Sanzioni GDPR: le multe comminate in Europa e in Italia

Sanzioni  GDPR: le  multe
comminate in Europa e in
Italia
Come era prevedibile sono già diverse le sanzioni comminate
dalle Autorità Garanti europee a seguito dell’entrata in
vigore del Regolamento comunitario sulla protezione dei dati
personali n. 2016/679 e l’entità di tali sanzioni è davvero
considerevole. Anche il nostro Garante ha iniziato la propria
attività ispettiva e sanzionatoria alla luce del GDPR.

Vediamo adesso di analizzare i primi provvedimenti di maggiore
rilevanza.

Polonia
L’autorità polacca per la protezione dei dati personali
(UODO), ha inflitto a una società una sanzione da 943.000
zloty polacchi, pari a 220.000 euro, per aver violato le
prescrizioni dell’articolo 14 del Regolamento non informando
sei milioni di persone riguardo al trattamento dei propri
dati. Il responsabile del trattamento non aveva infatti
informato gli interessati, precludendo loro la possibilità di
esercitare i loro diritti previsti dal GDPR, tra cui quello di
opposizione. Secondo l’UODO, la società era consapevole
dell’obbligo di fornire informazioni direttamente alle
persone, da cui l’ammontare della sanzione.

Regno Unito
Il Garante Britannico (ICO) ha sanzionato con una multa di
120,000 £ la True Vision Products per aver ripreso
illegittimamente con telecamere CCTV (provviste di microfono)
le pazienti di una clinica che si occupa di maternità. La TVP

era autorizzata dalla clinica ad effettuare videoriprese per
realizzare un documentario sulle still birth, ossia le morti
intrauterine (ed in quanto tale è stata qualificata dall’ICO
come titolare dei dati delle pazienti). L’ICO ha deciso di
sanzionare la TVP per non aver informato adeguatamente le
pazienti e non aver richiesto loro il consenso ad essere
riprese.
La TVP aveva infatti solamente affisso dei cartelli e lasciato
dei flyer sopra i tavoli posti nella sala d’aspetto della
clinica. In più, nel caso in cui una paziente avesse voluto
revocare il suo consenso alle riprese, non vi era alcun modo
di interrompere le riprese, se non tramite esplicita richiesta
di essere assistita in una stanza sprovvista di telecamere.

Approfondimenti

eLearning - GDPR - Il Regolamento Generale europeo
sulla Protezione dei dati
Avv. Giovanni Ziccardi
Il nuovo Regolamento sulla Protezione dei Dati (GDPR)
stabilisce importanti obblighi aggiuntivi rispetto alla
normativa precedente per le società e per chi deve trattare i
dati personali attraverso un approccio proattivo a 360 gradi.

Ipsoa Acquista su shop.wki.it

Portogallo
In Portogallo, un ospedale pubblico si è visto sanzionare una
multa di 400.000 euro per un livello di protezione ritenuto
inadeguato circa i dati dei pazienti custoditi nell’archivio
digitale.
La multa è stata divisa in due parti:
– la prima di 300.000 euro per mancato rispetto della
riservatezza e limitazione degli accessi – su quasi mille
utenze, meno di 300 erano di medici operativi nell’ospedale,
la restante parte è stata ricondotta a un accesso
indiscriminato e, soprattutto, ingiustificato ai dati dei
pazienti;
– la seconda parte, 100.000 euro, per non aver assicurato la
riservatezza, l’integrità, la disponibilità e la resilienza
del sistema.
L’ospedale ha obiettato a sua discolpa che il sistema
utilizzato era stato rilasciato dal ministero della salute
portoghese, tuttavia il garante ha risposto che è
responsabilità dell’ente assicurare l’adeguatezza di tutti
sistemi utilizzati.

Germania
In Germania, un noto social network è stato multato per non
aver cifrato le password degli utenti contenute all’interno
del suo database. La sicurezza del sito è stata compromessa e
in seguito alla scoperta l’azienda si è autodenunciata al
garante tedesco.
Dopo un’indagine, la quale si rende obbligatoria dopo la
denuncia di un Data Breach, il garante ha specificato che
l’azienda ha reagito in maniera adeguata una volta venuta a
conoscenza della violazione, ma non aveva adottato le misure
di sicurezza necessarie per garantire la protezione dei dati
personali degli utenti e limitare l’impatto di un eventuale
attacco.

