Certo non è mai troppo tardi. A quattro anni dall’entrata in vigore del GDPR, due dalla sua attuazione e periodi di “prova” e di sospensione del regime sanzionatorio, è arrivata l’ora anche per il Garante per la Protezione dei Dati Personali italiano di attivarsi e di adempiere anche ai suoi, di obblighi. E come iniziare al meglio la propria attività se non iniziando a verificare il livello di attuazione della nuova normativa in materia di protezione dei dati?

Beh, non possiamo certo dire di non aver avuto tempo a sufficienza per regolarizzare le nostre posizioni e i nostri documenti, eppure le sanzioni stanno cogliendo impreparati i più.

Si sa, i colossi della telefonia sono sempre sotto attacco e sotto assedio: a causa della poca volontà (o poco ritorno…) di mettersi in pari con i compiti a casa, queste sono le aziende che hanno subìto quasi nell’immediatezza le conseguenze di telefonate e messaggi commercial-promozionali mandati a tappeto, anche a coloro che erano iscritti al Registro delle Opposizioni o non desideravano essere ricontattati.

Da qualche anno a questa parte il personale dipendente di aziende, scuole e pubbliche amministrazioni può usufruire di uno strumento molto utile per segnalare casi reali o presunti di illecito a cui ha avuto la sfortuna di assistere, o osservare. Si tratta del Whistleblowing (letteralmente “soffiatore nel fischietto”), ovvero di un iter di denuncia anonima del fatto. L’Ateneo coinvolto in questo caso si è “dimenticata” di ripristinare ed implementare le misure adeguate di sicurezza a seguito dell’aggiornamento software della piattaforma utilizzata dall’Università. Così, le informazioni riservate concernenti denunce e nomi sono rimasti leggibili ed indicizzate da alcuni motori di ricerca. L’Università è intervenuta sulle cache, cancellandone copia e deindicizzando ogni riferimento scappato dalla rete della privacy. Per la mancata adozione di linee adeguate di sicurezza, l’Ateneo ha così dovuto pagare un pegno di 30.000 Euro per la sua disattenzione… o superficialità.

La curiosità porta solo guai… come quelli che hanno bussato alla porta di uno specializzando, di un radiologo e di un terzo soggetto -che ha utilizzato le credenziali incustodite di un medico- hanno effettuato l’accesso ai dossier sanitari dei propri colleghi. La struttura sanitaria ha scoperto questo “slancio di interesse” tra colleghi effettuando i periodici controlli informatici. Intervenuto il Garante Privacy, è stato appurato che le misure tecniche e adeguate di sicurezza non corrispondevano alle linee guida emanate dall’Autorità in materia di Dossier Sanitario nel 2015. Anche qui la sanzione ammonta a 30.000Euro.

È inutile… la curiosità si paga cara e le misure adeguate di sicurezza devono essere costantemente controllate e implementate per mantenere un alto livello di sicurezza, per evitare di mettere nei guai i propri clienti e dipendenti. …e per non dover aprire il portafoglio…