GDPR e sanzioni, quali sono e cosa rischiano le aziende: il caso H&M

Il 25 maggio 2018 il web è cambiato una volta per tutte. Quanto meno in Europa. Anche se molti in quel momento non se ne sono resi conto, da quel giorno è entrato in vigore il GDPR, il regolamento voluto dalla Commissione Europea per uniformare in tutto il Vecchio Continente (inclusa la Svizzera) le norme relative al trattamento dei dati dei cittadini. Il GDPR, in particolare, recepisce, “ingloba” e sostituisce tutte le normative nazionali sul trattamento dei dati personali e la protezione della privacy.

Esattamente, però, che cosa è cambiato rispetto al passato e cosa devono fare le aziende per evitare di violare il GDPR? E quali sono le sanzioni previste per chi viola il GDPR? Capiamo tutto analizzando un caso pratico.

Che cos’è il GDPR

Acronimo di General Data Protection Regulation, Regolamento Generale sulla Protezione dei dati in italiano, il GDPR è l’insieme di norme e regole alle quali tutti i soggetti che trattano dati degli utenti del web devono attenersi. In particolare, il GDPR si occupa del trattamento dei dati personali degli utenti da parte delle aziende, la loro conservazione da parte di quest’ultime e la possibilità, per gli utenti stessi, di poterli gestire in maniera semplice e immediata.

GDPR: cosa prevede

I punti cardine attorno ai quali ruota l’intera struttura del GDPR sono sostanzialmente due:

  • Semplificare il quadro normativo nelle quali le aziende si trovano a muoversi nel mercato dell’Unione Europea (e altri Paesi che hanno un trattato con l’UE);
  • Dare maggior controllo agli utenti sui loro dati, dal momento in cui vengono acquisiti dall’azienda sino alla loro cancellazione.

Affinché ciò sia possibile, il GDPR prescrive alle aziende che le richieste di consenso debbano essere più chiare e “leggibili” dagli utenti; siano stabiliti dei limiti al trattamento e all’utilizzo dei dati; imposizione di sanzioni alle aziende che violano quanto previsto dalle norme sul trattamento dei dati. Inoltre, in caso di data breach (una fuga di dati, solitamente conseguente a un furto messo in atto da criminali), il responsabile del trattamento dei dati (un professionista all’interno dell’azienda, chiamato Data Protection Officer) è tenuto ad avvisare le autorità e i legittimi proprietari nel tempo più breve possibile. Se ciò non dovesse avvenire, le sanzioni previste dal GDPR diventerebbero ancora più salate.

A metà 2020 è poi arrivata una novità per quel che riguarda il consenso al trattamento dei dati che le aziende raccolgono attraverso strumenti web. Nei due anni precedenti, infatti, era sufficiente che l’utente scrollasse parte di una pagina web per considerare il consenso al trattamento come acquisito. Una sentenza della Corte di Giustizia europea stabilisce che il consenso deve essere attivo e inequivocabile. Ciò vuol dire che l’utente, per accettare i cookie, deve cliccare sul banner per la richiesta del consenso, scegliendo se dare l’autorizzazione all’utilizzo dei cookie tecnici strettamente necessari o tutti i cookie. Per questo motivo, ad esempio, vi capita di visualizzare il banner del consenso sempre più spesso, anche se si tratta di un sito che visitate frequentemente.

Cosa rischia chi viola il GDPR: le sanzioni

Il GDPR prevede anche sanzioni piuttosto pesanti nel caso in cui il trattamento dei dati da parte di un’azienda non sia conforme alle prescrizioni in esso contenuto o sia inadempiente sul fronte delle comunicazioni.

Le sanzioni sono di due tipi, a seconda della gravità della violazione commessa. Per le violazioni lievi (come mancanza del registro di trattamento dei dati, mancata nomina di un responsabile del trattamento, omessa notifica di data breach) la sanzione arriva fino a 10 milioni di euro o il 2% del fatturato mondiale se superiore a questa cifra. Per le violazioni gravi (come mancanza di consenso al trattamento, violazione dei diritti dell’interessato, informativa privacy mancante o non idonea e violazione delle disposizioni circa il trasferimento dei dati) la sanzione arriva fino a 20 milioni di euro o il 4% del fatturato mondiale.

Alphabet, la holding che controlla Google e tutte le aziende nell’orbita del colosso di Mountain View, ha ad esempio un fatturato annuo di 46 miliardi di dollari e, in caso di violazione grave, potrebbe essere costretta a pagare fino a 1,9 miliardi di dollari di multa.

Sanzioni GDPR: il caso H&M

La gestione dei dati e la loro protezione, però, non riguarda solamente clienti e utenti del sito. Anche i dati dei dipendenti vanno acquisiti, trattati e archiviati facendo riferimento alle prescrizioni del Regolamento Generale sul Trattamento dei dati. Ne è un esempio H&M, multata per oltre 35 milioni di euro perché scoperta a profilare illecitamente i propri dipendenti. Un data breach ha infatti scoperchiato un vero e proprio caso di spionaggio interno: almeno dal 2014, H&M registrava dati, informazioni e conversazioni dei suoi dipendenti, archiviando il tutto (senza autorizzazione) su server privati.

Un’attività di profilazione particolarmente invasiva, che ha ovviamente influito in maniera negativa nel rapporto di lavoro tra il colosso fashion svedese e i suoi dipendenti. L’Autorità per la protezione dei dati di Amburgo ha così emesso una sanzione nei confronti di H&M per 35,3 milioni di euro. Da parte sua, l’azienda si è scusata con i dipendenti coinvolti nello scandalo, riorganizzando l’ufficio in maniera radicale.

Una sanzione che vale anche come avvertimento per tutte le altre aziende: le autorità statali (in questo caso quella tedesca, ma le sanzioni sono le stesse su tutto il territorio dell’Unione Europea e riguardano anche aziende con sede al di fuori dei confini dell’UE) non ammettono violazioni dei dati o trattamenti dei dati non conformi a quanto prescritto dal GDPR. Chi viene colto in flagranza di reato pagherà pesantemente il proprio comportamento.