Romania
Anche la Romania si è accodata alla lista di paesi UE che
hanno applicato sanzioni GDPR. L’autorità privacy dacia
(Autoritatea Naţională de Supraveghere a Prelucrării Datelor
cu Caracter Personal – ANSPDCP) ha comminato una sanzione
equivalente a 130.000 euro ad una banca per mancata
implementazione   delle   necessarie   ed   adeguate   misure   di
sicurezza.

Approfondimenti

Diritto della Blockchain, Intelligenza Artificiale
e IoT
Fulvio Sarzana di S. Ippolito, Massimiliano Nicotra
Il volume affronta le tematiche giuridiche inerenti alla
regolamentazione internazionale e nazionale della blockchain e
dell’intelligenza artificiale. Il testo si confronta con
quella che è stata chiamata la “Internet 3.0”, approfondendone
i singoli aspetti normativi e contrattuali con un linguaggio
chiaro e semplice ed è arricchito da molteplici segnalazioni
bibliografiche.

Ipsoa Acquista su shop.wki.it

Spagna
La Agencia Española de Protección de Datos (AEPD) – l’autorità
privacy iberica – ha sanzionato per 250.000 euro “La Liga”,
massima serie del campionato di calcio spagnolo. Le
motivazioni riguardano l’illecito utilizzo – tramite l’APP
ufficiale – di GPS e microfono dei dispositivi mobili degli
utenti, giustificate dal contrasto alla pirateria. Si tratta
della prima sanzione spagnola dell’era GDPR, poiché le
indagini dell’autorità iniziarono l’11 giugno 2018.

Francia
Anche la CNIL – Commission Nationale de l’Informatique et des
Libertés, ha inaugurato l’era delle sanzioni GDPR, difatti
l’autorità privacy francese, ha sanzionato per 400.000 euro
una società immobiliare per illecito trattamento dei dati
personali – e mancato rispetto del principio di limitazione
della conservazione – sul proprio sito web.

Italia: il caso Rousseau
Il nostro Garante per la protezione dei dati personali con
provvedimento n. 83 del 4 aprile 2019 ha comminato
all’Associazione Rousseau, quale responsabile del trattamento
e in tale qualità trasgressore, il pagamento di euro 50.000 a
titolo di sanzione per la violazione di cui al combinato
disposto degli artt. 32 e 83, paragrafo 4, lettera a) del
Regolamento UE 2016/679 oltre ad ingiungere alla stessa
associazione i necessari adeguamenti indicati nel
Provvedimento.

In realtà sulla scorta di scandali e segnalazioni precedenti
(come il data breach del 2017) la piattaforma “Rousseau” era
già da tempo “attenzionata” dal Garante che con provvedimento
del 21 dicembre 2017 aveva già richiesto un attento riesame
delle condizioni di sicurezza e la correzione di diverse

criticità.

Sulla base dell’esame delle informazioni acquisite in sede
ispettiva e dell’analisi tecnica condotta anche sulla
documentazione integrativa successivamente pervenuta (23
novembre 2018 e 10 dicembre 2018), l’Autorità, pur ritenendo
che nel complesso sia stato realizzato un sostanziale
innalzamento dei livelli di sicurezza dei trattamenti
effettuati nell’ambito dei siti web oggetto del provvedimento
del 21 dicembre 2017, ha dovuto rilevare la permanenza di
importanti vulnerabilità rispetto alle quali anche in
considerazione della particolare rilevanza e delicatezza della
piattaforma sotto il profilo della partecipazione democratica
dei cittadini alle scelte politiche, ha ritenuto opportuno
esercitare i poteri che le sono attribuiti dal nuovo
Regolamento (UE) 2016/679, pienamente applicabile dal 25
maggio 2018.

In effetti il Garante in osservanza a quanto sancito dall’art.
32 del GDPR ha accertato:

   1. il mancato completo tracciamento degli accessi al
     database del sistema Rousseau e delle operazioni sullo
     stesso compiute che configura la violazione di quel
     generale dovere di controllo sulla liceità dei
     trattamenti gravante sul titolare del trattamento e, in
      particolare, dell’obbligo di assicurare più adeguate
      garanzie di riservatezza agli iscritti alla piattaforma
      medesima; ciò sia in ragione delle dimensioni delle
      banche dati in questione, sia della tipologia di dati
      raccolti    nonché    delle   funzionalità     che   le
      caratterizzano.
   2. la condivisione delle credenziali di autenticazione da
      parte di più incaricati dotati di elevati privilegi per
      la gestione della piattaforma Rousseau e la mancata
      definizione e configurazione dei differenti profili di
      autorizzazione in modo da limitare l’accesso ai soli
      dati necessari nei diversi ambiti di operatività, che

nel previgente ordinamento erano addirittura qualificate
     come misure minime di sicurezza a carico dei titolari
     del trattamento. In tal caso, quindi si configura una
     violazione dell’obbligo di predisposizione, da parte del
     responsabile del trattamento, di misure tecniche e
     organizzative adeguate.

