GDPR e MULTE: ecco cosa è successo negli ultimi mesi
9 Ottobre 2019
L’articolo 83 del Regolamento UE 2016/679 (GDPR) è molto chiaro nella descrizione del modello sanzionatorio.
In modo particolare, si sofferma sulle condizioni generali da rispettare, al fine di evitare che vengano inflitte ad un ente ammende amministrative e pecuniarie per il mancato rispetto della legge privacy.
L’arrivo delle prime contravvenzioni però non si è fatto attendere. Alcune Autorità Garanti europee infatti hanno già comminato le prime multe GDPR.
Analizziamo insieme, in questo articolo, i casi più significativi.
Garante Privacy francese multa Google
Abbiamo già assistito nel nostro blog ad un duello in cui Google è stato chiamato in causa.
Ovviamente quando si ha come protagonista un grande colosso del mondo digitale la notizia fa decisamente più scalpore. Ma in questo caso che cosa è successo?
La vicenda tra il 25 ed il 28 maggio 2018, proprio contestualmente all’entrata in vigore della normativa privacy, quando sono state presentate due denunce contro il gigante del web.
Max Schrems, giovane attivista austriaco e fondatore della None of Your Business, ha chiamato in causa, insieme all’associazione di promozione dei diritti digitali La Quadrature du Net, Mr. Google.
Le accuse mosse? Innanzitutto, di non aver presentato agli utenti le notizie sulla modalità di trattamento in modo chiaro.
In secondo luogo, il mancato rispetto dell’obbligo di individuare una base giuridica per il trattamento sulla pubblicità mirata, affinché sia lecito l’utilizzo dei dati finalizzato alla personalizzazione dei messaggi pubblicitari. Non è sufficiente raccogliere un consenso generico: alla persona deve essere data la possibilità di scegliere sempre l’utilizzo dei propri dati in maniera chiara ed esplicita.
La questione è terminata a gennaio 2019, quando il Garante per il trattamento dei dati personali francese ha condannato Google LLC ad una multa di 50 milioni di dollari.
Garante Privacy tedesco multa Knuddels.de
Il 22 novembre 2018 l’Autorità per la protezione dei dati del Land di Baden-Württemberg (LfDI) ha multato Knuddels.de per violazione del GDPR: la piattaforma di chat online conservava in chiaro, senza hash o altre misure di sicurezza aggiuntive, i dati degli utenti poi successivamente diffusi dagli hackers responsabili dell’attacco sui siti di file hosting/sharing Mega e Pastebin.
Tale attacco ha causato una perdita di quasi 2 milioni di username/password e più di 800 mila e-mail, oltre ad indirizzi di residenza degli utenti. I nomi utente e le password sono finiti nei database on-line e resi accessibili a tutti.
Gli inquirenti riconducono la causa del data breach alla mancata osservanza dell’art. 32 del GDPR, ai sensi del quale: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio…”.
Nel caso specifico sarebbe stato necessario, data la natura dei dati e le modalità del trattamento, implementare misure di sicurezza quali la crittografia e l’uso di algoritmi di anonimizzazione.
La multa dal Garante, pari a 20.000 euro, si pone al di sotto di quanto previsto dall’art. 83, n.4, del GDPR, che stabilisce quale tetto massimo per le sanzioni amministrative per questo tipo di violazioni 10 milioni di euro o, per i gruppi di impresa, fino al 2% del fatturato mondiale totale annuo.
La ragione di tale cifra si riconduce alla collaborazione mostrata dal Titolare del Trattamento con le autorità statali ed all’impegno assunto nell’adozione di nuove misure di sicurezza per la protezione dei dati.
Garante Privacy portoghese multa l’ospedale Barreiro Montijo
Arriva dal Portogallo la notizia della prima multa di 400 mila euro imposta dal Garante per la protezione dei dati personali portoghese, la Comissão Nacional de Protecção de Dados (CNPD) che ha colpito il Barreiro Montijo, un ospedale vicino Lisbona, accusato di non aver adeguatamente protetto i dati personali dei pazienti, in conformità a quanto stabilito dal Regolamento europeo.
Nel Comunicato ufficiale del Garante si rende noto che il personale della struttura ad Aprile 2018 ha segnalato che circa 985 impiegati avevano accesso ai dati dei pazienti a fronte di un personale medico di 296 dottori.
Data la violazione di dati personali particolari a danno dei pazienti sono state comminate due diverse sanzioni: una multa di € 300.000 per non aver rispettato la riservatezza del paziente, consentendo l’accesso al personale non autorizzato agli archivi della struttura.
