I nuovi bulli del GDPR: come e perché gli utenti del web denunciano le aziende e gli strumenti per evitarlo

I nuovi bulli del GDPR: come e perché gli utenti del web denunciano le aziende e gli strumenti per evitarlo

Quello delle denunce di illeciti privacy e dei ricatti nei confronti delle aziende è un fenomeno in sensibile aumento, che ha registrato nei primi 9 mesi del 2019 un +327% rispetto all’anno precedente.
Un aumento di tali dimensioni trova giustificazione nella grande attenzione che oggi si pone al tema della protezione dei dati personali, che con il GDPR è divenuto il focus sia delle aziende, sia degli utenti, sempre più consapevoli dei propri diritti e di quanto possono richiedere in merito alla raccolta e alla gestione dei loro dati personali.

Quali sono le falle delle aziende che aprono la strada a contestazioni, denunce ed ispezioni?
In questo articolo approfondiamo come e perché gli utenti possono denunciare un’azienda, su cosa fanno leva, e come porre rimedio alle violazioni formali e sostanziali che possono portare ad una denuncia, evitando così spiacevoli situazioni di crisi all’interno dell’azienda.

Perché un utente contesta un’azienda

I principali motivi di contrasto che possono portare un interessato a denunciare un’azienda in ambito privacy possono essere riassunti nei seguenti casi:

  • convinzione di aver subito un torto di recente da parte di un’azienda, verso la quale nasce una sorta di antipatia;
  • ricatto per un beneficio personale, come nel caso degli utenti che richiedono sconti agli ecommerce promettendo di non denunciare una loro violazione lato privacy;
  • piacere di mettere in difficoltà l’azienda;
  • hater seriali che dai social network si stanno muovendo anche in ambito privacy;
  • vendetta per un torto subito nel passato, soprattutto da parte di ex clienti, ex fornitori, ex dipendenti o ex soci;
  • questione di principio, che porta l’utente ha denunciare un’azienda che non rispetta la legge.

 

In che modo un utente può denunciare un’azienda

La semplicità con cui è possibile denunciare un’azienda a seguito di un illecito, vero o presunto, fa capire alle aziende quanto sia rischioso questo fenomeno. Di fatto, un cittadino ha la possibilità di scegliere numerose vie che vanno oltre la classica denuncia tramite avvocato.
Ad esempio, l’interessato potrebbe denunciare l’illecito:

  • ai Carabinieri, che a loro volta possono aprire una segnalazione con il Garante della Privacy o con la Guardia di Finanza;
  • al Garante della Privacy stesso, che valuta se procedere con un’ispezione nei confronti dell’azienda;
  • associandosi in una Class Action (il primo caso italiano di Class Action è stato portato avanti da Altroconsumo nei confronti di Facebook proprio per questioni di Privacy).

Cosa succede quando l’azienda inciampa in una denuncia

Tutto comincia con una richiesta di chiarimento da parte di un interessato:
“Dove avete trovato il mio nominativo?”
“Perché mi state inviando le vostre newsletter?”
“Che dati avete di me e che consensi state gestendo?

Queste richieste, neutre in apparenza, possono da subito mettere in difficoltà l’azienda. Spesso accade che le informazioni non siano facilmente reperibili, siano distribuite in luoghi diversi oppure facciano capo a soggetti diversi, a volte esterni all’azienda (si pensi al caso di un’agenzia che gestisce le campagne di email marketing per conto dell’azienda).
Ne deriva una risposta improvvisata o incompleta, che potrebbe portare l’utente ad ulteriori richieste, fino ad arrivare ad una vera e propria denuncia nel caso in cui l’azienda non riesca a fornire le prove che l’utente richiede.

Nel caso peggiore, laddove non si riesca a trovare un accordo, la denuncia viene recepita dal Garante della Privacy che può decidere di procedere con un’ispezione. A quel punto l’azienda entra in un flusso di controlli che può durare diversi mesi, durante i quali il Garante della Privacy e la Guardia di Finanza, che partecipa all’ispezione, la costringono a produrre documentazione continua e a rispondere a continue richieste di integrazioni e chiarimenti.

Le richieste non riguardano solamente la parte formale, legata alla documentazione (”Che informativa ha visto l’utente del quale avete raccolto i dati?”) ma anche quella sostanziale di gestione pratica dei dati (“Qual è il processo con cui avete raccolto i dati di quell’utente?”, “Quali sono i trattamenti a cui li sottoponete?”, “Quali sono le prove che dimostrano che il consenso che avete raccolto sia genuino?”) ed è sempre l’azienda che deve dimostrare con prove concrete di aver agito in modo legittimo.

Dopo mesi di scambi con le autorità si arriva alla sentenza, con la quale viene stabilito se l’operato dell’azienda sia o meno legittimato dalla legge.

Quali sono le falle delle aziende che aprono la strada alle denunce e come porvi rimedio

Se un interessato decide di denunciare un’azienda usando la privacy come mezzo, significa che in qualche modo è entrato in contatto con un illecito, vero o presunto.

Le violazioni formali

In un primo caso può trattarsi di qualcosa che l’interessato ha visto, che nella maggior parte dei casi può riguardare una documentazione non corretta o incompleta oppure un form di raccolta dati con un comportamento poco trasparente, che, ad esempio, non rispetta il principio di minimizzazione e aggrega i consensi senza distinguerli per finalità.

Possiamo considerare questi esempi come violazioni formali del GDPR, che possono essere evitate con la sistemazione completa della documentazione (Informativa Privacy, Informativa Cookie) e la sistemazione dei punti di raccolta dei dati nel sito (form di raccolta, banner cookie) e nei moduli cartacei.

Le violazioni sostanziali

In un secondo caso la denuncia può partire da qualcosa che l’azienda ha fatto e di cui l’interessato è venuto a conoscenza in un secondo momento: una newsletter inviata senza consenso, l’utilizzo di dati scaduti, la comunicazione di dati personali a terzi senza consenso, richieste degli utenti disattese, un data breach.
In tutti questi casi di esempio, la violazione è di tipo sostanziale ed è determinata da una gestione dei dati non centralizzata e poco lineare, situazione comune ad aziende che conservano i dati (spesso duplicati) su supporti diversi, utilizzano molti strumenti e tool per trattare i dati o che si affidano a molteplici fornitori esterni. In questi casi tenere traccia di tutti i consensi ricevuti, aggiornare i dati in tempo reale e rispettare la data retention diventa estremamente complesso.

Lo strumento adeguato per risolvere questa situazione non è un CRM o un log file statico (il perché lo spieghiamo in questo articolo dedicato) bensì un software come PrivacyOS, in grado di creare un Registro Centralizzato dei Consensi, che memorizza consensi e prove del consenso, gestisce la data retention e si integra con tutti gli strumenti e tool aziendali per mantenere sempre allineate queste informazioni ed impedire così un utilizzo illecito dei dati personali.



Utilizziamo cookie propri e di terze parti per gestire, migliorare e personalizzare la tua esperienza di navigazione del sito. Utilizziamo anche cookie di profilazione per inviarti messaggi pubblicitari in linea con le tue preferenze. Per maggiori informazioni su come utilizziamo i cookie e su come rimuoverli, consulta la nostra politica sui cookie. Cliccando sul pulsante “Accetto” o continuando a navigare il sito o questa pagina, acconsenti all’utilizzo dei cookie.