Approfondimenti

GDPR: guida pratica agli adempimenti privacy
Marco Martorana Avv., Antonio Tesoro Avv., Antonio Barberisi
Avv.
Il volume analizza le novità introdotte dal Regolamento
Europeo 679/2016 in materia di protezione dei dati personali
con focus sugli adempimenti che liberi professionisti e
aziende dovranno attuare per rendere la loro policy interna
conforme alle nuove regole. La trattazione è arricchita da:
modelli di atti, check lists, schemi degli adempimenti.

CEDAM Acquista su Shop.Wki.it

Italia:   Facebook                    e     Cambridge
Analytica
Di recente il nostro Garante ha anche applicato a Facebook una
sanzione di 1 milione di euro per gli illeciti compiuti

nell’ambito del caso “Cambridge Analytica”, la società che
attraverso un’app per test psicologici aveva avuto accesso ai
dati di 87 milioni di utenti e li aveva usati per tentare di
influenzare le presidenziali americane del 2016.

La sanzione, calcolata sulla base della normativa pre-GDPR, è
stata prevista in quanto l’Autorità aveva accertato che 57
italiani avevano scaricato l’app Thisisyourdigitallife
attraverso la funzione Facebook login e che, in base alla
possibilità consentita da questa funzione di condividere i
dati degli “amici”, l’applicazione aveva poi acquisito i dati
di ulteriori 214.077 utenti italiani, senza che questi
l’avessero scaricata e quindi con assoluta mancanza di
informativa e consenso alla cessione dei dati.
In realtà il Garante aveva già contestato nel marzo di
quest’anno le suddette violazioni ed inoltre anche il mancato
idoneo riscontro ad una richiesta di informazioni ed
esibizione di documenti, ma per queste violazioni Facebook si
è avvalsa della possibilità, prevista dalla normativa
precedente, di estinguere il procedimento sanzionatorio
mediante il pagamento in misura ridotta di una somma pari a
52.000 euro.
Poiché, però, le violazioni su informativa e consenso erano
state commesse in riferimento ad una banca dati di particolare
rilevanza e dimensioni – fattispecie questa per la quale non è
ammesso il pagamento in misura ridotta – il Garante ha
applicato anche una sanzione di 1 milione. La somma tiene
conto, oltre che della imponenza del database, anche delle
condizioni economiche di Facebook e del numero di utenti
mondiali e italiani della società.
Questa sanzione del Garante ci porta a tre ordini di
riflessioni.

Innanzitutto all’irrisorietà delle sanzioni previste dal
vecchio codice in materia di protezione dei dati personali nei
confronti di colossi come Facebook. In effetti in
considerazione dell’entità della banca dati e quindi della

gravità della violazione si è potuti arrivare ad un milione di
euro come sanzione pecuniaria, somma che probabilmente
Facebook guadagna nell’ordine di minuti.
Altro aspetto su cui riflettere è la potenzialità di questo
strumento. Difatti da una fonte originaria di 57 interessati
si è potuti arrivare nello spazio di poco tempo ad acquisire i
dati di oltre 214.000 utenti italiani attraverso la logica
della condivisione propria di Facebook. Un effetto a catena
impressionante, che associato ad un utilizzo subdolo come
quello di “Cambridge Analytica” in chiave condizionante e
manipolatoria ci rende l’idea delle potenzialità di questo
strumento non solo dal punto di vista marketing, ma in tutte
quelle occasioni dove l’uomo è chiamato a prendere decisioni
anche di notevole rilevanza.
L’ultima osservazione riguarda l’effettività della tutela
degli interessati del Regolamento UE n. 2016/679.
Indubbiamente le sanzioni sono molto più pesanti, ma ciò sarà
sufficiente a bloccare queste attività illegittime o tutto non
si risolverà sempre in una fredda logica di calcolo contabile
dove le entrate sono sempre di gran lunga maggiori alle uscite
provocate dalle sanzioni pecuniarie?

Approfondimenti

Corso Specialista Privacy
Altalex Formazione
Un corso specializzato per acquisire le competenze necessaria
per operare introdotte dal Regolamento Europeo 679/2016 e
integrate dal D.lgs. 101/2018 in materia di protezione dei
dati personali, per aziende, consulenti e liberi
professionisti, ingegneri e non.

Altalex Formazione Scopri tutte le date e le sedi