Manuele Martinez
Questo articolo esplora i 6 motivi principali per cui le PMI vengono multate ai sensi del GDPR e come puoi impedire alla tua organizzazione di ricevere sanzioni simili. Spiegherà i motivi di ogni multa, seguiti da uno studio di caso per illustrarli. Quindi suggerirà modi per evitare di commettere gli stessi errori e i punti chiave da assimilare.
Sebbene esistano delle sanzioni, è importante notare anche che si applica il principio di proporzionalità, il quale afferma che finché le PMI hanno cercato di conformarsi al GDPR, le autorità di regolamentazione ne terranno conto quando valuteranno le sanzioni che infligge. Se le PMI dimostrano ignoranza nei confronti del GDPR, è probabile che le sanzioni siano più severe.
Ricordate tuttavia che la non conformità è più di una semplice multa, poiché ci sono costi aggiuntivi che si sommano. Sono sotto forma di spese legali, costi di pubbliche relazioni e danni alla reputazione che possono tutti contribuire al panorama generale della non conformità.
Motivo 1: Le organizzazioni non seguono i principi per l'elaborazione dei dati (ad esempio inviando e-mail indesiderate)
Le PMI sono passibili di multe se non rispettano i principi per l'elaborazione dei dati. Ciò si traduce in e-mail indesiderate e marketing diretto ai clienti, in quanto dimostra un atteggiamento irresponsabile nei confronti dei dati personali e dei diritti degli interessati , che va contro il principio di elaborazione dei dati in modo lecito, corretto e trasparente (vedere l'articolo 5(1)(a) GDPR ).
Caso di studio
Tax Returned Limited, con meno di 15 dipendenti, è stata multata di 200.000 sterline per aver inviato milioni di messaggi di testo di marketing indesiderati e, altrettanto, Rancom Security Limited è stata multata di 125.000 euro per aver inviato chiamate di marketing indesiderate.
Punti chiave
- Per inviare email di marketing diretto è necessario solo il consenso esplicito.
- Le caselle preselezionate non sono sufficienti per dimostrare la conformità della tua organizzazione al GDPR.
Motivo 2: Base giuridica insufficiente per il trattamento dei dati
Un altro motivo comune per cui vengono comminate multe è dovuto alla mancanza di una base giuridica per l'elaborazione dei dati, il che non sorprende poiché le multe più elevate del GDPR fino ad oggi sono state associate a questo articolo (vedere l'articolo 6 del GDPR ). Questi 6 motivi per l'elaborazione legittima sono:
(a) Consenso
(b) Contratto
(c) Obbligo legale
(d) Interessi vitali
(e) Compito pubblico
(f) Interessi legittimi
Esse legittimano l'uso, il trasferimento e l'archiviazione dei dati personali, la cui mancata osservanza comporterebbe che il titolare del trattamento stia trattando i dati senza una base giuridica.
Caso di studio
Alterna Operador Integral SL (Flip Energy) è stata multata di 50.000 € quando un cliente ha presentato un reclamo affermando che il suo fornitore di energia era passato a Flip Energy senza il suo consenso. Ciò viola l'articolo 6 in quanto i dati trasferiti erano privi di una base giuridica, come il consenso o un interesse legittimo.
Possiamo anche imparare dalla multa più grande finora: Francia contro Google Inc. Nel caso di Google, sebbene il consenso sia stato ottenuto, non è stato ottenuto legittimamente per due motivi: il consenso non è stato informato e non era specifico per le finalità del trattamento. Pertanto, il consenso può essere informato solo se l'utente è consapevole della misura in cui i suoi dati saranno utilizzati in annunci personalizzati e altri materiali di marketing. La specificità deve essere soddisfatta anche se gli utenti accettano per ogni finalità che i loro dati vengano utilizzati separatamente. Google aveva invece utilizzato un esercizio one box fits all in base al quale una spunta in una casella significava che l'utente avrebbe accettato tutte le forme di trattamento, e questo è stato ritenuto illecito poiché la rete era troppo ampia.
Punti chiave
- La tua organizzazione dovrebbe informare la tua clientela e i tuoi utenti della misura in cui potresti acquisire i loro dati personali.
- È inoltre fondamentale specificare le finalità per cui verranno trattati i dati dell'utente e all'utente deve essere chiesto di acconsentire a ciascuna di esse separatamente e individualmente.
- Non è quindi possibile obbligare gli utenti a spuntare una casella che dia il loro consenso completo a tutte le finalità per cui i loro dati verranno trattati.
Motivo 3: Violazioni dei dati
Problemi di archiviazione di troppi dati e di non sapere esattamente dove sono archiviati possono rendere costose le violazioni dei dati. È fondamentale che le PMI siano consapevoli dei meccanismi disponibili che possono aiutare a prevenire le violazioni dei dati o, come minimo, a controllarle.
Considerato che attualmente, a causa del Covid-19, molti lavoratori lavorano da remoto, è sempre più cruciale prevenire violazioni dei dati tramite l'aggiunta di destinatari di posta elettronica errati e dipendenti vittime di e-mail di phishing. Pertanto, è richiesto un ulteriore livello di protezione dalla tua organizzazione sotto forma di istruzione e migliori comportamenti aziendali per ridurre ed evitare il rischio di violazioni dei dati.
Metodi pratici per evitare violazioni dei dati per la tua organizzazione sono condurre una formazione sulla consapevolezza, come l'invio di simulazioni di e-mail di phishing e la verifica se i dipendenti riescono a distinguerle dalle e-mail legittime. La formazione dovrebbe essere impartita anche nell'area della protezione delle password e su come i dipendenti possono adottare misure per mantenere i dati dei clienti sicuri e protetti.
Caso di studio
Secondo un rapporto condotto da Verizon , il 28% delle violazioni dei dati nel 2020 ha coinvolto PMI, ovvero quasi un terzo di tutte le violazioni dei dati. Il 45% è stato causato da hacking e il 22% da errori interni.
Punti chiave
- Assicuratevi che la vostra organizzazione sappia dove si trovano i vostri dati mappandoli.
- In questo modo, puoi controllare meglio chi ha accesso a quale tipo di dati e se sono in atto misure di crittografia o di sicurezza per i dati personali o considerati sensibili.
- Avere questi controlli può quanto meno impedire l'effetto aggravante delle violazioni dei dati.
Motivo 4: Conservare i dati personali per un periodo più lungo del necessario e non rispettare le regole di minimizzazione dei dati
Un altro motivo frequente per cui vengono comminate multe è legato al concetto di minimizzazione dei dati . Le organizzazioni non dovrebbero conservare i dati più a lungo del necessario (articolo 5(1)(c) GDPR) e dovrebbero ridurre al minimo la quantità di dati conservati (articolo 5(1)(d) GDPR) per assicurarsi che i problemi di sicurezza dei dati non siano ulteriormente aggravati da grandi quantità di dati non ordinati. La cosa peggiore per la tua organizzazione è avere grandi quantità di dati e non sapere perché li hai e dove li archivi, così che una violazione dei dati può diventare catastrofica. Come nota il DLA Piper Report , questo può essere ulteriormente aggravato dai dati legacy (dati raccolti prima dell'entrata in vigore del GDPR), il che significa che molti di essi non sono strutturati e non seguono le procedure di archiviazione fornite dal GDPR. Pertanto, tali dati devono essere prima mappati prima che la tua organizzazione possa prendere in considerazione tecniche di minimizzazione dei dati. La piattaforma Privasee è una soluzione di autoconformità automatizzata che può aiutarti a completare la mappatura dei dati in pochi minuti!
Come organizzazione, devi anche avere in atto un meccanismo per eliminare i dati, elettronici o di altro tipo, perché non ne hai più bisogno o perché ti è stato chiesto di farlo. L'eliminazione dei dati fisici può essere eseguita facilmente con un distruggidocumenti, ma quando rimuovi i dati elettronici, la tua organizzazione deve anche fare attenzione a rimuovere qualsiasi backup che potresti aver effettuato in passato. La tua organizzazione deve assicurarsi che i dati eliminati non siano più utilizzabili in nessuna forma o modo in caso di violazione dei dati, il che implica assicurarsi che i dati non rimangano semplicemente nel cestino dove possono essere facilmente recuperati.