La seconda ammenda di € 100.000 è stata imposta per l’incapacità dell’ospedale di garantire l’integrità della sicurezza dei dati nel proprio sistema.
Come nel caso precedente anche in quest’ulteriore episodio di data breach la sanzione corrisposta è risultata piuttosto esigua, considerato il tetto massimo di € 20 milioni che può essere imposto a un’organizzazione in casi simili.
Le multe GDPR coinvolgono tutti: piccole, medie e grandi imprese
Non importa quanto sia strutturata un’azienda: il Regolamento Europeo coinvolge tutti, senza distinzione.
Facciamo alcuni esempi:
- Il Garante austriaco ha condannato un imprenditore al pagamento di un’ammenda pari a €4.800 per aver installato le telecamere di videosorveglianza fuori dal suo esercizio commerciale, riprendendo parte del marciapiede. La palese violazione del principio di liceità, correttezza e trasparenza giustifica l’intervento del Garante. I casi riportati confermano il valore prescrittivo della normativa e la doverosa compliance al contenuto.
- Il Garante privacy italiano invece è stato chiamato in causa per multare un medico, a causa di un trattamento illecito di dati personali. Sono stati utilizzati gli indirizzi di 3.500 pazienti per inviare lettere a sostegno di un candidato alle elezioni del 4 marzo del 2018, senza che gli interessati avessero espresso il consenso. 16.000€
- Il Garante privacy danese ha sanzionato la società produttrice di mobili IDdesign per €200.850, corrispondenti a 1,5 milioni di corone danesi, per aver conservato i dati di un elevato numero di clienti per un periodo superiore al necessario
- Il Garante privacy rumeno ha multato Unicredit Bank S.A, con un’ammenda di €130.000, per non aver adottato le giuste misure tecniche e di sicurezza in seguito all’entrata in vigore del GDPR.
Legge Privacy in Italia – sanzioni penali
Per quanto concerne l’Italia si rammenta che con il decreto di adeguamento al GDPR, il D.Lgs. 10 agosto 2018, n. 101, accanto alle sanzioni amministrative, si confermano le sanzioni penali previste dal Codice Privacy e se ne introducono di nuove.
Che cosa devono fare le aziende italiane per tutelarsi?
Sicuramente far tesoro dei provvedimenti, facendo proprio il concetto di Accountability, avendo consapevolezza della necessità dell’esistenza di una giustificazione in ogni decisione compiuta.
Aggiornamento del 10/01/2020
Come ogni fine anno il fatidico momento dei bilanci non si è fatto attendere, neanche per il Garante Privacy.
In merito al numero delle sanzioni applicate, un recente studio dell’Osservatorio di Federprivacy ha rilevato che l’Italia si colloca al primo posto con l’applicazione di circa 30 provvedimenti per un ammontare di 4.341.990 euro.
Tuttavia da analisi più approfondite è emerso che tutte le sanzioni inflitte siano relative a contenuti previsti già nella previgente disciplina, ad eccezione di quella inflitta al M5S per la piattaforma di e-voting Rousseau, che si lega al “post-GDPR”.
A tal proposito si considerino i dati statistici seguenti: il 44% delle sanzioni comminate si riconducono al trattamento illecito dei dati, il 18% all’assenza di misure di sicurezza, il 9% all’omessa o inidonea informativa, il 13 % al mancato rispetto dei diritti degli interessati e il 9% ad episodi di data breach.
Multe: il resoconto del primo semestre
Dopo averti presentato le casistiche più rilevanti, facciamo un breve riassunto.
L’Autorità ha segnalato l’iscrizione a ruolo di 779 contravventori che porterà ad una riscossione complessiva di circa 11 milioni di euro.
Ma il Garante si mantiene attivo: a breve si concluderà l’iter per l’iscrizione di altri 500 trasgressori. L’avvio della procedura esecutiva per un numero così rilevante di casi fa seguito alla scarsa adesione alla sanatoria introdotta dal d.lgs n. 101/2018: sugli oltre 1300 contravventori che rientravano nell’ambito di applicazione del decreto solo 88 si sono avvalsi di questa facoltà, versando un totale di 386.400 euro.
Nei primi sei mesi del 2019, inoltre, il Garante dichiara che sono state realizzate 65 ispezioni, anche con l’ausilio della Guardia di finanza, che hanno interessato, tra l’altro, call center, aziende di marketing, società che rilasciano Spid, grandi alberghi, banche dati di rilevanti dimensioni della Pa.
Nello stesso periodo le entrate derivanti dall’attività sanzionatoria sono state pari a 1.222.955 euro e 86 sono state le ordinanze adottate, alcune relative a casi complessi riguardanti molteplici violazioni, per un totale di 3.250.390 euro.