Le Autorità europee di protezione dei dati personali (DPA) stanno affrontando una impennata dei volumi di lavoro (si pensi anche soltanto alla gestione dei 50.000 data breach notificati dal 25 maggio 2018 in tutta Europa) anche se finora l’attività di enforcement sta procedendo lentamente e non ha prodotto quelle sanzioni proibitive che taluni si aspettavano. Si tratta infatti di attività che richiedono tempo e i cui risultati (anche di alto profilo) potranno essere verificati nel prossimo futuro.
Ciò detto, si iniziano a vedere le tracce del tipo di condotta che probabilmente rimarrà a seguito di questo ingorgo di “data enforcement” e gli strumenti che le DPA sono pronte a usare.
Ci soffermeremo di seguito sui temi legati ai data breach, alla trasparenza e al consenso, all’esercizio del diritto degli interessati e al ruolo di audit e ispezioni.
Data breach, ordini post-breach e contenzioso collegato
Come era prevedibile, le DPA hanno visto un enorme incremento del numero di data breach notificati e questo è naturale conseguenza dell’obbligo generalizzato previsto dal GDPR. Per esempio, in UK – in terza posizione in questa speciale classifica dopo Olanda e Germania – l’Information Commissioner, Elizabeth Denham, ha detto in occasione dell’International Privacy Forum lo scorso 4 dicembre 2018 che l’Information Commissioner’s Office (ICO) aveva ricevuto più di 8.000 notifiche di data breach da maggio 2018. Tra il primo aprile 2017 e il 31 marzo 2018 erano state 3.311 e tra il primo aprile 2016 e il 31 marzo 2017 erano state solo 2.565.
Consideriamo anche che, secondo i dati diffusi dal nostro Garante per la protezione dei dati personali, al 31 dicembre scorso, le notifiche di data breach nel nostro paese erano state 630.
A fronte di questo incremento di notifiche, in Europa non c’è stato, in generale, un corrispondente aumento finora delle attività di enforcement. Ciò non significa che le indagini non siano in atto senza essere annunciate pubblicamente e probabilmente se ne risentirà parlare nei prossimi mesi, anche sui giornali generalisti.
In Germania, una delle sanzioni irrogate ai sensi del GDPR e oggetto di pubblico dibattito è stata a seguito e in conseguenza di una notifica di un data breach. L’autorità di controllo del Baden-Wurttemberg ha irrogato una sanzione di 20.000 Euro nei confronti del social network Knuddels per violazione dell’Art. 32 GDPR a causa della conservazione di password non crittate. Ciò è avvenuto dopo la notifica all’autorità del fatto che dei cracker avevano avuto accesso a oltre 800.000 indirizzi email e più di 1.8 milioni di credenziali utente. La cosa più interessante è che la giustificazione della DPA in questione in relazione al basso importo della sanzione è stata che Knuddels aveva collaborato pienamente con la DPA e si è impegnata a porre in essere notevoli miglioramenti nella gestione dei dati personali. In un altro caso, la medesima autorità del Baden-Wurttemberg ha irrogato una sanzione di 80.000 euro (al momento la più alta in Germana) per mancanza di controlli interni circa dati relativi alla salute presenti su internet.
Queste indagini richiedono tempo e, in ogni caso, le autorità (Garante incluso) hanno ancora a che fare con un non indifferente arretrato dovuto alle indagini pre-GDPR.
Come detto sopra, è l’Olanda che guida la classifica delle notifiche di data breach con quasi 21.000 invii nel 2018 (erano 10.009 nel 2017). L’Olanda è stata uno dei primi Stati a introdurre un obbligo di notifica dei data breach in stile GDPR, fin dal 2016. L’alto numero di notifiche di data breach mostra come le società olandesi siano più consapevoli di questi aspetti rispetto alle altre presenti nelle diverse giurisdizioni europee.
Una ulteriore preoccupazione per le società potrebbe derivare dall’aumento di contenzioso in stile class action da parte di coloro che all’estero chiamano “data protection ambulance chasers“. Se da una parte un’azione del genere contro Google non ha avuto particolare successo (mi riferisco al noto “safari workaround” nel caso Lloyd v Google) questo non ha fermato – almeno in UK – certi studi legali specializzati in danno alle persone dal produrre contenzioso relativo ai data breach più seri. In UK, studi legali di questo tipo stanno offrendo accordi del tipo “no win no fee” anche in casi dove il rischio di danno è davvero minimo. Tuttavia da aprile sarà proibito per legge ottenere una success fee in relazione a un contenzioso in materia privacy.
