Пресс-релиз, опубликованный несколько дней назад, в котором Гарант по защите персональных данных объявил, что он санкционировал Eni Gas и Luce (Egl) на общую сумму 11,5 млн евро, вызвал сдержанный шум.
Названия двух санкций, содержащиеся в рассматриваемом пресс-релизе, касаются соответственно незаконной обработки персональных данных в контексте коммерческой рекламной деятельности (посредством телемаркетинга) и активации незапрошенных контрактов посредством использования предоставленных данных клиентов. в другом месте.
Интересно поделиться некоторыми размышлениями, касающимися рассматриваемых мер.
Прежде всего, наконец, можно сказать - хотя и очевидно - что Италия также начала делать свои первые шаги в вальс санкционной деятельности на местах политикой конфиденциальности..
В Европе до декабря 2019 года общая сумма уже введенных санкций составила около 400 миллионов, с вкладом «всего лишь» в 50.000 XNUMX евро деятельности итальянского гаранта со знаменитой статьей «Положение» на портале Руссо.
Во-вторых, интересно отметить одно из первых конкретных применений критериев, введенных GDPR для определения санкций, связанных с нарушениями. Фактически, последние, найденные Отделом конфиденциальности Guardia di Finanza, были разработаны в соответствии с критериями, указанными в Регламенте ЕС №. 679/2016 (GDPR), который включает широкую аудиторию вовлеченных сторон, распространенность поведения, продолжительность нарушения, экономические условия Egl.
Это не новинка, но их обнаружение в рамках штрафов, налагаемых организацией, равных тем, которые налагаются на компанию Egl, придает совершенно новый оттенок значению самих критериев. Следовательно, не только традиционный аспект количества обработок или их характера, более часто используемый в предыдущем законодательстве, но и распространенные критерии (связанные с влиянием, которое санкционированное поведение оказало на соответствующих лиц), продолжительность такого поведения и - фундаментальные по отношению к квантовым - экономические условия Egl. Напротив, можно предположить, что, как уже неоднократно заявлял Гарант в отношении своей предыдущей деятельности, осуществляемой в соответствии с первым Кодексом конфиденциальности, перед организациями или компаниями с более скромными цифрами не следует ожидать железного кулака, предусмотренного потолки в стиле миллионеров по ст. 83 абзацы 4 и 5.
Наконец, интересно отметить, что Гарант хотел ввести в действие типичное несоответствие, существующее между CRM (Взаимоотношения с Клиентами - основа производственной системы каждой компании) и управление собранными согласиями. В частности, Управление отмечает, что «Эпизоды временного смещения CRM и черного списка EGL имели ограниченные и ограниченные последствия, но в любом случае представляют собой нарушение положений ст. 5, пар. 2 Регламента, поскольку Компания не смогла обеспечить и подтвердить сроки и методы обновления статуса согласия в CRM и в своем черном списке; следовательно, он также должен предписать Компании осуществлять окончательную реализацию предложенных механизмов, направленных на автоматизацию потоков данных из CRM в черный список, используемый в компании в определенные периоды времени ».
Это означает, как специалисты уже хорошо знают, что принцип приватности по замыслу в искусстве. 25 становится конкретным в той мере, в которой технические и информационные потоки, связанные с лечением, также были упорядочены, причем не столько тонны бумаги, за которой компании часто цепляются по разным причинам.
Поэтому, чтобы найти хорошее начало в этих первых мерах, Органу было бы желательно более многочисленные руководящие и вспомогательные меры, и, почему бы и нет, даже более глубокие (например, коучинг или обучение), для ООПТ или частного сектора ( особенно если речь идет о критически важной инфраструктуре) по таким темам, кроме проектов более высокого уровня на уровне обучения, например, в ходе недавних циклов собраний SMEdata.
Конечно, 11 миллионов евро не будут выплачены, не сказав ни слова, на которые обратился Эгль, посмотрим, что произойдет.
Примечание: общая цель проекта SMEDATA состоит в том, чтобы «обеспечить эффективное применение Общего регламента о защите персональных данных путем повышения осведомленности, повышения квалификации и устойчивого развития навыков для МСП и юридических профессий».
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/doc...
- https://www.cwi.it/applicazioni-enterprise/crm
- https://smedata.eu/index.php/it/
