuto a rispettare e per le quali si assume la responsabilità in caso di eventuali violazioni dovute a sue inadempienze e/o mancanze. Nel caso del provvedimento citato prima, la società fornitrice terza non era stata nominata ufficialmente come Responsabile al trattamento dei dati>>.

Quali sono gli elementi fondamentali che non possono mancare nell'atto di nomina?

<<Su questo tema la disciplina parla chiaro: l’atto di nomina deve sempre specificare l’oggetto del trattamento, la durata, la natura, la finalità, il tipo di dati personali trattati, le categorie di interessati, gli obblighi delle parti e i diritti del titolare>>.

Passiamo ora ad un altro punto sul quale spesso nascono dubbi. Fino a quando le aziende possono conservare i dati acquisiti?

<<In questo caso specifico il termine è la cessazione della fornitura del servizio>>.

Passiamo ai numeri. Come vengono quantificate le sanzioni?

<<Si tratta molto spesso di cifre importanti, che possono incidere in modo considerevole nel bilancio di una azienda. In questo caso, la sanzione stabilita ammonta a € 80.000,00 per il Titolare e € 60.000,00 per la società terza>>.

Quali sono allora le raccomandazioni che senti di fare alle aziende?

<<Quello che mi sento di dire alle aziende è di istituire un corretto modello organizzativo per incrementare la sicurezza dei dati aziendali e rispondere agli adempimenti della normativa vigente. Per farlo, è necessario affidarsi ad uno specialista che possa implementare un progetto di messa a norma e/o di consulenza conforme al GDPR e al Codice della Privacy>>.