Privacy: le prime sanzioni europee alle violazioni del GDPR
Dopo un periodo di tolleranza in materia di privacy, sono scattate dunque le prime sanzioni europee alle violazioni del GDPR.
Secondo il recente rapporto della Federprivacy i Garanti Europei della Privacy hanno inflitto ben 410 milioni di euro di multe per le violazioni al Regolamento Europeo UE 2016/679.
Prima in classifica con un totale di 312 milioni di euro di sanzioni emanate a diversi trasgressori è il Regno Unito, che rappresenta il 76% circa del totale complessivo delle nazioni esaminate.
L’italia si pone invece tra le prime, non tanto per le cifre pecuniarie, quanto piuttosto per il numero di provvedimenti sanzionatori, esattamente 30 per un totale di 4 milioni e 342 mila euro.
Ricordiamo che il Regolamento Europeo in materia di privacy e GDPR è entrato in vigore il 25 maggio 2018.
Gli Stati Membri Europei hanno mantenuto un certo periodo di tolleranza o di “fermo sanzionatorio”. Questo per consentire a tutte le aziende di adeguarsi e di perfezionare gli accorgimenti che già con il codice Privacy avrebbero dovuto seguire.
Successivamente a questo periodo di transizione sono scattati i controlli, che hanno portato alla luce numerose infrazioni al codice con conseguenti pesanti sanzioni.
Privacy: sanzioni europee e mancato rispetto dell’ accountability
Le sanzioni europee emanate dalle autorità di controllo hanno tutte in comune lo stesso denominatore, rappresentato dal mancato rispetto del concetto di Accountability su cui si fonda il GDPR o Regolamento EU 679/2016.
L’entrata in vigore del nuovo regolamento in materia di privacy e di trattamento dei dati personali ha apportato dei cambiamenti radicali anche a livello legislativo, introducendo dei principi cardine come la ”responsabilizzazione” del titolare e del responsabile del trattamento.
L’Accountability trova spiegazione nel concetto italiano di responsabilizzazione anche se ha un’accezione molto più ampia.
Il principio cardine del GDPR riguarda infatti l’esigenza che soggiace a quello di responsabilizzazione, inteso come raggiungimento effettivo della protezione del dato personale oggetto di trattamento.
Il titolare, il responsabile del trattamento dei dati e tutti coloro che hanno definito finalità e mezzi del trattamento devono agire e dimostrare di aver adottato tutti gli strumenti necessari e le misure di sicurezza più opportune, e giustificare le motivazioni di ogni singola decisione ed azione.
Tipo di sanzioni
Abbiamo racchiuso le sanzioni europee dell’errato trattamento dei dati personali in materia di privacy in alcune macro categorie riconducibili come abbiamo visto al concetto di accountability.
Nello specifico:
- il 44% delle sanzioni riguardava gli illeciti nel trattamento stesso;
- il 18% sono avvenute a causa di insufficienti misure di sicurezza;
- il 13% delle multe è scaturito dal mancato rispetto dei diritti dell’interessato del trattamento;
- il 9% dei casi ha interessato l’omessa o inidonea informativa
- il restante sono avvenute per incidenti informatici o altri data breach.
I settori maggiormente colpiti nel 2019 sono la pubblica amministrazione con il 17% del totale delle multe e quello delle telecomunicazioni con 28 sanzioni su 190 complessive.
Ma vediamo nello specifico quali sono stati i casi più significativi.
Google vs Garante Privacy Francese
A cavallo dell’entrata in vigore del GDPR nel maggio 2019 il colosso Google è stato multato dal Garante Francese con due denunce a suo carico.
La prima riguardava l’informativa poco chiara sulle modalità di trattamento dei dati.
La seconda accusa è quella di non aver rispettato l’obbligo di individuare una base giuridica per il trattamento sulla pubblicità. Gli utenti finali devono per diritto poter scegliere come possono essere utilizzati i propri dati e poter dare il consenso su informazioni chiare e dettagliate.
Google LLC è stata una delle prime vittime delle sanzioni europee in materia di privacy. E’stato così condannato a pagare una multa di 50 milioni di dollari.
