Questa pagina del mio blog, nasce dopo aver letto l’articolo dell’Avvocato Natalia Jurisch, che in modo sarcastico ironizza su delle frasi che anche nell’ambito della mia attività di Audit presso piccole e medie imprese mi capita spesso di sentire, frasi che hanno più o meno tutte lo stesso tenore:
…alla fine un po’ di carta ce l’ho, sono già adeguato! Non ho molto tempo, se proprio dovessero venire a fare un controllo non sto proprio a zero, poi penseremo a difenderci, adesso i miei dipendenti hanno troppo lavoro per aggiungerne dell’altro, non ho il budget a disposizione, è assurdo che io debba occuparmi di privacy con tutte le cose che non vanno e in ultimo: prima di venire da noi, andranno da Google e Facebook
citazioni di alcuni titolari di piccole e medie imprese
Molte di queste aziende, si affidano a “professionisti” che stufi di perdere tempo a spiegare a chi non ti vuole sentire, rifilano pacchetti “all you can compliance GDPR“, che con ZERO lavoro o quasi da parte del titolare e del professionista della privacy, promettono la compliance normativa senza ovviamente prendersi alcun ruolo di responsabile e senza una straccio di assicurazione. Molto spesso si limitano a fornire una licenza di un software (valido in alcuni casi) che però deve essere compilato con cognizione di causa ma sopratutto, il cui il risultato d’analisi deve poi essere applicato al contesto aziendale.
L’imprenditore in questione, certo di aver fatto l’affare (nessun intervento da parte sua, pochissima spesa) si trova nella stessa fattispecie del Gonzo che negli anni 80 acquistava felice il suo videoregistratore in autostrada ad 1/10 del prezzo, per poi scoprire di aver comprato un mattone.
Il problema però è che le sanzioni previste dal Regolamento Europeo 679/2016 sono tali da mettere in ginocchio qualsiasi attività.
Avrà pensato la stessa cosa la Società Sergic Sas, una società di servizi immobiliari sanzionata per ben Euro 400.000,00 per aver violato le prescrizioni di cui all’articolo 32 e 5 par 1 lett. e) del GDPR che impongono l’obbligo di adottare idonee misure di sicurezza e limiti nella conservazione dei dati personali per il tempo strettamente necessario al trattamento per i quali sono stati forniti
L’ispezione è partita grazie alla segnalazione di un utente che ha denunciato un’irregolarità presente sul sito internet della società.
Successivamente alla segnalazione sono state accertate le violazioni circa il rispetto delle tempistiche di cancellazione, che hanno quindi determinato l’ammontare complessivo della sanzione.
E’ da sottolineare che la sanzione è stata erogata nonostante l’azienda avesse adottato un piano d’azione per il futuro tenuto conto del budget a disposizione, questo però non è bastato al CNIL che ha constato le violazioni sopra descritte.
RIASSUMENDO:
- Avere delle informative formalmente corrette non garantisce la “Compliance normativa al GDPR“
- La sicurezza logistica e informatica è necessaria e deve essere ben documentata anche nelle piccole realtà: è proprio nelle piccole aziende, dove le misure di sicurezza sono inferiori, che si consumano il maggior numero di reati informatici e dove la Cyber Security è fondamentale.
- Dal 25 maggio 2018 in tutta Europa si agisce secondo un solo regolamento, le attività d’indagine sono decuplicate, il rischio di sanzione non nasce solo da un’ispezione a campione, ma anche e sopratutto da segnalazioni ad-hoc da parte degli interessati (il reclamo al Garante è gratuito e di facile accesso)
Fonte: mmlex.it – Avvocato Natalia Jurisch ;