L’impatto sull’insurtech del GDPR

Secondo Capgemini Italia i consumatori affidano il proprio denaro e i propri dati alle assicurazioni e alle banche con una fiducia basata sull’errata convinzione che gli istituti siano sicuri al 100%. Sebbene le banche si stiano evolvendo per contrastare le sofisticate minacce lanciate dai cybercriminali, la consapevolezza delle minacce e della complessità delle sfide da parte del pubblico rimane limitata. Banche e assicurazioni sono, agli occhi dei più, delle fortezze. Ma non è proprio così. L’introduzione del regolamento GDPR rappresenta un’eccezionale opportunità per banche e assicurazioni di trasformazione del business per diventare quelle fortezze digitali che i consumatori già credono che siano.

Abbiamo chiesto all’avvocato Gianluigi Fioriglio dello Studio Legale Associato Fioriglio – Croari esperto di diritto dell’informatica e delle nuove tecnologie, di spiegarci cosa sia cambiato dopo il 20 maggio 2019.

A tre anni dall’entrata in vigore del Regolamento Europeo n. 679/2016 sulla protezione dei dati delle persone fisiche – il cosiddetto GDPR dall’inglese “General Data Protection Regulation”, può dirsi oggi veramente raggiunta la sua piena applicazione.

Lo scorso anno, in particolare il 25 maggio del 2018, il GDPR è diventato direttamente applicabile per tutti i Paesi dell’Unione Europea, tuttavia, in quel momento, mancavano ancora alcuni importanti tasselli affinché le prescrizioni in esso contenute potessero diventare concretamente operative ed entrare nelle prassi aziendali.

Così, mentre le complesse procedure di adeguamento venivano avviate, tanto dalle aziende quanto dalle Autorità competenti, il d.lgs. 101/2018, che ha riformato il d.lgs. 196/2003, ovvero il Codice della Privacy, coordinandolo con le nuove regole e con le nuove procedure, ha previsto un termine di otto mesi a partire dalla sua entrata in vigore – decorso appunto lo scorso 19 maggio – durante il quale l’Autorità Garante avrebbe dovuto adottare un atteggiamento di “clemenza” nell’applicazione delle eventuali sanzioni comminate per accertate violazioni della normativa. I controlli e le ispezioni ai sensi del GDPR sono infatti già operativi da mesi: l’unica “grazia” concessa fino ai giorni scorsi consisteva in un minor rigore nell’applicazione delle sanzioni amministrative.

Un elemento fondamentale per garantire l’efficace applicazione delle disposizioni del GDPR è il rafforzamento e l’ampliamento dei poteri dell’Autorità Garante per la protezione dei dati personali, in particolare, dei poteri ispettivi e di controllo del rispetto della normativa. Il Garante può infatti richiedere informazioni e documenti, effettuare accessi ai locali, alle banche dati e a tutti gli strumenti con i quali vengono effettuate operazioni di trattamento di dati personali, oltre ad acquisire dati e informazioni autonomamente online e verificare direttamente possibili violazioni della normativa – ad esempio, attraverso l’esame diretto dei siti web.

Il braccio operativo del Garante nello svolgimento dell’attività di indagine è il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, il quale si occupa generalmente di effettuare le ispezioni. Da un lato, infatti, soltanto in casi particolari (di norma, quelli più critici e che richiedono competenze specifiche) i funzionari dell’Autorità Garante partecipano direttamente alle ispezioni, mentre, la Guardia di Finanza può avviare delle indagini sul rispetto della normativa in materia di protezione dei dati personali anche nell’ambito dello svolgimento di accertamenti di altra natura (come, tipicamente, quelli tributari).

L’impostazione del Regolamento Europeo è in chiave prevalentemente preventiva. In quest’ottica va considerato anche il forte innalzamento del valore delle sanzioni amministrative pecuniarie che possono ora essere applicate in caso di violazioni della normativa e la specificazione, contenuta nell’art. 83 de GDPR, che le misure correttive devono sempre essere effettive, proporzionate e dissuasive.

Il Regolamento al riguardo prevede due diversi scaglioni: a titolo esemplificativo, sanzioni fino a 10 milioni di Euro (o fino al 2% del fatturato) possono essere comminate in caso di violazione degli obblighi del titolare o del responsabile del trattamento, tra cui il mancato svolgimento della formazione dei dipendenti in merito alle attività di trattamento dei dati personali; mentre sanzioni fino a 20 milioni di Euro (o fino al 4% del fatturato) possono conseguire alla violazione dei principi di base del trattamento o dei diritti degli interessati. Inoltre, si tenga presente che il Codice della Privacy (d.lgs. n. 196/2003), come modificato nel settembre scorso (dal d.lgs. n. 101/2018), ha introdotto ulteriori illeciti amministrativi – nello specifico, cinquanta ulteriori fattispecie – sanzionati sempre ai sensi dell’art. 83 del GDPR.

A ciò, si deve ancora aggiungere la possibile configurazione di ipotesi di reato, non previste dal Regolamento Europeo, ma disciplinate direttamente dal Codice della Privacy, per le quali la pena prevista arriva fino alla reclusione personale.

È importante al riguardo tenere presente che, a differenza del previgente Codice della Privacy, il Regolamento Europeo indica soltanto il valore massimo delle sanzioni pecuniarie (senza prevedere un limite minimo), rimettendo di fatto all’Autorità interna la determinazione della misura concretamente applicata. Questo è un fattore importante perché dovrebbe permettere all’Autorità di intervenire in modo (più) efficace nei confronti delle grandi imprese multinazionali – che tendevano, con la precedente disciplina, a considerare le eventuali sanzioni conseguenti a violazioni della normativa privacy quale rischio di impresa – e con provvedimenti più circostanziati nei confronti di realtà imprenditoriali medio-piccole.

Inoltre, le sanzioni pecuniarie sono solo uno – anche se di sicuro il più pregnante – degli strumenti di cui il Garante dispone per far fronte a riscontrate violazioni della normativa: misure ulteriori, oltre all’ammonimento, possono essere, ad esempio, il blocco o il divieto di effettuare determinati trattamenti ritenuti violativi dei principi o dei diritti degli interessati oppure imporre delle limitazioni o delle rettifiche relativamente ai dati oggetto di trattamento.

I criteri cui il Garante deve attenersi per determinare eventuali provvedimenti in caso di violazioni accertate sono elencati dall’art. 83 del GDPR, che raccomanda la valutazione di tutte le circostanze rilevanti nel singolo caso, in forza di un approccio concreto e fondato su elementi oggettivi e riscontrabili, avendo come obiettivo tanto la punizione della condotta scorretta quanto il ripristino della conformità alla normativa.

In questo rinnovato contesto sanzionatorio diventa, peraltro, fondamentale un approccio collaborativo con l’Autorità, sia in fase di ispezioni che di richiesta di informazioni: si tenga presente, infatti, che la dichiarazione di notizie false o la produzione di documenti falsi, così come provocare interruzioni o turbamenti durante lo svolgimento degli accertamenti configura una fattispecie di reato punita con la reclusione fino a tre anni.

Le attività ispettive del Garante vengono programmate periodicamente e preventivamente, con cadenza generalmente semestrale. Per il periodo gennaio – giugno 2019, ad esempio, il Garante ha deliberato con apposito provvedimento (del 14 febbraio 2019) lo svolgimento di un centinaio di accertamenti, individuando per settori di competenza i trattamenti di dati personali che potranno esserne oggetto: tra questi rientrano quelli effettuati per attività di marketing e per attività di profilazione nell’ambito delle carte di fidelizzazione, così come quelli svolti dagli Istituti bancari, con particolare riferimento all’anagrafe dei conti, oltre a grandi banche dati come quelle gestite dall’ISTAT e per il rilascio dell’identità federata (SPID).

Non va dimenticato, però, che i controlli del Garante possono essere avviati anche al di fuori e in aggiunta al piano periodico di ispezioni. Tali procedimenti potrebbero infatti essere svolti nell’ambito di un accertamento richiesto da Autorità garanti di altri Stati membri (in caso di operazioni congiunte, come previste dall’art. 62 del GDPR) oppure conseguire alla presentazione di reclami da parte degli interessati o, ancora, di segnalazioni, che sono concepite proprio come strumenti diretti a sollecitare un controllo da parte del Garante in merito ad attività di trattamento di dati personali e che, in casi gravi e in presenza di rischi particolarmente elevati, potrebbero addirittura essere presentate in forma anonima.

