Dati personali: il “nuovo petrolio” delle aziende, ma è necessario innalzare il livello di attenzione nel loro trattamento.

Dati personali: il “nuovo petrolio” delle aziende, ma è necessario innalzare il livello di attenzione nel loro trattamento.

Polito Filomena

Versione PDF del documento

Già da qualche anno il Presidente dell’Autorità Garante della Privacy, Antonello Soro, ha lanciato l’allarme sull’utilizzo dei dati personali da parte dei colossi del Web. Secondo il Financial Times, dietro l’attività di brokeraggio delle informazioni personali c’è un’industria miliardaria che si muove nell’ombra e i  nostri dati personali hanno un costo e fanno la fortuna di chi li raccoglie. Soro, nell’occasione  di una relazione annuale alla Camera dei Deputati ha dichiarato che i colossi del Web sono diventati intermediari esclusivi tra produttori e consumatori. Le informazioni sulle abitudini dei consumatori che riescono a reperire i giganti del web, costituiscono infatti un “asset” fondamentale per la maggior parte delle aziende che operano a stretto contatto con il pubblico e i dati personali raccolti in rete fanno la fortuna delle società che li gestiscono, che assemblano un vero e proprio  “pacchetto di informazioni” pronto per essere venduto, dati che ormai sono considerati il “nuovo petrolio” delle imprese.

Dati come “il nuovo oro nero” , merce quindi preziosa, da trattare e proteggere bene sia per il loro indubbio valore intrinseco che per rispettare le misure di legge poste a tutela delle persone cui quei dati si riferiscono, misure che sono state introdotte nel panorama normativo italiano a partire dall’ormai lontano maggio 1997 con la c.d. “Legge sulla Privacy”.

Ma i dati personali, dopo quasi diciotto anni da tal edata, sono trattati adottando davvero le cautele necessarie a preservarne l’integrità, la confidenzialità e la riservatezza?

I dubbi permangono, anzi pare che, a fronte di una generale automazione del processo di uso dei dati, si constati una tendenza al calare dell’attenzione nella loro corretta tenuta, così come emerge da una lettura attenta degli esiti dell’attività ispettiva e sanzionatoria dell’Autorità Garante Privacy. 

Sono ormai più di dieci anni che l’Autorità Garante Privacy svolge la sua attività ispettiva, avviata nel 2002  e che si svolge secondo una programmazione semestrale, che individua i trattamenti di dati oggetto di accertamento, accertamento a cui poi si sommano quelli resi necessari a seguito di segnalazioni o reclami pervenuti all’Autorità.

L’Autorità periodicamente ne segnala gli esiti  e proprio nei giorni scorsi ha comunicato sinteticamente cosa ha  controllato nel 2014 e ha anticipato quali verifiche  intende fare nel primo semestre del 2015;il  comunicato, diffuso il 23 febbraio, preannuncia che saranno effettuati almeno 200 accertamenti entro il primo semestre dell’anno e fornisce anche il bilancio dell’attività ispettiva svolta nel 2014, consistente in 385 ispezioni.

Gli accertamenti  dell’Autorità si sono ormai attestati su una media di 4/500 per ogni anno, come si evince dall’elenco sottostante.

Ispezioni e accertamenti effettuati per ogni anno:

    • Anno 2002,  40 ispezioni;
    • Anno 2003,  69 ispezioni;
    • Anno 2004, 100 ispezioni;
    • Anno 2005, 230 ispezioni;
    • Anno 2006, 350 ispezioni;
    • Anno 2007, 452 ispezioni;
    • Anno 2008, 500 ispezioni;
    • Anno 2009, 500 ispezioni;
    • Anno 2010, 474 ispezioni;
    • Anno 2011, 447 ispezioni;
    • Anno 2012, 395 ispezioni;
    • Anno 2013, 411 ispezioni;
    • Anno 2014, 385 ispezioni.

    E dalla lettura di tale bilancio emerge in tuta sostanza la scarsa attenzione dei Titolari del trattamento nel proteggere, attraverso l’adozione di efficaci misure di sicurezza, i sistemi informativi di loro spettanza.
    Ma la cosa più preoccupante di tale bilancio, se letto assieme con quello dell’intera attività di accertamento effettuata dall’Autorità, è che anno dopo anno, i procedimenti sanzionatori apertisi a seguito delle ispezioni crescono percentualmente in maniera consistente.
    Ad esempio nel 2006 l’Autorità ha effettuato 350 accertamenti, che hanno portato alla contestazione di 158 violazioni amministrative: per la precisione il 45,14% degli accertamenti ha evidenziato una mancata applicazione delle misure di legge a protezione dei dati personali da parte dei Titolari del trattamento, mentre nel 2007 le verifiche salgono a 452 e le violazioni amministrative accertate a 228; quindi la percentuale di Titolari che non hanno ottemperato alle norme di tutela dei dati personali è lievemente cresciuta, arrivando a toccare il 50,44 %.
    Nel 2008 le ispezioni fanno un bel salto numerico, perché arrivano a 500 e le sanzioni amministrative contestate diventano 338 e sono inoltrate 12 segnalazioni all’Autorità giudiziaria; la percentuale dei Titolari fatti oggetto di ispezione e che non hanno rispettato le misure di legge arriva a toccare il 67,60 %, l’anno successivo le ispezioni rimangono 500, ma le sanzioni amministrative contestate salgono a 368, e sono inoltrate 43 segnalazioni all’Autorità giudiziaria, registrandosi una percentuale di Titolari inadempienti del 73,60 %.
    Un altro salto in avanti di tale percentuale si ha poi nel 2010, dove arriva fino all’89,45% ; il numero di ispezioni fatte ha, in realtà, una leggera flessione, fermandosi a 474 ma i procedimenti sanzionatori sono 424, cui devono essere aggiunte le 55 segnalazioni all’autorità giudiziaria per violazioni penali.
    Nel 2011 le ispezioni sono 447, e cdiminuiscono anche i procedimenti sanzionatori, che si fermano a 358 (con un incasso però superiore ai 3 milioni di Euro), mentre le segnalazioni all’autorità giudiziaria per violazioni penali sono 37; in quest’anno, quindi, è da registrare un’inversione di tendenza del consolidato trend di crescita del rapporto tra ispezioni e procedimenti sanzionatori, che toccano “soltanto” l’80,08% delle ispezioni.
    Ma tale contrazione di procedimenti sanzionatori è solo transitoria perchè nel 2012, se gli accertamenti sono stati 395 a questi hanno fatto seguito l’avvio di ben 578 procedimenti sanzionatori, (il 146 % del numero degli accertamenti). L’ammontare delle sanzioni incassate nel corso dell’anno è stato di oltre 3,8 milioni di euro e le segnalazioni all’autorità giudiziaria per violazioni penali sono state 56.

