È passato più di un anno da quando il regolamento (UE) 2016/679 è entrato in vigore: si cominciano a vedere le prime sanzioni GDPR e l’attività investigativa sta aumentando a vista d’occhio.
Riguardo all’attuazione del nuovo regolamento generale sulla protezione dei dati, è evidente che l’approccio dei regolatori è stato lento e progressivo. È stato concesso tempo per l’introduzione delle normative a livello locale e alle aziende al fine di adeguare i propri processi e sistemi di controllo ai requisiti della nuova normativa.
Dall’altro lato, secondo un reporting dell’Unione Europea, il numero di data breach segnalati alle autorità è stato molto elevato, raggiungendo più di 89 mila casi dopo un anno dall’entrata in vigore del Regolamento.
Sintesi dell’attuale quadro generale in termini di sanzioni GDPR
Mentre in Italia è stata comminata una sola sanzione per la GDPR e di importo non elevato, in Francia se ne contano 4.
La maggiore è quella indirizzata a Google per 56 milioni di euro, che ha avuto molta eco sulla stampa; la seconda, in termini di ammontare, a SERGIC, una società di Real Estate, per carenze nelle misure di sicurezza e per eccessiva archiviazione di dati.
La sanzione francese a Google
Nello specifico, il regolatore francese (CNIL) ha multato Google per 56 milioni di dollari, con la seguente motivazione: mancanza di trasparenza, informazioni inadeguate e mancanza di consenso valido in merito agli annunci pubblicitari personalizzati.
Si ritiene che Google non abbia sufficientemente informato gli utenti su come veniva fatta la raccolta dei dati personali e come fossero utilizzati per le pubblicità personalizzate. Gli utenti non sono stato in grado di accedere a tutte le informazioni, in modo chiaro, per capire come avvenissero le operazioni di elaborazione da parte da parte di Google: ciò ha comportato un mancato ottenimento del consenso chiaro e informato. Come conseguenza, poiché il consenso non era stato validamente ottenuto, l’autorità di vigilanza ha ritenuto che Google non fosse in possesso di una base giuridica valida per il trattamento dei dati.
Sanzioni GDPR in Spagna
Cinque sono state le sanzioni in Spagna, di cui la maggiore è di 250.000 euro alla Professional Football League (LaLiga), per aver utilizzato una app (scaricata da oltre 4 milioni di persone) senza informare adeguatamente i clienti dell’utilizzo che ne veniva fatto e senza che la app avesse i requisiti adeguati per la revoca del consenso.
L’app veniva utilizzata per uno scopo differente, cioè come spia: installando l’applicazione e dando il consenso, infatti, LaLiga poteva attivare da remoto il microfono del cellulare di qualsiasi utente, consentendo ad un sistema automatico di rilevare il suono ambientale del luogo in cui l’utente si trovava. Questa è stata considerata una attività di raccolta dati.
La società ha fortemente contestato la sanzione, facendo leva anche su un altro caso di 150.000 euro verso Google, annullato dal Tribunale nazionale. Al tempo stesso però non ha rinnovato il contratto con il fornitore, alla scadenza.
Sanzioni GDPR in Portogallo
L’unico caso dell’autorità portoghese (CNPD), è quello della multa al Centro Hospitalar Barreiro Montijo, per 400.000 euro.
Tre sono state le contestazioni. La struttura aveva 985 data base attivi per i medici, pur essendoci solo 296 dottori che lavoravano nell’ospedale; inoltre, qualsiasi medico aveva accesso a tutti i file dei pazienti, indipendentemente dalla specialità. Questo violerebbe il principio di “minimizzazione dei dati” e quello di “integrità e riservatezza”.
Insieme a ciò, l’ospedale ha violato l’obbligo di attuare adeguate misure per garantire la sicurezza del trattamento.
Sanzioni GDPR in Germania
Ben dieci sono i casi in Germania, anche se di importo non particolarmente elevato.
La LfDI ha comminato, ad esempio, una sanzione di 20.00 euro alla società Knuddels.de, a seguito di un attacco di hacking che ha portato alla divulgazione non autorizzata di circa 808.000 e-mail e password, che erano archiviate in una forma non crittografata.
L’autorità ha ritenuto che la società non abbia garantito la sicurezza dei dati dei clienti e ha spiegato il livello relativamente basso della sanzione sulla base della esemplare cooperazione da parte dell’azienda e del significativo miglioramento dei controlli durante le indagini.
Sanzioni GDPR in UK
Al contrario della Germania, il regolatore del Regno Unito si è concentrato su meno casi, ma con sanzioni di importo molto alto: 204.600.000 nei confronti della British Airways e 110.390.200 verso la catena di alberghi Marriott International. Le più alte in assoluto.
La seconda non è al momento definitiva, ma origina da un incidente informatico, notificato dalla stessa società a novembre 2018.
Una serie di dati personali contenuti in circa 339 milioni di record a livello globale sono stati esposti al breach, di cui circa 30 milioni relativi a residenti nei 31 paesi dell’Europa; 7 milioni residenti nel Regno Unito. Si ritiene che il problema sia iniziato nel 2014, nell’ambito del gruppo alberghiero Starwood, successivamente acquistato da Marriott nel 2016.
Guardando per settore, 4 sono stati i casi relativi a banche, di cui solo uno con una sanzione significativa, nei confronti di Unicredit Bank SA in Romania. Una sanzione di 180 mila euro in Francia è stata comminata nei confronti di Active Assurances, che si occupa di assicurazioni auto.
Alcuni punti comuni delle sanzioni GDPR in Europa
In molti dei casi menzionati, la sanzione è stata decisa perché le procedure interne sono risultate non adeguate rispetto ai requisiti del Regolamento, pur non essendoci stata nessuna violazione dei dati dall’esterno. In questi casi, l’approccio del regolatore è stato più orientato ad una azione preventiva che punitiva.
Ci sono anche casistiche di sanzioni legate ad eventi di data breach, effetto di un evidente fallimento delle politiche di sicurezza e di controllo dell’azienda.
Si vede anche che gli importi delle sanzioni sono per il momento abbastanza limitati, a parte in pochi casi in cui la dimensione ed i ricavi delle società e l’impatto del breach erano particolarmente elevati.
In generale, sembra che venga data molta importanza alla corretta autorizzazione da parte del cliente e ad un adeguato ottenimento del consenso, sulla base dei principi di liceità, correttezza, trasparenza, minimizzazione dei dati.