Il Garante non è tenuto ad avvisare i soggetti individuati del prossimo svolgimento degli accertamenti – per lo più, come abbiamo visto, delegati al Nucleo speciale della Guardia di Finanza –, tuttavia spesso il titolare o il responsabile individuati ricevono un preavviso a mezzo PEC nei giorni precedenti l’ispezione (in genere, il giorno prima dello svolgimento del controllo).

Ad ogni modo, in occasione dell’accesso presso la sede dell’azienda, viene notificato un documento contenente la richiesta di informazioni del Garante, diretta alla valutazione del rispetto o meno delle prescrizioni di legge in materia di trattamento dei dati personali e di protezione dei diritti degli interessati.

L’attività ispettiva può poi consistere, concretamente, in una richiesta di informazioni, nello svolgimento di controlli e l’acquisizione di copia di documenti, sia cartacei sia informatici, di banche dati e di archivi: oggetto dei controlli, di regola, sono i presupposti di liceità dei trattamenti, le condizioni con cui viene raccolto il consenso degli interessati, la comunicazione delle informazioni sul trattamento dei dati (ai sensi dell’art. 13 del GDPR) ed i termini di conservazione dei dati.

Durante i controlli sarà sempre possibile farsi assistere da consulenti (e dal Responsabile della protezione dei dati o DPO, se designato) e tutte le operazioni svolte verranno verbalizzate in contraddittorio tra le parti.

Cercare di dare risposte chiare e precise agli accertatori e farsi rilasciare una copia del verbale sono i due presupposti per poter valutare anche possibili azioni successive.

Conclusa la fase di accertamento, il Garante può riconoscere la compliance dell’azienda in relazione alla normativa vigente e concludere il procedimento con una richiesta di archiviazione. Nel caso opposto, in cui siano riscontrate delle violazioni (ai sensi dell’art. 83 del GDPR e dell’art. 166 del Codice della Privacy), il Garante notifica il proprio provvedimento – e quindi l’eventuale ordinanza-ingiunzione di pagamento della sanzione – al trasgressore.

Quest’ultimo, entro il termine di 30 giorni, potrà presentare un ricorso all’Autorità giudiziaria contro tale provvedimento oppure decidere di pagare la sanzione, beneficiando di una riduzione pari alla metà dell’importo della sanzione comminata dal Garante.

Riassunti così brevemente i principali punti e le principali fasi della procedura, si può già capire che una buona organizzazione interna sarà il primo presupposto per essere in grado di affrontare in maniera efficiente un controllo del Garante, anche qualora questo dovesse avvenire a sorpresa e senza preavviso.

Oltre ad aver effettivamente applicato i precetti di tutela e sicurezza dei dati personali imposti dal GDPR, sarà infatti essenziale aver previamente individuato dei soggetti (che siano dipendenti o consulenti esterni o il DPO) che siano in grado di illustrare le misure tecnico organizzative adottate dall’azienda e di dimostrarne la ragionevolezza rispetto al concreto contesto aziendale al fine di provare il rispetto del principio di accountability e, partendo da questo, di tutti i precetti specifici previsti dal GDPR.

Farsi trovare pronti in caso di controlli del Garante non è quindi di certo impossibile, ma richiede un’attività di analisi e di inserimento nei flussi e nel contesto aziendale consapevole e competente che non può limitarsi, come avveniva in passato, alla mera adozione di una documentazione generale e astratta, da chiudere in archivio.

Si ringrazia l’Avv. Fioriglio per la redazione del presente articolo.

Contatta l’Avv. Fioriglio su Linkedin

Lo Studio Legale Associato Fioriglio – Croari opera principalmente nel settore dell’Information Technology, del diritto del lavoro, della proprietà intellettuale e industriale nonché della fashion industry, ed è in grado di rispondere alle esigenze specifiche delle imprese che operano in tali settori oppure che hanno interessi nei medesimi campi: e oggi praticamente ogni azienda deve confrontarsi con le sfide del web e della tecnologia, ma tali sfide possono essere vinte solo affidandosi a professionisti realmente esperti nel settore.

Visita il sito: www.fclex.it

Lo Studio cura la rivista telematica dirittodellinformatica.it , dedicata esclusivamente al diritto dell’informatica, all’informatica giuridica e al diritto delle nuove tecnologie.

Visita il sito: www.dirittodellinformatica.it