GDPR: le Sanzioni e gli altri 3 grandi rischi
Quali sono le sanzioni e gli altri principali rischi per l’impresa che trasgredisce i requisiti del Regolamento Europeo della privacy?
Il rischio più famoso, quello più minacciato è quello delle sanzioni pecuniarie. Si parla di sanzioni da decine di milioni di Euro, percentuali elevate del fatturato, e altri spauracchi di questo tipo. Ma vediamo la realtà. Ovviamente si tratta di esagerazioni. Create ad hoc per spaventare gli imprenditori e spingerli rapidamente all’azione.
Per la precisione queste cifre sono realmente previste ma solo in determinate circostanze e in determinate condizioni e quindi non ne parliamo.
Ma vediamo quali sono i quattro principali tipi di rischio a cui un’impresa va incontro se non è in regola con la privacy.
Primo rischio: SANZIONI PECUNIARIE
In effetti il primo tipo di rischio è proprio quello sanzionatorio. Esiste, non è il principale, come vediamo dopo, ma non è poca cosa. Ci sono molti casi in cui effettivamente piccole imprese sono state multate sproporzionatamente anche solo per questioni burocratiche. Ho già parlato una volta di uno studio di commercialisti di Prato che è stato multato per €12000 soltanto perché non aveva il banner dei cookies installato sul sito. Vedi l’articolo a questo link.
Certo, è una inadempienza, ma la ritengo una misura assolutamente sproporzionata soprattutto perché il commercialista non usava i dati per profilare clienti o per attività di marketing automatizzato. Quindi non arrecava un vero danno a nessuno.
Ma vediamo: come si risolve questo aspetto? come ci si mette al riparo dalle sanzioni?
Bene, se non ci sono criticità specifiche nell’uso dei dati, questa parte è facilmente risolvibile mettendo in ordine la questione burocratica della privacy. Mettendo cioè a norma la parte documentale e formale con un buon assetto documentale di partenza.
Ci sono decine di documenti scaricabili, anche gratuitamente, da internet.
Il nostro kit gdpr facile ti fornisce:
- un metodo guidato in 5 fasi
- con video che guidano passo passo
- il kit di documenti pronti da personalizzare e già conformi al regolamento privacy
È stato pensato per questo: per farti mettere in regola senza l’aiuto di consulenti.
Secondo rischio: RISCHIO RISARCITORIO
La seconda voce di rischio è sicuramente quella del rischio risarcitorio.
Sbagliare comportamento riguardo ai dati personali, sbagliare un trattamento dei dati con dolo o con colpa può far arrabbiare qualcuno.
Comportamenti sbagliati come scambiarsi i dati fra aziende, senza una formale contitolarità, oppure utilizzare liste di email o telefoni per finalità diverse da quelle per cui sono stati raccolti, oppure ancora, trattare dati sensibili senza proteggerli in maniera particolare, sono illeciti che giustamente sono puniti dalla legge.
È importante conoscere i meccanismi che ci stanno dietro per non infrangere la legge, però è importante anche e soprattutto usare il buon senso. Mettetevi sempre nei panni anche dell’interessato, della PERSONA a cui si riferiscono i dati.
un aneddoto: l’agenzia incompetente che rischia grosso
Come tutti, anche i miei dati personali sono stati captati da agenzie che li hanno poi usati per finalità diverse; oppure senza avere la base giuridica per usarli (consenso, legittimo interesse, ecc).
L’anno scorso il mio numero di cellulare è finito in una lista sms e da allora sono stato bersagliato da continui messaggi promozionali per finalità che non avevo autorizzato. E fra l’altro in aree geografiche che non mi riguardavano.
Dopo un primo avviso bonario, senza risultati, ho mandato una raccomandata per farmi togliere dalla lista. Ma anche in quel caso non ho ottenuto niente. Dopo tre o quattro solleciti ho mandato una raccomandata con la minaccia di fare un esposto al garante per la privacy. In quel caso sono stato richiamato e il problema è stato risolto. Ovviamente non era mia intenzione fare un danno grave ad un’azienda.
