E’ ormai trascorso più di un anno dall’entrata in vigore del GDPR.
Vediamo dunque a che punto siamo con le verifiche sulla conformità alla normativa effettuate da parte delle autorità competenti (Garante Privacy e Nucleo speciale della Guardia di finanza).
Come saprai, pesanti sanzioni di natura amministrativa sono previste in caso di violazioni del nuovo regolamento europeo sulla protezione dei dati.
Il periodo transitorio in cui il Garante ha mostrato una certa “comprensione” nei confronti di aziende e pubbliche amministrazioni inadempienti si può ritenere definitivamente concluso.
Negli ultimi mesi, infatti, sono pervenuti all’autorità di controllo 7219 reclami e segnalazioni, nonché 946 notifiche di violazioni della privacy (dati registrati dal 25 maggio 2018 al 31 marzo 2019).
A seguito di questa situazione, il Garante ha optato per deciso un giro di vite, dando il via ad un’intensa attività di sorveglianza.
Chi è soggetto ai controlli?
Con la Deliberazione del 14 febbraio 2019, l’autorità ha indicato le tipologie di imprese maggiormente coinvolte dalle ispezioni.
Esse sono, nello specifico: istituti di credito, sanità, sistema statistico nazionale (Sistan), Spid, telemarketing, carte di fedeltà, grandi banche dati pubbliche.
I controlli non vengono tuttavia effettuati solo in questi settori, ma si concentrano anche sulle attività delle pubbliche amministrazioni.
In particolare, molta attenzione viene posta sulle misure di sicurezza predisposte da quegli enti che trattano categorie particolari di dati, quali ad esempio le scuole.
Diverse le inadempienze sanzionabili: una di esse, la pubblicazione sul sito internet istituzionale di vecchie informative non più conformi alla normativa.
Senza dimenticare i reclami, le segnalazioni o le notifiche di violazioni dei dati personali.
In che cosa consiste un controllo? Che documenti vengono richiesti alla scuola?
Solitamente durante i controlli viene richiesta tutta la documentazione sulla privacy prodotta dall’istituto.
Dalle informative e i consensi, al registro dei trattamenti; dalle designazioni di responsabili e autorizzati al trattamento, alla nomina del DPO; fino ad arrivare alle misure di sicurezza previste in caso di “data breach”.
Alla luce di tutto ciò, si evince quanto sia importante per la scuola avere sempre a disposizione tutto il materiale comprovante la piena conformità al GDPR.
I controlli non sono solo formali, bensì sostanziali, e mirano a verificare cosa sia stato concretamente fatto e in che modo.
Il dirigente scolastico deve dimostrare di avere il totale controllo sui dati gestiti e di essere pienamente consapevole dei rischi derivanti dal trattamento.
E per quanto riguarda le sanzioni?
Come detto, le sanzioni amministrative previste in caso di inadempienza al GDPR sono rilevanti e causerebbero alla scuola un incalcolabile danno economico.
Più precisamente, le ammende potrebbero arrivare fino a 20 milioni di euro (o per le imprese fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).
In tal senso, a titolo di esempio, molto clamore mediatico ha destato in questi mesi la condanna di Google al pagamento di 50 milioni di euro per violazioni delle norme su trasparenza, base giuridica e consenso previste dalla nuova normativa.