Sanzioni GDPR: le multe comminate in Europa e in Italia

Come era prevedibile sono già diverse le sanzioni comminate dalle Autorità Garanti europee a seguito dell’entrata in vigore del Regolamento comunitario sulla protezione dei dati personali n. 2016/679 e l’entità di tali sanzioni è davvero considerevole. Anche il nostro Garante ha iniziato la propria attività ispettiva e sanzionatoria alla luce del GDPR. Vediamo adesso di analizzare i primi provvedimenti di maggiore rilevanza.

Polonia

L’autorità polacca per la protezione dei dati personali (UODO), ha inflitto a una società una sanzione da 943.000 zloty polacchi, pari a 220.000 euro, per aver violato le prescrizioni dell’articolo 14 del Regolamento non informando sei milioni di persone riguardo al trattamento dei propri dati. Il responsabile del trattamento non aveva infatti informato gli interessati, precludendo loro la possibilità di esercitare i loro diritti previsti dal GDPR, tra cui quello di opposizione. Secondo l’UODO, la società era consapevole dell’obbligo di fornire informazioni direttamente alle persone, da cui l’ammontare della sanzione.

Regno Unito

Il Garante Britannico (ICO) ha sanzionato con una multa di 120,000 £ la True Vision Products per aver ripreso illegittimamente con telecamere CCTV (provviste di microfono) le pazienti di una clinica che si occupa di maternità. La TVP era autorizzata dalla clinica ad effettuare videoriprese per realizzare un documentario sulle still birth, ossia le morti intrauterine (ed in quanto tale è stata qualificata dall’ICO come titolare dei dati delle pazienti). L’ICO ha deciso di sanzionare la TVP per non aver informato adeguatamente le pazienti e non aver richiesto loro il consenso ad essere riprese. La TVP aveva infatti solamente affisso dei cartelli e lasciato dei flyer sopra i tavoli posti nella sala d’aspetto della clinica. In più, nel caso in cui una paziente avesse voluto revocare il suo consenso alle riprese, non vi era alcun modo di interrompere le riprese, se non tramite esplicita richiesta di essere assistita in una stanza sprovvista di telecamere.

Portogallo

In Portogallo, un ospedale pubblico si è visto sanzionare una multa di 400.000 euro per un livello di protezione ritenuto inadeguato circa i dati dei pazienti custoditi nell’archivio digitale. La multa è stata divisa in due parti: – la prima di 300.000 euro per mancato rispetto della riservatezza e limitazione degli accessi – su quasi mille utenze, meno di 300 erano di medici operativi nell’ospedale, la restante parte è stata ricondotta a un accesso indiscriminato e, soprattutto, ingiustificato ai dati dei pazienti; – la seconda parte, 100.000 euro, per non aver assicurato la riservatezza, l’integrità, la disponibilità e la resilienza del sistema. L’ospedale ha obiettato a sua discolpa che il sistema utilizzato era stato rilasciato dal ministero della salute portoghese, tuttavia il garante ha risposto che è responsabilità dell’ente assicurare l’adeguatezza di tutti sistemi utilizzati.

Germania

In Germania, un noto social network è stato multato per non aver cifrato le password degli utenti contenute all’interno del suo database. La sicurezza del sito è stata compromessa e in seguito alla scoperta l’azienda si è autodenunciata al garante tedesco. Dopo un’indagine, la quale si rende obbligatoria dopo la denuncia di un Data Breach, il garante ha specificato che l’azienda ha reagito in maniera adeguata una volta venuta a conoscenza della violazione, ma non aveva adottato le misure di sicurezza necessarie per garantire la protezione dei dati personali degli utenti e limitare l’impatto di un eventuale attacco.

Romania

Anche la Romania si è accodata alla lista di paesi UE che hanno applicato sanzioni GDPR. L’autorità privacy dacia (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP) ha comminato una sanzione equivalente a 130.000 euro ad una banca per mancata implementazione delle necessarie ed adeguate misure di sicurezza.

Spagna

La Agencia Española de Protección de Datos (AEPD) – l’autorità privacy iberica – ha sanzionato per 250.000 euro “La Liga”, massima serie del campionato di calcio spagnolo. Le motivazioni riguardano l’illecito utilizzo – tramite l’APP ufficiale – di GPS e microfono dei dispositivi mobili degli utenti, giustificate dal contrasto alla pirateria. Si tratta della prima sanzione spagnola dell’era GDPR, poiché le indagini dell’autorità iniziarono l’11 giugno 2018.

Francia

Anche la CNIL – Commission Nationale de l’Informatique et des Libertés, ha inaugurato l’era delle sanzioni GDPR, difatti l’autorità privacy francese, ha sanzionato per 400.000 euro una società immobiliare per illecito trattamento dei dati personali – e mancato rispetto del principio di limitazione della conservazione – sul proprio sito web.