Magari aveva fatto il danno involontariamente, solo per negligenza o incompetenza. Però se invece di me, avesse incontrato uno di quei puntigliosi che vivono di questo, sicuramente avrebbe avuto una sanzione finanziaria di migliaia di euro e avrebbe rischiato l’interdizione del database, cosa di cui parlo fra poco.
Terzo rischio: INTERDIZIONE DEI DATI
Infatti il terzo rischio è proprio quello dell’interdizione all’uso dei dati. Usare allegramente e illecitamente una base di dati senza autorizzazione o consenso o senza una base giuridica vera e propria, termine chiave molto importante, questo, può avere come effetto l’interdizione ad usare l’intera base dei dati. Quindi occhio, alcune aziende che basano la loro crescita sul database dei clienti è sicuramente molto sensibile a questo argomento. Vedi l’aneddoto raccontato sopra.
Quarto rischio: VIOLAZIONE DEI DATI
L’ultimo rischio, spesso sottovalutato, ma veramente importantissimo, è il rischio di perdita di dati e della violazione dei dati, detto in inglese data breach.
Data breach significa più genericamente violazione dei dati, violazione che può venire dall’esterno o anche dall’interno.
Significa comunque che alcune persone non autorizzate hanno avuto accesso ai dati di cui sei titolare, e potrebbero farne un uso illecito:
- usarli per propri scopi,
- usarli per attività illegali
- minacciarti per un riscatto
- e così via
L’imprenditore è tenuto a segnalare anche solo il sospetto che i dati dei suoi clienti, dipendenti e fornitori siano entrati in possesso di malintenzionati. Deve avviare una procedura formale e segnalarlo all’interessato e al garante della privacy.
Come si risolve questo aspetto? Il principale modo per prevenire le violazioni dei dati è quello di avere un solido sistema di protezione. Tecnico e organizzativo.
Lo stesso Regolamento Europeo chiede di adottare le giuste misure tecniche e organizzative in base al proprio livello di rischio.
Di come analizzare i rischi ne parlo in questo articolo: Come mettersi in regola al GDPR in 3 fasi, mentre delle delle misure tecniche e organizzative ne parlo nel prossimo articolo, quello del 25 marzo.
Ma grossomodo le misure tecniche possono andare
- da una definizione di un solido processo di gestione delle password,
- ad una protezione tramite antimalware, antivirus e firewall con apparati IT sempre aggiornati,
- a sistemi di monitoraggio
- eccetera
La misura organizzativa per eccellenza che più di ogni altra ti mette al sicuro da ogni violazione di dati, invece, è la formazione del personale. L’anello debole della catena di sicurezza che protegge i tuoi dati sta nel fattore umano, come sempre accade.
Molte volte ho visto implementare dei sistemi di gestione della privacy ineccepibili dal punto di vista formale ma senza alcuna formazione al personale.
Questo non è solo un rischio formale dato che la formazione è obbligatoria. Ma è soprattutto un rischio sostanziale perché il personale non è aggiornato sulle principali tecniche di violazione che gli hacker e i malviventi digitali mettono in atto. E può quindi danneggiare non solo i dati personali, ma anche i tuoi dati aziendali fino anche a danni finanziari (ne ho parlo anche in un altro video articolo). È un rischio vero, reale e grave.
La formazione si può trovare facilmente online, gratuitamente o per poche centinaia di euro, quindi, non ti conviene assolutamente trascurarla.
Anche nel nostro programma gdpr facile (www.gdprfacile.com), in ognuna delle 5 sezioni del metodo S.I.C.U.R. c’è una serie di video formativi che rimane tua proprietà e che può essere usata per sempre per la formazione del tuo personale, anche quello futuro.
Quindi, Ricapitolando:
- rischio sanzioni,
- rischio di risarcimenti
- rischio di interdizione di un determinato database
- rischio di perdita di dati per violazione da parte di malintenzionati.
Questi sono i quattro rischi principali. Ti ho già detto come metterti al riparo, quindi mi raccomando… a buon imprenditor, poche parole…
Nel prossimo video ti parlerò delle migliori tecniche per proteggere i tuoi dati
Alla prossima