Privacy e impronte digitali, per la serie a volte ritornano o gli evergreen. Il Garante ha sanzionato per ventimila euro una società sportiva, a seguito della segnalazione dei sindacati relativa all’introduzione di un sistema per timbrare basato sulle impronte digitali. Tema sul quale il Garante per la protezione dei dati personali più volte negli anni si è pronunciato.
I vecchi provvedimenti
Ecco un provvedimento del 2014, in epoca Soro per intenderci, rimanda alle Linee Guida di quegli anni, un documento molto dettagliato in materia.
Potremmo restare qui a fare un lungo elenco di provvedimenti in materia. Ci limitiamo a rimandare a questa pagina, ma sarebbe un esercizio piuttosto sterile in quanto piuttosto monotono e ripetitivo. Dove sta la monotonia? Non certo nei dettagli che dall’analisi dei commenti dell’Autorità scaturirebbero, quelli sono sempre fonte di arricchimento.
Minimizzazione
Qui la noia la farebbe da padrona. La stragrande maggioranza dei provvedimenti ha a che spartire con questo piccolo problema: nessuno si fila la minimizzazione che lo ricordiamo è uno dei principi cardine di tutto il GDPR:
I dati personali sono: …
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
Richiedere dati eccedenti il necessario rende il trattamento di fatto illecito. La questione della minimizzazione è molto di frequente sottovalutata dalle imprese. Moltissime volte mi è accaduto di visionare form per iscriversi a una newsletter che non chiedevano solo il numero di scarpe, per il resto non mancava nulla. Questo approccio oltre a essere dannoso a livello di ritorno d’immagine (la gente non ha voglia di stare troppo a compilare form complessi), lo è anche sotto quello della violazione di quello che di fatto è l’articolo più importante del GDPR. Non trascuriamo che violare il 5, implica immediatamente avere a che fare con le sanzioni più elevate.
Questione di sensibilità
Inizio sempre i corsi di formazione sul GDPR dicendo come questa normativa richieda un cambio di attitudini, per sviluppare attraverso il concetto di accountability una nuova sensibilità, una forma mentis nuova attenta a problematiche troppo spesso in Italia sottovalutate quanto a ricaduta in termini di immagine e di gestione del rischio imprenditoriale. Non devono più essere i consulenti a essere “quelli della praivasi“, quello che dal 25 maggio 2018 si sta tentando di ottenere (con risultati alterni lo ammetto, ma spesso anche a causa di decisioni politiche discutibili) è proprio lo svilupparsi di questa nuova mentalità, di questa cura e attenzione ai temi della compliance. Il provvedimento e questa sanzione devono essere un ulteriore monito e uno sprone a proseguire ulteriormente sul percorso iniziato nel 2018, a prescindere dalla tematica del caso.
