Ha provocato un discreto rumore il Comunicato stampa di alcuni giorni
fa con il quale il Garante per la protezione dei dati personali
annunciava di aver sanzionato Eni Gas e Luce (Egl) per un complessivo
ammontare pari a 11,5 milioni di euro.
I
titoli delle due sanzioni riportate all’interno del Comunicato in questione, riguardano rispettivamente i trattamenti illeciti di dati personali
nell'ambito di attività di promozione commerciale (attraverso
attività di telemarketing) e attivazione di contratti non richiesti,
mediante uso dei dati dei clienti conferiti in altra sede.
E’
interessante condividere insieme alcune riflessioni riferite ai
Provvedimenti in oggetto.
In
primis, si può finalmente affermare – benché ovvio – che anche
l’Italia ha iniziato a muovere i suoi primi passi nel valzer delle
attività sanzionatorie in ambito privacy.
In
Europa sino al mese di dicembre 2019, il monte sanzionatorio già
complessivamente realizzato si aggirava intorno ai 400 milioni, con
un contributo di “appena” 50.000 euro di attività del Garante
italiano, con il famoso Provvedimento al portale Rousseau.
In
secondo luogo è interessante notare una delle prime applicazioni
concrete dei criteri introdotti dal GDPR per l’individuazione delle
sanzioni correlate alle violazioni. Queste ultime infatti,
riscontrate dal Nucleo Privacy della Guardia di Finanza, sono state
elaborate secondo i criteri indicati nel Regolamento Ue n. 679/2016
(GDPR), tra i quali figurano l'ampia platea dei soggetti coinvolti,
la pervasività delle condotte, la durata della violazione, le
condizioni economiche di Egl.
Non
si tratta di una vera e propria novità, ma rilevarli all’interno
di sanzioni di entità pari a quelle comminate alla Società Egl dona
tutto un nuovo sapore al senso dei criteri stessi. Non solo dunque il
tradizionale aspetto della numerosità dei trattamenti o della natura
degli stessi, più di frequente utilizzati con la previgente
normativa, ma anche criteri di pervasività (correlati all’impatto
che il comportamento sanzionato ha avuto sugli individui
interessati), la durata del comportamento e –fondamentale rispetto
al quantum- le condizioni economiche di Egl. Al contrario si potrebbe
ipotizzare che, come più volte già peraltro affermato dal Garante
anche rispetto alla sua precedente attività compiuta in vigenza del
primo Codice Privacy, di fronte a enti o società dai numeri più
modesti non ci si deve aspettare il pugno di ferro previsto dai
massimali milionari di cui all’art. 83 commi 4 e 5.
Da
ultimo è interessante notare che il Garante è voluto entrare nel
merito del tipico disallineamento esistente tra il CRM (Customer Relationship Management - spina dorsale
dell’apparato produttivo di ogni Società) e la gestione dei
consensi raccolti. In particolare viene notato dall’Autorità che
“gli episodi di temporaneo disallineamento del CRM e della black
list di EGL hanno avuto circoscritte e limitate conseguenze ma
configurano, in ogni caso, la violazione delle disposizioni di cui
all’art. 5, par. 2 del Regolamento, poiché la Società non è
stata in grado di assicurare e comprovare tempistiche e modalità di
aggiornamento dello stato dei consensi nel CRM e nella propria black
list; deve pertanto altresì prescriversi alla Società di realizzare
in tempi certi la definitiva implementazione dei prospettati
meccanismi volti a automatizzare i flussi di dati dal CRM alla black
list in uso presso la società”
Ciò
vuol dire, come gli addetti ai lavori già ben sanno, che il
principio di privacy by design di cui all’art. 25 diviene concreto
nella misura in cui sono stati regolarizzati anche e soprattutto i
flussi tecnico-informatici correlati ad un trattamento, non tanto le
tonnellate di carta dietro alle quali a vario titolo le Società
spesso si arroccano.
Nel
rilevare dunque un buon inizio in questi primi Provvedimenti,
sarebbero altresì auspicabili da parte dell’Autorità interventi
di indirizzo e supporto più numerosi e, perché no, anche più
profondi (ad esempio affiancamenti o training), nei confronti delle
PA o del privato (specie se infrastruttura critica) su temi come
questi, diversi da progetti più “alti” a livello formativo,
realizzati per esempio con i recenti cicli di incontri SMEdata.
Naturalmente non si sborsano 11 milioni di euro senza fiatare per cui Egl ha presentato ricorso, vedremo cosa succede.Andrea Puligheddu
Nota: l’obiettivo generale del Progetto SMEDATA consiste nel "Garantire l’effettiva applicazione del Regolamento Generale sulla Protezione dei Dati Personali attraverso la sensibilizzazione, la moltiplicazione della formazione e lo sviluppo sostenibile delle capacità per le PMI e le professioni legali".
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244351
- https://www.cwi.it/applicazioni-enterprise/crm
- https://smedata.eu/index.php/it/ ,