Consulta il nostro articolo su come un'azienda è stata multata di £ 13.000 per non aver eliminato le vecchie caselle di posta elettronica dei dipendenti .
L' ICO raccomanda:
1. Installare un software di cancellazione che sovrascriva i dati oppure;
2. Assumere esperti IT.
Caso di studio
Nel 2020, SPARTOO SAS è stata multata di 250.000 € ai sensi di vari articoli, tra cui l'articolo 5(1)(c) del GDPR, per aver registrato in modo permanente tutte le conversazioni tra dipendenti e clienti, in quanto si trattava di una quantità sproporzionata di dati necessari per i suoi scopi, che erano la formazione del personale. La registrazione massiccia delle telefonate ha anche comportato che i dati bancari dei clienti forniti al telefono venissero registrati e archiviati, il che, in quanto dati sensibili, richiede ulteriori misure di sicurezza come la crittografia, che non erano in atto in questo caso.
Punti chiave
- Utilizzando un software come la piattaforma Privasee potrai scoprire esattamente dove si trovano all'interno della tua organizzazione i dati legacy e di altro tipo, nonché la quantità di dati in tuo possesso.
- Per soddisfare l'articolo 5 del GDPR è fondamentale identificare dove è possibile ridurre al minimo la quantità di dati in tuo possesso o dove i dati sono stati conservati per un periodo più lungo del necessario per i tuoi scopi.
- La mappatura dei dati può aiutarti a visualizzare la quantità di dati che registri, eliminando così il rischio di registrarne più di quanto necessario per soddisfare i tuoi scopi all'interno dell'organizzazione.
Motivo 5: Mancanza di rispetto dei diritti dell'interessato
Partendo da quanto sopra, la vostra organizzazione deve essere in grado di comprendere in cosa consistono i diritti degli interessati e quali azioni sono richieste quando gli interessati presentano richieste riguardanti i propri dati, come una richiesta di accesso al soggetto interessato (SAR).
Caso di studio
Un'azienda è stata multata di 15.000 sterline per non aver risposto in modo esaustivo a una richiesta di accesso ai dati personali e per aver successivamente ignorato un avviso di controllo.
Punti chiave
- Assicurati che la tua organizzazione sia consapevole e informata sulle modalità di gestione delle SAR
- È necessario comprendere che la propria organizzazione deve rispondere entro un mese dal ricevimento della SAR e, in caso contrario, fornire una scusa valida per il ritardo.
- Entro questo mese, dovrete anche accertarvi che l'identità della persona che effettua la SAR sia legittima e non, ad esempio, quella di un truffatore che utilizza l'identità di qualcun altro per accedere ai suoi dati personali.
- È inoltre necessario identificare dove si trovano i dati personali richiesti ed essere responsabili dell'esecuzione di un'adeguata analisi di tutti i database per localizzarli in modo efficiente e proporzionato.
Motivo 6: Trasferimento illegale di dati
Una multa salata può essere inflitta anche se la vostra organizzazione trasferisce dati in modo illecito a terzi al di fuori dei territori SEE o all'interno dei paesi SEE, ma senza adottare misure di salvaguardia adeguate.
Sebbene non siano state ancora comminate sanzioni per questo, in quanto c'è un periodo di transizione di 4 mesi per le aziende per adattarsi al nuovo clima della Brexit, sarebbe saggio per la tua organizzazione mappare correttamente i tuoi flussi di dati in modo da essere a conoscenza di tutte le misure di sicurezza che sarebbero richieste. Inoltre, comprendere questo consentirebbe alla tua organizzazione di nominare un rappresentante UE competente. Consulta il nostro articolo Come la Brexit influisce sulla protezione dei dati della tua organizzazione per maggiori informazioni.
Disclaimer
Privasee non ritiene che l'articolo sopra riportato costituisca in alcun modo consulenza legale.
Ulteriori informazioni sono disponibili sul sito web dell'ICO
Fonti e altri articoli
.png)
%20-%20what%20is%20it%2C%20explained..png)
.png)