Italia: il caso Rousseau

Il nostro Garante per la protezione dei dati personali con provvedimento n. 83 del 4 aprile 2019 ha comminato all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679 oltre ad ingiungere alla stessa associazione i necessari adeguamenti indicati nel Provvedimento. In realtà sulla scorta di scandali e segnalazioni precedenti (come il data breach del 2017) la piattaforma “Rousseau” era già da tempo “attenzionata” dal Garante che con provvedimento del 21 dicembre 2017 aveva già richiesto un attento riesame delle condizioni di sicurezza e la correzione di diverse criticità. Sulla base dell’esame delle informazioni acquisite in sede ispettiva e dell’analisi tecnica condotta anche sulla documentazione integrativa successivamente pervenuta (23 novembre 2018 e 10 dicembre 2018), l’Autorità, pur ritenendo che nel complesso sia stato realizzato un sostanziale innalzamento dei livelli di sicurezza dei trattamenti effettuati nell’ambito dei siti web oggetto del provvedimento del 21 dicembre 2017, ha dovuto rilevare la permanenza di importanti vulnerabilità rispetto alle quali anche in considerazione della particolare rilevanza e delicatezza della piattaforma sotto il profilo della partecipazione democratica dei cittadini alle scelte politiche, ha ritenuto opportuno esercitare i poteri che le sono attribuiti dal nuovo Regolamento (UE) 2016/679, pienamente applicabile dal 25 maggio 2018. In effetti il Garante in osservanza a quanto sancito dall’art. 32 del GDPR ha accertato:

1. il mancato completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute che configura la violazione di quel generale dovere di controllo sulla liceità dei trattamenti gravante sul titolare del trattamento e, in particolare, dell’obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima; ciò sia in ragione delle dimensioni delle banche dati in questione, sia della tipologia di dati raccolti nonché delle funzionalità che le caratterizzano.
2. la condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari nei diversi ambiti di operatività, che nel previgente ordinamento erano addirittura qualificate come misure minime di sicurezza a carico dei titolari del trattamento. In tal caso, quindi si configura una violazione dell’obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate.

Italia: Facebook e Cambridge Analytica

Di recente il nostro Garante ha anche applicato a Facebook una sanzione di 1 milione di euro per gli illeciti compiuti nell’ambito del caso “Cambridge Analytica”, la società che attraverso un’app per test psicologici aveva avuto accesso ai dati di 87 milioni di utenti e li aveva usati per tentare di influenzare le presidenziali americane del 2016. La sanzione, calcolata sulla base della normativa pre-GDPR, è stata prevista in quanto l’Autorità aveva accertato che 57 italiani avevano scaricato l’app Thisisyourdigitallife attraverso la funzione Facebook login e che, in base alla possibilità consentita da questa funzione di condividere i dati degli “amici”, l’applicazione aveva poi acquisito i dati di ulteriori 214.077 utenti italiani, senza che questi l’avessero scaricata e quindi con assoluta mancanza di informativa e consenso alla cessione dei dati. In realtà il Garante aveva già contestato nel marzo di quest’anno le suddette violazioni ed inoltre anche il mancato idoneo riscontro ad una richiesta di informazioni ed esibizione di documenti, ma per queste violazioni Facebook si è avvalsa della possibilità, prevista dalla normativa precedente, di estinguere il procedimento sanzionatorio mediante il pagamento in misura ridotta di una somma pari a 52.000 euro. Poiché, però, le violazioni su informativa e consenso erano state commesse in riferimento ad una banca dati di particolare rilevanza e dimensioni – fattispecie questa per la quale non è ammesso il pagamento in misura ridotta – il Garante ha applicato anche una sanzione di 1 milione. La somma tiene conto, oltre che della imponenza del database, anche delle condizioni economiche di Facebook e del numero di utenti mondiali e italiani della società. Questa sanzione del Garante ci porta a tre ordini di riflessioni. Innanzitutto all’irrisorietà delle sanzioni previste dal vecchio codice in materia di protezione dei dati personali nei confronti di colossi come Facebook. In effetti in considerazione dell’entità della banca dati e quindi della gravità della violazione si è potuti arrivare ad un milione di euro come sanzione pecuniaria, somma che probabilmente Facebook guadagna nell’ordine di minuti. Altro aspetto su cui riflettere è la potenzialità di questo strumento. Difatti da una fonte originaria di 57 interessati si è potuti arrivare nello spazio di poco tempo ad acquisire i dati di oltre 214.000 utenti italiani attraverso la logica della condivisione propria di Facebook. Un effetto a catena impressionante, che associato ad un utilizzo subdolo come quello di “Cambridge Analytica” in chiave condizionante e manipolatoria ci rende l’idea delle potenzialità di questo strumento non solo dal punto di vista marketing, ma in tutte quelle occasioni dove l’uomo è chiamato a prendere decisioni anche di notevole rilevanza. L’ultima osservazione riguarda l’effettività della tutela degli interessati del Regolamento UE n. 2016/679. Indubbiamente le sanzioni sono molto più pesanti, ma ciò sarà sufficiente a bloccare queste attività illegittime o tutto non si risolverà sempre in una fredda logica di calcolo contabile dove le entrate sono sempre di gran lunga maggiori alle uscite provocate dalle sanzioni pecuniarie?