Sottovalutata, ci si accorge dell’importanza della privacy quando avviene qualcosa di irregolare.

Abituati a lavorare con i computer, diamo spesso per assodati molti comportamenti senza in realtà porsi il problema se in regola con il GDPR (Regolamento Generale sulla Protezione dei Dati).

Vi è mai capitato, ad esempio, di ricevere una mail da parte di un conoscente, o un’azienda conosciuta, con parecchi indirizzi in “CN” visibili? Oppure…è capitato di inviare una mail ad un soggetto diverso dal reale destinatario solo perchè i nomi si assomigliano o in rubrica sono vicini?

In questi casi si configura un reato? Se si, quanto grave è?
Il GDPR ha dato una svolta importante per la tutela della privacy di tutti i soggetti, fisici e giuridici. Ora le aziende fanno sempre più attenzione nella gestione dei dati, particolari (sensibili) o meno. I dati personali ed i relativi trattamenti sono classificati. Viene fatta un’analisi dei rischi legati alla propria attività, una valutazione d'impatto sulla protezione dei dati, viene redatto un registro dei trattamenti e, cosa molto importante, vengono stilate le procedure per la violazione dei dati personali (Data Breach).

Mi soffermo su questo punto, il Data Breach… cos’è? E’ una violazione dei dati personali. Il Garante per la protezione dei dati personali (GPDP) spiega:

“la VIOLAZIONE DEI DATI PERSONALI (DATA BREACH) è una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.”

Dati personali sono anche gli indirizzi mail evidenti in “CN” o il testo di una mail inoltrata alla persona sbagliata. In entrambi i casi se ne configura una divulgazione non autorizzata.

Il comportamento del titolare del trattamento (o del responsabile) dipende dalla tipologia di dati divulgati erroneamente. Primo passo è comprendere la gravità del fatto. Se, ad esempio, il testo della mail inviata per errore contiene dati sensibili, come bancari o sanitari, vi può essere un danno alla reputazione e/o qualsiasi altro significativo svantaggio economico o sociale.

In questi casi il titolare del trattamento deve notiziare l’ufficio del Garante entro 72 ore.

E poi? Come si comporterà il Garante?

Cito fedelmente:

“il GPDP può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.”

Ho voluto iniziare con due esempi classici, ma la PRIVACY è intorno a noi in ogni istante, dai social alle chiacchiere al bar…

Il GDPR fornisce delle linee guida necessarie, ma la tutela della Privacy parte dai nostri comportamenti e dalla consapevolezza che ogni informazione che trattiamo, sia personale che altrui, è importante e va gestita con attenzione. Conoscere le norme e applicarle non è solo un dovere.

Quidquid discis, tibi discis (Tutto ciò che impari, lo impari per te stesso)