Dopo quasi due anni dalla sua applicazione in Italia, sono ancora tante le aziende che non si sono adeguate al nuovo Regolamento Generale sulla Protezione dei Dati. A volte per superficialità, a volte perché lo si ritiene u solamente una cosa burocratica. I controlli e le sanzioni, però, non aspettano che le aziende ritardatarie capiscano la rivoluzione in positivo di questa normativa...e iniziano a colpire le aziende.
Solo negli ultimi giorni, ha fatto rumore la sanzione applicata dal Garante per la Privacy al colosso Eni Gas e Luce, per un totale di 11,5 milioni di Euro, in violazione dell'art 13 del GDPR.
Semplicemente veniva effettuata un'attività di offerte commerciali e promozionali verso potenziali clienti senza aver ottenuto il loro permesso. Il controllo da parte delle Autorità è partito dopo le decine di segnalazioni e reclami effettuati da parte di soggetti stanchi di essere "bombardati" da attività di marketing effettuato senza il lor consenso o nonostante la loro opposizione.
La verifica da parte delle autorità, ha rilevato 1) l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; 2) tempi di conservazione dei dati superiori a quelli consentiti; 3) l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.
Ora quello che ci dobbiamo domandare: quante aziende nel loro piccolo trattano i dati dei loro clienti acquisiti e potenziali in questo modo? Quante aziende registrano il consenso dell'interessato prima di inoltrargli e-mail promozionali? Quante aziende organizzano la gestione dei propri dati in maniera da poter cancellare dai propri database in maniera efficace chi richiede di non ricevere più materiale commerciale?
La risposta bene o male la conosciamo.
Il Garante per la privacy, sempre facendo riferimento al caso di Eni Gas e Luce, non ha solo comminato una sanzione economica, ma ha inflitto anche una serie di sanzioni correttive, volte a limitare il trattamento dei dati delle anagrafiche presenti nei propri database. Nella fattispecie ha richiesto l'implementazione di procedure di verifica preventive all'invio di materiale commerciale e ha vietato l'uso di list provider ottenuti senza il consenso degli interessati.
Un provvedimento che va a sconvolgere il workflow del colosso, che dovrà ripensare al modus operandi del proprio personale e che richiederà uno sforzo economico non indifferente per mettere in regola tutto secondo quanto richiesto dal Garante.
Il GDPR, infatti, prevede che ci siano due tipi di sanzione: una economica e una correttiva, applicabili a discrezione del Garante. Se le sanzioni correttive prevedono essenzialmente una multa salata, le sanzioni correttive possono arrivare addirittura a mettere in ginocchio l'azienda: per esempio il Garante per la Privacy può arrivare a infliggere il divieto dell'invio delle e-mail ai propri clienti...quale potrebbe essere il danno per l'azienda?
Ecco allora le cose da imparare dal caso Eni Gas e Luce:
1) Le autorità possono effettuare i controlli su segnalazione: se i tuoi clienti ti segnalano perché pensano tu non stia trattando i loro dati secondo il GDPR, cosa potrebbe succedere alla tua azienda?
2) Le sanzioni correttive a volte sono più pesanti di quelle economiche.
3) Non c'è più tempo da perdere, il GDPR è realtà.