La normativa sulla conservazione dei dati è stata presa molto sul serio da diverse aziende, mentre altre meno “preoccupate” hanno continuato grossomodo a operare come prima trattando i dati dei loro utenti web in modi poco trasparenti.
Ma come mi fa notare Fulvio Sarzana, avvocato esperto in reati informatici, ormai ci troviamo nella piena operatività delle norme, dunque chi non è arrivato preparato a questo punto rischia un controllo ed eventualmente sanzioni salate.
Proviamo a capirci di più.
Ciao Fulvio, ci racconti i tuoi attuali focus lavorativi?
Lo Studio legale che dirigo, Sarzana e Associati, si occupa oramai da diverso tempo di diritto dei media e delle tecnologie informatiche, con particolare riferimento a privacy, reati informatici, e da qualche tempo con un occhio alle tecnologie cd emergenti, ovvero blockchain, intelligenza artificiale, internet of things e 5G.
Allo stato attuale, quanti sono i siti web che hanno compiuto un adeguato processo di adattamento alle norme su conservazione e trattamento dei dati?
La sensibilità verso il trattamento dei dati personali è molto cambiata in questi ultimi anni, soprattutto da quando è divenuto pienamente operativo nel 2018 anche il Italia il GDPR, ovvero il Regolamento Generale Privacy.
Molti siti web hanno cominciato a comprendere l’importanza di fornire le corrette informazioni in tema di trattamento dei dati personali, prime fra tutte quelle che devono essere contenute nella cd informativa per il trattamento dei dati personali che ogni soggetto pubblico o privato e tenuto a rilasciare agli interessati all’atto del trattamento.
[adrotate banner=”1″]
Va ricordato che ad esempio la raccolta di cookies, nelle varie forme possibili, realizza un trattamento dei dati dei navigatori telematici e come tale richiede la predisposizione di idonei strumenti per essere in linea con il GDPR.
Bisogna rilevare come chi adotti cookie e tecnologie simili è tenuto ad implementare meccanismi che consentano di dimostrare – in qualsiasi momento – che sia stato prestato un valido consenso.
Qual è la prima cosa da fare per essere compliant rispetto alla normativa attuale?
Sicuramente va fatto un assessment anche minimo, per verificare il grado di compatibilità della raccolta di dati con la disciplina sul trattamento dei dati personali, poi vanno redatte le apposite informative per il trattamento, comprensive della verifica sul tipo di cookies forniti dal sito e da terze parti.
La nomina poi del titolare e di eventuali responsabili esterni per il trattamento dei dati (laddove necessario) mette al riparo dalle sanzioni molto salate previste dal GDPR.
Sul tema dei Cookies in particolare, il Garante privacy ha messo a disposizione il 4/10/2018 delle FAQ in cui tra le altre cose spiega come si deve intendere la normativa in materia.
Di che ordine sono le sanzioni per i trasgressori e come sono state applicate fino ad ora?
Il GDPR prevede in generale sanzioni, come noto, decisamente elevate, che possono giungere sino alla somma di venti milioni di Euro o del 4% del fatturato globale. Va detto che nella prima fase di applicazione della normativa attuale, le Autorità hanno cercato di non “calcare” la mano rispetto alle sanzioni, ma oramai la piena operatività delle norme sta portando ad una decisa inversione di tendenza, per cui è ragionevole attendersi un piano ispettivo da parte del Garante Privacy, molto preciso e puntuale.