Cosa la sanzione di 225 milioni di euro contro WhatsApp ci insegna sulla compliance privacy?

Cosa ci insegna la sanzione privacy di 225 milioni di euro contro WhatsApp rispetto a come la compliance al GDPR delle aziende deve cambiare.

Il podcast è disponibile di seguito e su Apple PodcastsGoogle PodcastsSpotify e Audible

L’argomento più caldo degli ultimi giorni per gli esperti di privacy è certamente la sanzione di 225 milioni di euro comminata dal Garante irlandese contro WhatsApp.

Si parla meno delle conseguenze che potrebbe avere rispetto all’approccio alla compliance privacy delle aziende che rischia di ritornare ad essere un lavoro ripetitivo dopo le sanzioni dell’ultimo anno.  Vediamo spesso dei gruppi internazionali che adottano informative sul trattamento dei dati personali e policy interne poco chiare, facendo affidamento sull’esigenza di garantire coerenza nel gruppo.

In questo podcast, Giulio Coraggio, Location Head del dipartimento di Intellectual Property & Technology, dello studio legale DLA Piper, analizza gli spunti di riflessione che emergono dalla sanzione privacy contro WhatsApp e come possono impattare sul programma di compliance al GDPR delle aziende.

Su di un simile argomento, può essere di interesse l’articolo “Sanzione privacy contro una società di food delivery per algoritmi discriminatori verso i rider“.

Trovate la trascrizione del podcast di seguito:

Buongiorno a tutti, sono Giulio Coraggio, Location Head del dipartimento di Intellectual Property & Technology di DLA Piper e questo è il podcast “Diritto al Digitale”.

L’argomento più caldo degli ultimi giorni per gli esperti privacy è certamente la sanzione di ben 225 milioni di euro comminata dal garante irlandese contro WhatsApp.

Si parla meno delle conseguenze che potrebbe avere questa decisione sull’approccio alla compliance privacy delle aziende che in qualche modo negli ultimi mesi, almeno dal nostro punto di vista, stanno cercando di ritornare all’approccio pre-GDPR dove la compliance privacy era più un lavoro ripetitivo. Vediamo spesso gruppi internazionali che adottano informative sul trattamento dei dati personali poco chiare che devono essere coerenti in tutto il mondo e sulla base di questo principio sono evidentemente molto generiche.

Il garante irlandese prende una posizione netta contro questo approccio, evidentemente sollecitato dallo European Data Protection Board.

Ma ora andiamo ad analizzare in concreto i punti di attenzione su cui si è focalizzato. In primo luogo sulla come vada redatta l’informativa privacy degli utenti e degli utenti sia registrati che non registrati. Il garante irlandese sottolinea come le informazioni nell’informativa privacy, scusate il gioco di parole, devono essere facili da capire. Bisogna mantenere le informazioni rilevanti in un unico posto, è fondamentale perché bisogna evitare che l’utente debba fare molteplici click per raggiungere le informazioni che sono di suo interesse, con un approccio decisamente verso il legal design che è un leit motiv nel mondo della privacy e sta evidentemente esplodendo.

Il fatto che altre società del settore adottino le stesse soluzioni che sono contestate dal garante irlandese e non è un benchmark evidentemente di riferimento perché il settore non definisce ciò che è la regola.

Quando si trattano i dati degli utenti è necessario adottare una informativa ad hoc, o quantomeno un’integrazione della propria informativa, in modo chiaramente comprensibile per questa categoria di interessati. Ci deve essere un chiaro collegamento tra la categoria dei dati personali, la finalità del trattamento e la base legale applicabile. Questo è un aspetto che troviamo sempre meno nelle informative che ci chiedono di rivedere e evidentemente modifichiamo. Bisogna sempre fornire delle informazioni che sono comprensibili, se le finalità del trattamento non sono legate alla base giuridica oppure se ci sono molteplici basi giuridiche relative alla alla stessa finalità del trattamento non è chiarito come ciascuna base giuridica trovi applicazione e evidentemente le informazioni non sono facilmente comprensibili. Bisogna descrivere il trattamento in modo dettagliato e granulare per esempio il riferimento alla finalità di sicurezza è stato contestato perché era una categoria troppo ampia e non consentiva all’interessato di comprendere come effettivamente i suoi dati personali venissero trattati.

Passiamo poi a un altro punto dolente, la conservazione dei dati. Recentemente il garante italiano ha preso una posizione netta sullo stesso punto che viene contestato dal garante irlandese. Frasi come che i dati saranno trattati fino a quando non sarà più necessario il loro trattamento per fornire servizi o per il tempo necessario per raggiungere le finalità del trattamento sono delle frasi prive di contenuto che non forniscono un’informazione chiara all’interessato rispetto al tempo di conservazione dei dati. Anche qui ci deve essere evidentemente un collegamento tra la finalità del trattamento e il relativo termine di conservazione, anche fornendo degli esempi pratici.

Ultimo punto di rilievo riguarda trasferimenti dei dati verso paesi terzi quindi situati al di fuori dello Spazio Economico Europeo. Il riferimento al fatto che il trasferimento avviene o sulla base di una decisione di adeguatezza o sulla base di altre soluzioni previste dal GDPR, se applicabili, è una frase che non consente all’individuo di comprendere chiaramente i paesi terzi in cui i dati vengono vengono trasferiti. Lo European Data Protection Board nelle proprie guidelines chiedeva di elencare specificatamente i paesi terzi. E’ un adempimento quanto meno oneroso, bisogna in ogni caso consentire all’interessato se vuole di conoscere questi paesi terzi. Qui ci colleghiamo a un altro punto dolente che non è trattato dal garante irlandese, ma in generale consiste sulla valutazione del trasferimento dei dati nei paesi terzi dopo la sentenza Schrems II e dopo le nuove Clausole Contrattuali Standard. Questo secondo noi è un altro punto su cui i garanti europei si focalizzeranno perché dopo la decisione dello scorso anno, dopo le Clausole Contrattuali Standard riscontriamo sempre più spesso che le aziende non fanno queste valutazioni dove ora il quadro giuridico è certamente consolidato e ci sono poche argomentazioni per difendersi in caso di contestazione.

Spero che questo podcast sia stato utile e vi saluto alla prossima