Trasparenza e consenso
Trasparenza e consenso continuano a essere temi ricorrenti dei reclami alle DPA. Per esempio:
- a settembre 2018, Brave (un internet browser) ha depositato un reclamo alle autorità di controllo in Irlanda e UK richiedendo una indagine su scala europea circa le pratiche utilizzate nel settore della pubblicità comportamentale (behavioural advertising). Uno dei punti principali del reclamo riguarda la mancanza di informazioni trasparenti agli utenti dei siti web e di come i dati raccolti siano utilizzati per costruire un profilo che li riguardi e, successivamente, messi a disposizione degli inserzionisti;
- a novembre 2018, Privacy International ha depositato reclami ai sensi del GDPR avanti alle DPA di UK, Francia e Irlanda contro due data broker, due agenzie di informazioni sul merito creditizio e tre società adtech, sostenendo che dette società non avevano fornito le richieste informazioni in modo trasparente e agivano senza valida base giuridica;
- trasparenza e consenso (o la loro asserita mancanza) sono stati anche fattori chiave della sanzione milionaria irrogata dalla CNIL francese nei confronti di Google (il procedimento ha preso le mosse da due reclami di ‘noyb’ e ‘La Quadrature du Net’).
Uno dei temi fondamentali che emerge da questi reclami è il livello di dettaglio che ci si aspetta sia incluso nelle informative fornite agli interessati. Per esempio, nel provvedimento della CNIL contro Google, si legge che le finalità del trattamento di Google sono descritte in maniera troppo generica e vaga e che le informazioni sul periodo di conservazione non sono fornite in relazione ad alcuni dati.
Per quanto riguarda l’Italia, anche il Garante (a seguito di istruttorie pre-GDPR) ha ritenuto di recente che le informazioni date da alcune importanti società non fossero sufficientemente dettagliate.
Richieste degli interessati
L’esercizio dei diritti da parte degli interessati sta diventando una seria questione di business. Il GDPR non ha solo conferito più diritti agli interessati ma ha anche dato più risalto a quelli già esistenti (per esempio cancellazione e accesso). I lavoratori (e i loro avvocati) hanno maggiore consapevolezza del fatto che l’esercizio di questi diritti possa essere un fattore da tenere in considerazione nell’ambito di negoziazioni o crisi con il datore di lavoro, anche solo per generare pressione.
Subito dopo il 25 maggio 2018, si è potuto notare un aumento delle richieste di cancellazione probabilmente per fare un po’ di pulizia in termini di privacy e sicurezza online. Questo trend sembra essere diminuito nei mesi recenti ma l’ondata di data subject access request (DSAR) continua senza sosta.
Ci sono due tipi di DSAR che appaiono particolarmente problematiche. La prima è quella ove si pongono molte questioni complesse riguardo i trattamenti, alcune delle quali ricadono nell’ambito dell’Articolo 15 GDPR e altre invece no. Queste richieste sono di solito gestibili ma spesso richiedono l’intervento di avvocati specializzati in protezione dei dati personali per evitare tranelli, soprattutto quando il richiedente è un dipendente di Privacy International o un giornalista.
La seconda ricomprende le richieste di dipendenti ed ex-dipendenti per dati contenuti, per esempio, in email anche di molti anni prima. Queste richieste richiedono tempo per essere correttamente evase e possono portare a contenziosi ove non gestite adeguatamente.
La buona notizia per le società è che le autorità di controllo hanno priorità più alte che giudicare quali dati personali debbano essere rivelati o meno. L’impostazione dell’Articolo 15 GDPR è volta a prevedere un regime idoneo a fornire trasparenza circa i trattamenti di dati personali, non a fornire un nuovo regime di disclosure pre-contenziosa, anche se di fatto sta venendo sempre più utilizzato per questo motivo.
Un reclamo particolarmente degno di nota è quello proposto da noyb – organizzazione gestita da Max Schrems – presso l’autorità di controllo austriaca a gennaio 2019 contro otto società in ambito tech. Nel reclamo si sostiene che i sistemi automatizzati per rispondere alle DSAR non sono conformi ai requisiti del GDPR. Gli occhi di tutta Europa sono puntati sull’esito di tale reclamo.
Gli strumenti di enforcement delle DPA in Europa
Sanzioni pecuniarie
La sanzione di 50 milioni di euro irrogata dall’autorità di controllo francese (CNIL) nei confronti di Google per mancanza di trasparenza, informazioni incomplete e mancanza di un valido consenso in relazione all’uso dei dati personali per scopi di personalizzazione degli annunci pubblicitari è, ad oggi, la sanzione più alta applicata ai sensi del GDPR. E si tratta di gran lunga della sanzione pecuniaria più alta non solo in Francia ma in tutta Europa. La CNIL ha motivato tale ammontare sulla base del fatto che:
- Google continuerebbe a violare principi essenziali del GDPR come trasparenza e consenso;
- le violazioni non sarebbero occasionali né limitate nel tempo ma tuttora in essere;
- la scala della violazione sarebbe molto significativa (migliaia di cittadini francesi ne sarebbero oggetto); e
- il modello economico di Google sarebbe parzialmente basato sulla personalizzazione degli annunci pubblicitari e quindi è della massima importanza che Google rispetti gli obblighi derivanti dalla normativa applicabile in materia.