    Anche nel 2013 il bilancio dei controlli del Garante ha registrato un incremento in tutti i settori: le ispezioni effettuate sono state 411 (+4% rispetto al 2012) e le somme riscosse dall’erario da parte di soggetti pubblici e privati sono state di oltre 4 milioni di euro. In forte crescita le segnalazioni all’Autorità giudiziaria  per violazioni penali che sono state 71 ( + 26 %).

    Emerge che utenti e cittadini vengono  ancora poco informati dai Titolari sull’uso dei loro dati personali, che sono ancora troppi i casi in cui questi sono trattati senza il consenso degli interessati, e che c’è ancora poca attenzione alla messa in sicurezza dei dati personali da parte di chi li raccoglie, li usa e li gestisce; significativo al riguardo è  il numero di procedimenti sanzionatori avviati: 850 procedimenti, (il 206 % del numero degli accertamenti) e le segnalazioni all’Autorità giudiziaria sono salite a 71 (con una crescita del 27% rispetto al 2012).

    Per completare il quadro abbiamo ora disponibili i dati del 2014, anno in cui calano sia gli accertamenti ispettivi che le sanzioni contestate e le segnalazioni inviate all’Autorità giudiziaria; gli accertamenti  sono stati  385( con un calo circa del 7 % rispetto all’anno precedente) e hanno interessato  laboratori di analisi, società farmaceutiche, app mediche, sistema informativo della fiscalità,  gestori dei nodi di interscambio dei dati Internet (Ixp), banche, grandi alberghi, società che gestiscono i sistemi di mobile payment, importanti gruppi di intermediazione immobiliare, i cosiddetti “compro oro”, operatori telefonici e call center. 

    Le sanzioni amministrative contestate a seguito di tali accertamenti, che sono state 577 ( circa il 150 % rispetto agli accertamenti) si riferiscono  in prevalenza,  a casi di omessa o inidonea informativa, trattamento illecito di dati, mancata comunicazione al Garante e agli utenti di violazioni di dati personali (cd. data breach), mentre le 39  segnalazioni  inviate dal Garante all’autorità giudiziaria ( scese circa del 46 % rispetto all’anno precedente) hanno riguardato per la maggior parte la mancata adozione delle misure minime di sicurezza e le violazioni connesse al controllo a distanza dei lavoratori. Segnalati alla magistratura anche casi di accesso abusivo a sistemi informatici o telematici, false dichiarazioni e notificazioni al Garante, inosservanza dei provvedimenti dell’Autorità.

    Il bilancio reso noto dall’Autorità sull’attività ispettiva del 2014 registra, però, un dato importante, l’incremento del 20% in più dell’importo delle sanzioni applicate dal Garante Privacy, che arriva a ben 5 milioni di euro, 1 milione in più del 2013.
    Per i prossimi mesi,il primo semestre del 2015, l’Autorità, oltre a proseguire i controlli già avviati, ha programmato di verificare la regolarità dei trattamenti di dati personali effettuati nei settori del mobile payment di prossimità (es. pagamenti effettuati con una carta di credito virtuale inserita nella sim telefonica), del fascicolo sanitario elettronico e dossier sanitario, del telemarketing e dei call center operanti all’estero. Particolare attenzione sarà posta anche sulla verifica del rispetto dell’obbligo di informativa agli utenti e della richiesta del consenso nei casi in cui questo è necessario, del rispetto delle misure di sicurezza da parte di chi tratta dati sensibili,per. Ai controlli programmati, naturalmente, si affiancheranno quelli che si renderanno necessari  a seguito di segnalazioni e reclami presentati all’Autorità
    Il quadro  che emerge dalla lettura di tali dati, il bilancio in numeri, percentuali  e cifre degli esiti dei controlli sulla correttezza nel trattamento dei dati  è davvero sconfortante, più dati si trattano, più tecnologie si utilizzano, meno attenzione pare prestarsi alla protezione dei dati e al rispetto dei dati del cittadino, quasi come se innovazione e automazione fossero difficilmente conciliabili con il  preservare la riservatezza, diritto che non può invece arretrare ed essere messo in discussione, in quanto componente fondamentale dell’essere cittadino.

    © RIPRODUZIONE RISERVATA


    Per la tua pubblicità sui nostri Media:
    maggioliadv@maggioli.it  |  www.maggioliadv.it

    Gruppo Maggioli
    www.maggioli.it