Knuddels.de vs Garante Privacy Tedesco
Knuddels.de, una piattaforma di chat online, in seguito ad un attacco hacker ha subito la perdita di quasi 2 milioni di credenziali e 800mila email, tra cui user, password e dati di residenza degli utenti.
L’ingente danno ha visto milioni di dati personali on-line resi pubblici e alla mercè di tutti.
Il Garante Privacy tedesco riconduce la causa del data breach alla mancata osservanza dell’art. 32 del GDPR secondo cui:
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio…
Nel caso specifico vista la mole, la natura e le modalità di trattamento dei dati la società discussa avrebbe dovuto implementare le misure di sicurezza, adottando la crittografia o usando algoritmi per l’anonimizzazione.
La multa elargita si aggira intorno ai 20 mila euro, così come previsto dal regolamento. Le sanzioni europee per la privacy infatti possono arrivare fino ad un tetto massimo di 10 milioni di euro o per i gruppi di impresa al 2% del fatturato mondiale annuo.
Ospedale Barreiro MOntijo vs Garante Privacy Portoghese
Questo è il caso più eclatante delle sanzioni europee in materia di privacy che vede coinvolta una struttura ospedaliera, sanzionata per inidonee misure di sicurezza nel trattamento dati dei pazienti.
L’illecito è scaturito a causa della facilità con cui anche il personale non autorizzato poteva accedere ai dati dei pazienti. Pensiamo infatti che all’epoca dei fatti nella struttura operavano circa 985 impiegati.
Sono esattamente due le contestazioni:
- mancata riservatezza del paziente e quindi violazione del trattamento dei dati particolari ;
- incapacità di garantire l’integrità della sicurezza dei dati del proprio sistema.
La sanzione anche qui è stata meno consistente di quanto si pensi, parliamo di 400 mila euro, considerando che il tetto massimo previsto dal Regolamento è di 20 milioni di euro.
Le sanzioni GDPR coinvolgono tutti: piccole, medie e grandi aziende
Come detto e ridetto il Regolamento Europeo coinvolge qualsiasi tipo di aziende, strutturate o meno, di piccole o grandi dimensioni, senza alcuna distinzione. Tutti possiamo essere soggetti alle sanzioni europee secondo il codice privacy o GDPR:
E’ per questo che nessuna partita Iva deve sentirsi esonerata dagli adempimenti obbligatori.
Altri esempi:
- in Austria un imprenditore è stato multato con un’ammenda di € 4.800 per aver installato delle telecamere di videosorveglianza al di fuori del suo esercizio commerciale. Il sistema di videosorveglianza riprendeva parte del suolo pubblico. L’accusa è di non aver rispettato il principio di liceità, correttezza e trasparenza;
- in Italia il caso di violazione al Regolamento UE riguardava invece un medico. E’stato condannato a pagare 16 mila euro, per aver usato 3500 indirizzi dei suoi pazienti per l’invio di materiale pubblicitario a sostegno di una campagna elettorale. Ricordiamo che è sempre necessario ottenere il consenso specifico per utilizzare i dati con scopi pubblicitari, di marketing, per profilassi …;
- il Garante Privacy Danese ha inflitto invece una sanzione esosa ad una società produttrice di mobili di disegn per aver conservato i dati dei suoi clienti per un periodo superiore al necessario.
Conclusioni
In conclusione possiamo affermare che le sanzioni europee e il lavoro dei Garanti della Privacy sono solo all’inizio.
Pensiamo che sono state inflitte 779 sanzioni per illeciti sulla privacy. In Italia sono circa 65 le ispezioni avvenute nel primi 6 mesi del 2019 grazie anche al connubio con la Guardia di Finanza.
Sono state maggiormente colpite aziende di marketing, call center, grandi alberghi, pubbliche amministrazioni…
Powersic srl mette a disposizione il suo staff specializzato in materia di protezione di dati e GDPR per allineare pienamente la TUA AZIENDA alle disposizioni stabilite dalla normativa attraverso:
ANALISI PRELIMINARE, AUDIT AZIENDALE, CHECK UP APPROFONDITO, ADEGUAMENTO ed EVENTUALE FORMAZIONE.