Al momento, tuttavia, l’importo della sanzione a Google è una eccezione. Sanzioni elevate ai sensi del GDPR sono, ad oggi, ancora sporadiche. Ove ci siano state sanzioni pecuniarie (in Germania e Portogallo), il loro ammontare è stato considerevolmente inferiore. Stando a quanto riportato in un report dell’Handelsblatt pubblicato lo scorso 18 gennaio 2019, le DPA tedesche avevano sinora irrogato 41 sanzioni pecuniarie ai sensi del GDPR. Vale la pena ricordare quanto dichiarato da Stefan Brink, state data protection commissioner del Baden-Wurttemberg, in relazione alla sanzione di soli 20.000 Euro nei confronti del social network Knuddels: “l’autorità non è interessata a entrare in competizione con le altre per le sanzioni più alte possibili. Alla fine, si tratta di migliorare la privacy e la sicurezza dei dati per gli utenti”. Vedremo se anche altre autorità avranno questo approccio o meno.
Oltre alle sanzioni pecuniarie, ci sono altre attività interessanti che bollono in pentola, spesso dietro le quinte e lontane dai riflettori e che danno un’idea di quali aree siano ritenute mature per attività di enforcement da parte delle autorità di controllo.
Audit/verifiche
Gli audit o comunque le attività di verifica e controllo sono un’arma sempre più importante nell’armamentario di una autorità di controllo. Le attività di verifica e controllo permettono a una DPA di valutare se una determinata organizzazione abbia in essere strumenti efficaci unitamente a policy e procedure idonee a soddisfare i vari obblighi in materia di protezione dei dati personali.
Un’autorità di controllo particolarmente attiva negli audit è quella olandese. Finora essi sono stati concentrati su settori industriali specifici e sul possesso di determinati requisiti come quello del DPO, del registro delle attività di trattamento e l’adozione di adeguati contratti ai sensi dell’Articolo 28 GDPR.
Anche le autorità di controllo tedesche stanno facendo ampio ricorso a questo strumento: per esempio l’autorità di controllo della Bassa Sassonia ha condotto audit GDPR casuali presso cinquanta società durante l’estate 2018 e ad oggi ne sta valutando i risultati. L’autorità di controllo bavarese ha inviato un ampio questionario ad almeno 85 società per valutarne la complessiva conformità al GDPR.
Ispezioni
Ai sensi del GDPR e delle leggi locali applicabili nei vari Stati membri, alle autorità di controllo è assegnato il potere di avere accesso ai locali di chi tratta dati personali, controller o processor che sia, a determinate condizioni.
Non si tratta di un potere del tutto nuovo sebbene esso sia stato significativamente ampliato in certi Stati membri (in certa misura, anche in Italia con la recente riforma del Codice in materia di protezione dei dati personali). Nel 2018, in UK, non è passato inosservato il fatto che l’ICO abbia condotto ispezioni approfondite nei confronti di SCL Group e Cambridge Analytica quali parte di una più ampia indagine circa l’uso di dati personali e analytics da parte di società di social media e non solo, anche nell’ambito di campagne politiche.
Indagini pro-attive su società, segmenti di mercato o specifiche tecnologie
Le indagini scaturiscono principalmente dalla presentazione di reclami (e maggiore è il numero dei reclami, maggiore è la probabilità che le indagini siano considerate prioritarie dalla DPA di riferimento). Ciò detto, le autorità di controllo stanno sempre più identificando delle aree su cui focalizzare la loro attenzione.
La DPA Bavarese è già particolarmente attiva se pensiamo che ha già iniziato parecchi audit su temi specifici, in particolare il trattamento dei dati nei sistemi ERP (incluso SAP) e potenziali violazioni da parte dei (sub) processor.
In UK, l’ICO ha identificato certe nuove tecnologie come portatrici dei maggiori fattori di rischio per la protezione dei dati personali. Nella sua Technology Strategy 2018-2021, l’ICO ha individuato AI, big data e machine learning, nonché web and cross-device tracking come ambiti prioritari di indagine.
In Italia, non è ancora stato pubblicato il piano semestrale gennaio-giugno 2019 relativo alla programmazione delle ispezioni e, leggendo i piani dei precedenti semestri, non appare esserci un focus preciso su specifiche tecnologie.
