Due anni di GDPR: il rapporto della Commissione europea
A distanza di due anni dalla piena applicazione del GDPR, arriva il rapporto della Commissione europea. Lo ha annunciato il Garante Privacy con la newsletter di venerdì scorso chiarendo che «il rapporto mostra come il GDPR abbia raggiunto la maggior parte dei suoi obiettivi, in particolare garantendo ai cittadini Ue un solido insieme di diritti e creando un nuovo sistema europeo di governance. Il GDPR si è peraltro dimostrato flessibile nel supportare soluzioni digitali in circostanze impreviste come la crisi dovuta al Covid-19». Mentre aumenta l’armonizzazione delle legislazioni nazionali, anche «fra le aziende si fa strada la cultura della “responsabilizzazione” e l’idea che le misure a protezione dei dati personali possano costituire un vantaggio competitivo. La relazione propone anche un elenco di azioni che coinvolgono i diversi stakeholder (Commissione, Stati membri, Autorità di protezione dati, soggetti pubblici e privati) per facilitare ulteriormente l’applicazione del Gdpr con particolare riguardo alle piccole e medie imprese».
Inoltre, secondo la Commissione, il Regolamento migliora la trasparenza e aumenta la consapevolezza dei diritti di cui godono le persone (diritto di accesso, rettifica, cancellazione, diritto di opposizione e diritto alla portabilità dei dati). Le regole sulla protezione dei dati si sono dimostrate adeguate all’eradigitale: «il GDPR ha promosso la partecipazione attiva e consapevole delle persone alla transizione digitale e favorisce un’innovazione affidabile: in particolare attraverso un approccio basato sul rischio e su principi come la protezione dei dati in base alla progettazione e per impostazione predefinita (privacy by design e privacy by default)».
Secondo quanto rilevato dalla Commissione, vi sono ancora margini di miglioramento per quanto riguarda il sistema di governance europea della protezione dei dati, «in particolare rispetto al funzionamento del cosiddetto meccanismo di “sportello unico”, in base al quale una società che svolge trattamenti transfrontalieri di dati ha una sola Autorità di protezione dei dati come interlocutore, vale a dire l’Autorità dello Stato membro in cui ha sede il suo stabilimento principale».
Con la medesima newsletter, il Garante ha dato notizia dell’emanazione di un provvedimento sanzionatorio a carico di un istituto bancario per un caso di data breach causato da accessi abusivi ai dati personali di oltre 700mila clienti, tra il mese di aprile 2016 e il mese di luglio 2017. Gli accessi abusivi, avvenuti in due momenti distinti, erano stati effettuati utilizzando le utenze di alcuni dipendenti di un partner commerciale esterno alla banca ed avevano riguardato diverse informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban). Il provvedimento sanzionatorio è stato adottato in considerazione dei rilevanti profili di illiceità del trattamento determinati dalla mancata adozione di misure tecniche e organizzative adeguate e valutate le argomentazioni addotte dalla banca.