Conformità al GDPR: l’importanza di saper affrontare controlli e visite ispettive

È ormai decorso il periodo di “tolleranza” previsto dal D.Lgs. 101/2018[1] che tutti gli Stati europei hanno osservato per consentire alle imprese di adeguarsi al GDPR, e le autorità non hanno tardato ad effettuare verifiche e dei controlli (audit, ispezioni, indagini) nonché ad irrogare le prime sanzioni amministrative.

Sono numerosi i casi di violazione del GDPR giunti alla nostra attenzione nell’ultimo anno: basti pensare alla recente multa comminata da ICO, l’autorità del Regno Unito per la protezione dei dati, alla compagnia aerea British Airways per 183milioni di sterline (204 milioni di euro) per violazione del GDPR, multa che segue l’episodio di data breach che ha colpito l’azienda a settembre 2018.

Ed è proprio in tale contesto che arriva dal CNIL, l’autorità di controllo sulla protezione dei dati personali francese, un nuovo provvedimento sanzionatorio (délibération del 28 maggio 2019 n° SAN-2019-005): una sanzione di 400.000 euro ad una società di servizi immobiliari francese, Sergic SAS, per aver violato le disposizioni di cui agli artt. 32 e 5 par 1 lett. e) del GDPR che impongono rispettivamente l’adozione di adeguate misure di sicurezza e la conservazione dei dati personali per periodi di tempo non superiori a quanto necessario per il conseguimento delle finalità per cui i dati sono trattati.

Ecco cos’è accaduto.

Attraverso il proprio sito, Sergic consentiva agli utenti di candidarsi a delle selezioni per ottenere immobili in locazione. A tal fine è richiesto di fornire dati personali propri e dei componenti della propria famiglia, tramite compilazione di form e upload di documenti necessari alla preparazione del fascicolo personale.

Tra questi documenti, rientrano carte di identità, certificati attestanti lo stato di salute, certificati di morte, di matrimonio e sentenze di divorzio, documenti reddituali, fiscali ed estratti conto, ricevute di affitto, certificati di registrazione della previdenza sociale e documenti relativi alla percezione di assegni familiari o di pensioni di invalidità.

L’indagine svolta dal CNIL è stata resa possibile grazie ad una segnalazione fatta da un utente da cui è emerso che i fascicoli personali (e relativi dati e documenti) erano liberamente accessibili da chiunque modificando il numero contenuto nella parte finale dell’indirizzo URL, rientrando tale difetto di progettazione nell’alveo della mancata adozione di misure di sicurezza adeguate ex art. 32 GDPR.

La seconda violazione riguarda il fatto che la Società abbia conservato tutti i dati dei candidati ai quali non era stata concessa la locazione degli immobili, rilevando che, in conformità al principio di minimizzazione del trattamento, il periodo di conservazione dei dati non deve essere superiore a quanto strettamente necessario al perseguimento delle finalità per cui gli stessi sono stati raccolti e trattati. I dati in questione, quindi, avrebbero dovuto essere cancellati immediatamente dopo la decisione di non concedere la locazione ai candidati “scartati”.

Saper affrontare controlli e visite ispettive è fondamentale nell’ottica dell’accountability, principio cardine del GDPR, secondo cui il Titolare del trattamento deve essere sempre in grado di dimostrare le scelte prese e le politiche interne adottate, in modo da arrivare “preparati” qualora fossero necessarie ispezioni da parte degli organi competenti.

 

[1] L’art. 22, comma 13 del D.Lgs. 101/2018 prevede che: “Per i primi otto mesi dalla data  di  entrata  in  vigore  del presente decreto, il Garante per la  protezione  dei  dati  personali tiene conto, ai fini dell’applicazione delle sanzioni  amministrative e nei limiti in cui  risulti  compatibile  con  le  disposizioni  del Regolamento (UE) 2016/679, della fase  di  prima  applicazione  delle disposizioni sanzionatorie”.