22 NOVEMBRE
GENERAL DATA PROTECTION REGULATION (GDPR): NEL 2024 TORNA IN AUGE LA PROTEZIONE DEI DATI PERSONALI
MANAGEMENT CONSULTING
5 MIN READ
Il 2 Novembre 2024 il Garante per la Protezione dei Dati Personali (di seguito, Garante o Autorità) ha obbligato un primario istituto bancario italiano a comunicare la violazione dei dati personali agli interessati coinvolti entro venti giorni dalla data di ricezione del provvedimento.
L’inizio di questi accessi indebiti risale a circa un anno fa e nel mese di Febbraio 2024 la Funzione Privacy della Banca, incaricata dei controlli di secondo livello in merito a potenziali anomalie negli accessi ai dati bancari da parte dei dipendenti rilevate dai sistemi di “alert” adottati, aveva analizzato le interrogazioni eseguite dal dipendente di filiale interessato sulla movimentazione della carta di credito di una cliente. Il sistema di alert aveva inoltre intercettato nello stesso periodo (Ottobre - Novembre 2023) altri potenziali accessi anomali su due ulteriori clienti e, sulla base dell’esito di tutte le verifiche condotte, la Banca ha ritenuto che il perimetro dei clienti effettivamente impattati dall’accertata anomala operatività effettuata dal dipendente coinvolto fosse di 9 persone fisiche; solo mesi dopo la Banca ha comunicato che il numero di individui coinvolti fosse non determinabile.
L’Autorità ha quindi ritenuto che, diversamente da quanto valutato dalla Banca, la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare (a titolo esemplificativo, la divulgazione di notizie riguardanti lo stato patrimoniale e il danno reputazionale).
Il provvedimento si è reso necessario poiché nelle prime comunicazioni, inviate dalla Banca al Garante, non era stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dai successivi articoli di stampa sia dai riscontri dalla stessa Banca forniti.
Ma perché il Garante si è mosso con un provvedimento così forte verso un primario istituto bancario?
Nel 2016 viene approvato il «General Data Protection Regulation» dell’Unione Europea (di seguito “GDPR”) che ha introdotto e rafforzato una serie di principi in materia di “privacy” e “data protection” rispetto ai quali le Aziende che trattano dati personali (c.d. titolari del trattamento) devono adeguare le proprie organizzazioni, processi e sistemi informatici.
Quanto definito dal GDPR non va a sostituire quanto già previsto dal quadro normativo nazionale (D.lgs. 196/03 e provvedimenti sia generali che specifici) ma lo va a completare ed integrare; il Garante italiano può emanare provvedimenti di recepimento, integrazione ed armonizzazione del GDPR nel quadro normativo nazionale ed associare alle sanzioni pecuniarie già identificate anche eventuali sanzioni aggiuntive (es. penali).
Nel caso specifico, l’Azienda titolare del trattamento deve comunicare all’Autorità violazioni di sicurezza (anche solo eventuali) che comportano la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati trattati (c.d. “data breach”) entro 72 ore dal momento in cui ne è venuta conoscenza. La violazione deve essere comunicata anche al soggetto interessato, se dalla violazione possa derivare un rischio elevato per i suoi diritti e la sua libertà.
Inoltre, considerando i principi introdotti dal GDPR, viene previsto il potenziamento del sistema di gestione documentale legata alla “data protection”, al fine di attestare la conformità dei trattamenti dei dati personali effettuati alla normativa europea; in particolare, vi è l’obbligo di tenere un registro delle attività di trattamento. Tale registro è un documento, in forma scritta o in formato elettronico, nel quale sono contenute informazioni riguardo ai trattamenti svolti dal titolare e, se richiesto dall’Autorità, deve essere messo a disposizione. Le informazioni più rilevanti di interesse per l’Autorità sono le finalità e modalità del trattamento dei dati personali, i soggetti a cui i dati personali vengono comunicati, le misure di sicurezza adottate per prevenire eventuali “data breach” e l’eventuale trasferimento dei dati verso altri Paesi.
In questo contesto, ad onor del vero, il Garante periodicamente fa sentire la propria voce tramite provvedimenti su temi che vanno oltre il singolo dato personale e, da ultimo, il 6 Giugno 2024 ha emanato il provvedimento volto ad aggiornare il documento di indirizzo relativo ai “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e del trattamento dei metadati”; in tale documento sancisce il rischio emergente che i programmi e servizi informatici per la gestione della posta elettronica possano raccogliere i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti conservando gli stessi in un arco temporale.
I metadati corrispondono alle informazioni registrate nei sistemi di gestione e smistate dalla posta elettronica nell’interazione che avviene quotidianamente; tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi mail del mittente e del destinatario, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio e gli allegati; inoltre, presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica e non vanno confusi con il corpo del messaggio.
L’Autorità intende fornire alle Aziende indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica. Il Garante ha affermato che il contenuto dei messaggi di posta elettronica riguarda forme di corrispondenza assistite da garanzie di segretezza tutelate - anche costituzionalmente - che proteggono il nucleo essenziale della dignità della persona e il pieno sviluppo della sua personalità nelle formazioni sociali. Anche nel contesto lavorativo pubblico e privato sussiste una legittima aspettativa di riservatezza in relazione ai messaggi oggetto di corrispondenza; il datore di lavoro deve verificare la sussistenza di un idoneo presupposto di liceità in riferimento agli strumenti tecnologici nel contesto lavorativo.
Ulteriore punto di osservazione da parte del Garante è il principio di responsabilizzazione per il quale spetta alle Aziende valutare se i trattamenti dei dati personali (inclusi i metadati) che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e quindi rendano necessaria una preventiva valutazione di impatto sulla protezione dei dati personali; infine, le tempistiche di conservazione del dato restano centrali ed il Garante sancisce che i metadati devono essere conservati in un tempo proporzionale alle finalità del trattamento.
A cura della Divisione Management Consulting di Consilia Business Management
BACK TO TOP
HEADQUARTER
Sede legale: Via Garofalo, 4
20133, Milano (MI)
Sede operativa: Corso Europa, 13
20122, Milano (MI)
info@consiliabm.com
SOCIAL MEDIA