Lo scorso 9 luglio l‘Autorità per la protezione dei dati personali del Regno Unito – ICO ha pubblicato la sua relazione annuale 2018-2019. La relazione è la prima dopo l’inizio della piena applicazione del Regolamento generale per la protezione dei dati personali GDPR e fornisce una panoramica generale dell’esperienza dell’ICO in questo primo anno, definito anche come “un anno senza precedenti”. La relazione permette di definire lo scenario di come aziende e utenti stanno affrontando la privacy dopo la rivoluzione della normativa.
Indice degli argomenti
La relazione di ICO
Dalla relazione è evidente come l’Autorità britannica prende davvero sul serio il proprio lavoro nel perseguire gli obiettivi che si è posta. Nel periodo in questione infatti ICO ha registrato poco meno di mezzo milione di richieste sotto forma di chiamate, live chat e richieste scritte, con un aumento di 66% rispetto all’anno precedente. La sua guida al GDPR ha ricevuto oltre 15 milioni di visualizzazioni. Il sito Web della ICO ha raddopiato il traffico con un significativo aumento dei singoli utenti che lo visitano. Le denunce da parte del pubblico sono quasi raddoppiate e l’ICO ha annunciato che avrebbe semplificato il processo di reclami nel prossimo anno per far fronte al continuo aumento di lavoro dell’autorità. L’anno scorso, infatti, sono stati presentati oltre 41.000 reclami e segnalazioni, essendo la maggior parte presentata contro imprese nel settore del “business generale”, poco più del 16% contro imprese del settore sanitario e circa 10% contro imprese del settore finanziario, assicurativo e creditizio.
Interessante osservare come oltre ai reclami relativi al GDPR, sono aumentati anche i reclami ai sensi della c.d. legge sulla privacy e le comunicazioni elettroniche (“PECR”), che nel Regno Unito dà attuazione alla direttiva sulla privacy 2002/58/CE e regola l’uso dei cookie e del marketing elettronico. l’ICO ha emesso 23 avvisi di sanzioni pecuniarie per violazioni di tale legge. Il totale delle sanzioni imposte è stato di poco più di £ 2 milioni – un evidente prova del fatto che in attesa dell’entrata in vigore del Regolamento e-privacy, le aziende che non hanno revisionato le proprie strategie di e-marketing e cookies devono riconsiderare approccio.
Aumentano i data breach
Altro dato che emerge dalla relazione è il numero elevato di segnalazioni di data breach da parte delle aziende – più di 13 000, quasi quattro volte di più rispetto all’anno precedente e come base delle numerose segnalazioni vi è stata la sicurezza informatica. A maggio 2019 in Italia tali segnalazioni erano poco più di 600. La ICO ha stabilito che nell’82% dei casi l’organizzazione in questione disponeva di misure sufficienti o stava prendendo le misure appropriate per far fronte alla violazione e solo in meno di 1 % dei casi è stata emessa una sanzione pecuniaria.
La ICO ha anche aumentato il proprio personale di quasi il 40% in vista della crescente mole di lavoro. La relazione annuale definisce i piani per un’ulteriore aumento, mirando a raggiungere circa 825 dipendenti entro il 2020/21 che è un dato impressionante visto che in Italia il numero di impiegati del Garante per la protezione dei dati personali a gennaio 2019 è di 170 impiegati.
Le sanzioni
Per quanto riguarda le sanzioni, per il 2018 la ICO ha imposto sanzioni per un totale di circa 3 milioni di sterline ai sensi del Data Protection Act 2018. Sono state comminate delle sanzioni anche per il mancato pagamento della c.d. data protection fee ( dal 25 maggio 2019 i titolari del trattamento di dati personali dovranno pagare una tassa annuale all’ICO, a meno che non siano esenti dal farlo). Quest’ultima insime alle sanzioni per gravi violazioni del Data Protection Act 2018 o PECR, sono le principali fonti di reddito per la ICO.
L’anno scorso, inoltre, ha visto ICO collaborare con una serie di altre autorità garanti del Regno Unito come ad esempio con l’omologo inglese dell’Autorità italiana garante della concorrenza e del mercato e quest’anno entrerà a far parte della UK Regulatory Network, un’associazione di 11 autorità garanti britannici nei settori dei servizi pubblici, finanziari e dei trasporti.
Le priorità da affrontare
Nella relazione annuale la ICO stabilisce le sue priorità per l’anno a venire. Tra loro importante è l’elaborazione di quattro codici di condotta obbligatori, uno per aiutare a proteggere i minori online, gli altri con temi principali: condivisione dei dati, marketing diretto, protezione dei dati e giornalismo. In più la ICO ha riconosciuto le sfide che le aziende hanno affrontato nell’ultimo anno, in particolare le piccole e le medie imprese, e ha osservato che sta valutando la possibilità di istituire uno “sportello unico” per le PMI al proprio interno al fine di aiutarle nel processo di adeguamento.
Infine, l’ICO riconoscendo che l’economia digitale è un fenomeno globale, ha dedicato delle risorse significative alla costruzione di relazioni internazionali al di fuori dell’UE, anche attraverso la partecipazione a diverse reti come ad esempio L’Autorità per la privacy dell’Asia del Pacifico. Continua anche a lavorare a stretto contatto con la Federal Trade Commission degli Stati Uniti. ICO ha descritto quest’ultimo anno come un anno “impegnato e cruciale” e la relazione evidenzia la sua intenzione di migliorare sempre di più i propri servizi e di perseguire i propri obiettivi in modo efficiente e sofisticato. Anche importante sottolineare come, nonostante il possibile Brexit, il Regno Unito riconosce l’importanza del tema della privacy e ICO intende continuare a lavorare, rispettando dei principi comuni a tutti i paesi europei.
