In questo articolo abbiamo parlato dell’importanza di tutelare la sicurezza e l’integrità dei dati trattati da un’APP o da un sito attraverso delle misure tecniche di cybersecurity, per scongiurare il rischio di accessi non autorizzati ai dati personali.
Questo però non basta.
Occorre anche preparare e sottoscrivere i vari contratti previsti per legge, che contengono le misure organizzative necessarie per una corretta protezione dei dati.
Ne sa qualcosa il Comune di Roma Capitale che, nella gestione automatizzata dei parchimetri sul territorio comunale, è stato sanzionato, tra le altre cose, anche per non essere stato in regola con i contratti relativi al trattamento dei dati.
Ecco i fatti.
Il Comune ha predisposto l’installazione dei parchimetri automatici, stipulando un contratto con la società di gestione dei parcheggi.
La società di gestione dei parcheggi ha sottoscritto, a sua volta, un contratto di fornitura degli apparecchi con una società specializzata.
Questa triangolazione comportava che i dati trattati per l’erogazione del servizio di parcheggio fossero visibili al Comune e alle due società coinvolte, ma non c’era alcun contratto che disciplinasse questa gestione promiscua dei dati.
Il contratto mancante è l’atto di nomina a responsabile (o Data Processor Agreement) previsto dall’art. 28 GDPR.
Oltre ad altre irregolarità rilevate, la mancanza di questo contratto è costata cara a tutte e tre le società, senza esclusione di colpi:
€ 800.000,00 al Comune di Roma Capitale;
€ 400.000,00 alla società di gestione parcheggi;
€ 30.000,00 alla società fornitrice degli apparecchi.
Anche se la società di gestione dei parcheggi aveva più volte sollecitato al Comune il contratto, ciò non l’ha risparmiata dalle sanzioni!
“Potevi sciogliere il contratto per inadempimento” risponde il Garante.
Come se ciò fosse semplice, di questi tempi (dico io).
Ma il punto importante è proprio questo: avere tutte le carte in regola è uno dei tanti adempimenti richiesti dal GDPR. Non averle, espone al rischio di sanzioni molto salate.
E questo tipo di documenti è obbligatorio non solo per enti pubblici e società, ma in qualsiasi caso in cui vi sia un trattamento promiscuo di dati (come ad esempio il social media manager che lavora come freelance per i propri clienti o l’assistente virtuale per fare qualche esempio).
Come è successo tutto questo? Il tutto è partito da un semplice reclamo da parte di un interessato. Uno soltanto.
E non vale la scusa che il compito di farlo era di qualcun altro o la dimostrazione di avere più volte sollecitato, anche formalmente, la sottoscrizione dello stesso.
Perciò avere tutti i documenti in regola può fare davvero una grossa differenza perché, come abbiamo visto in questo caso pratico, la legge sulla privacy proprio non perdona!
Vuoi lavorare con me per predisporre tutti i documenti necessari per una corretta Compliance?
Compila il form qui sotto e riceverai via email un veloce questionario da compilare per valutare come possiamo lavorare assieme: