Il GDPR compie 1 anno: al via le prime sanzioni

Gdpr computer

Il 25 maggio 2019, il Regolamento Generale sulla protezione dei dati (Regolamento UE 2016/679), meglio noto come GDPR, compie un anno.

Che cosa è cambiato? I dati diffusi dalla Commissione europea evidenziano che il 67% dei cittadini europei ha sentito parlare della nuova normativa in materia di privacy ed il 57% sa anche che nel proprio Paese esiste un’Autorità preposta alla protezione dei loro dati (i Garanti della privacy), a differenza di quanto veniva rilevato nel 2015, quando solo 4 cittadini su 10 ne erano a conoscenza.

Considerando che l’obiettivo principale dell’UE nell’emanazione del Regolamento era rendere i consumatori europei consapevoli del diritto fondamentale alla protezione dei propri dati, si può affermare che si sta andando nella giusta direzione.

Il Regolamento UE 2016/679 ha dotato le Autorità nazionali degli Stati membri, in caso di violazioni, del potere di erogare sanzioni, che non possono superare il 4% del fatturato annuo e che devono essere “effettive, proporzionate e dissuasive” (art. 83, comma 1, GDPR 679/206).

Anche dopo un iniziale periodo di tolleranza, per dare modo alle società di adeguarsi alla nuova normativa, le Autorità nazionali si stanno ancora mantenendo piuttosto caute nella valutazione dei vari casi e nella comminazione delle sanzioni.

Le più comuni segnalazioni di violazione riguardano le attività di telemarketing, l’invio di e-mail promozionali e di controllo con sistemi di video sorveglianza.

Più in generale, le sanzioni ad oggi comminate riguardano soprattutto le violazioni del principio cardine del GDPR, l’accountability, ovvero la responsabilizzazione del titolare e del responsabile dei dati, quei soggetti che stabiliscono finalità e modalità del trattamento. Essi hanno, infatti, l’obbligo di mettere in atto tutte le misure di sicurezza necessarie alla massima tutela dei dati personali trattati, provandolo, all’occorrenza, e giustificando e motivando ogni singola decisione in tal senso.

Inoltre, il comitato europeo per la protezione dei dati, che si è costituito proprio in virtù del GDPR, ha registrato più di 400 casi transfrontalieri, confermando che la tutela dei dati personali va oltre i confini nazionali.

Di seguito riportiamo una panoramica delle sanzioni più significative.

Francia

Il Garante della privacy francese (CNIL) ha elevato una sanzione di 50 milioni di euro nei confronti di Google per mancanza di consenso preventivo all’invio di messaggi promozionali personalizzati, cioè per non aver fornito informazioni secondo i principi di trasparenza e chiarezza ai propri utenti, nonché per avere predisposto delle caselle prefleggate che l’interessato era costretto a deselezionare qualora non avesse accettato di ricevere pubblicità personalizzata.

La multa del CNIL rimane al momento la sanzione più elevata come valore e risulta essere anche la prima proveniente da un singolo Stato membro.

Polonia

Il Garante della privacy polacco (UODO) ha sanzionato una società di brokering per 220.000 euro per non aver informato 6 milioni di cittadini che i loro dati, provenienti da fonti accessibili al pubblico, venivano dalla stessa trattati a fini commerciali.

Portogallo

Il Garante della privacy portoghese (CNPD) ha sanzionato il Centro Hospitalar Barreiro Montijo per 400mila euro per accesso indiscriminato e ingiustificato di quasi 600 dipendenti ai dati sanitari dei pazienti. La struttura, contravvenendo al GDRP, non aveva messo in essere adeguate misure di sicurezza tese a limitare l’accesso ai dati dei pazienti e per non averne garantito la riservatezza.

Italia

Il Garante della privacy italiano ha sanzionato per 50.000 euro l’Associazione Rosseau per il mancato controllo sulla liceità degli accessi al database della piattaforma e alle operazioni compiute sullo stesso, per la condivisione delle credenziali di autenticazione da parte di più incaricati e la mancata definizione e configurazione dei differenti profili di autorizzazione.

Germania

Il Garante della privacy tedesco (LFDI) ha elevato una sanzione di 20.000 euro al sito di chat online Knuddels.de per aver perso circa 2 milioni di username/password, più di 800mila indirizzi e-mail, recapiti di residenza e altri tipi di dati dei propri dati, violando l’obbligo per chi detiene, utilizza o viene a conoscenza di dati personali di assumere tutte le misure necessarie a garantire un livello di sicurezza adeguato di tali dati.

Austria

Il Garante della privacy austriaco ha sanzionato con un’ammenda di 5.280 euro i titolari di un locale di scommesse sportive che utilizzavano un sistema di videosorveglianza in modo illegale, senza giustificata motivazione e senza fornire la necessaria e adeguata informativa ai propri avventori.

Malta

Il Garante della privacy maltese ha comminato una sanzione di 5.000 euro ad un ente locale per non aver assicurato la necessaria sicurezza dei dati detenuti nelle attività di elaborazione degli stessi.

 

Il prossimo 13 giugno la Commissione europea traccerà un primo bilancio ad un anno dall’applicazione della normativa sulla protezione dei dati, pubblicando anche i risultati completi dell’indagine svolta da Eurobarometro che coinvolto più di 27.000 persone.

Per saperne di più sul GDPR, clicca qui.


Stampa   Email