- Autore: Walter Della Mora
- Pubblicato il: 4 Gen 2022
- Aggiornato il: 21 Ago 2023
Le sanzioni del GDPR
Negli anni si sta registrando un progressivo aumento delle sanzioni inflitte in tutta Europa dai Garanti privacy dei vari stati membri. Molti credono che a essere colpiti siano solo le grandi aziende e, forti di questa convinzione, sottovalutano l’importanza della tutela dei dati dei loro clienti e collaboratori. Così facendo commettono un grosso errore.
Il Garante per la privacy effettua attività ispettive motivato da due obiettivi:
- rispettare una programmazione semestrale incentrata sulla verifica di determinati scenari di trattamento dati;
- rispondere a segnalazioni e reclami pervenuti da cittadini e organizzazioni.
I reclami indicati al punto 2. possono essere a carico di qualsiasi organizzazione, indipendentemente dalla dimensione, dal settore in cui opera e dalla sua natura (azienda, ente pubblico, associazione, etc…). Le sanzioni milionarie vengono per lo più inflitte a grandi strutture e multinazionali. Nonostante ciò, anche le aziende di media e piccola dimensione possono ricevere duri colpi.
COME SI SVOLGE UN ACCERTAMENTO?
Una volta appurata la necessità di effettuare degli accertamenti, il Garante avvia l’attività istruttoria procedendo generalmente con questo iter:
- contatta l’organizzazione oggetto del controllo o invia il nucleo privacy della Guardia di Finanza;
- raccoglie le informazioni necessarie a confermare lo stato di conformità al GDPR o, in caso di reclamo, ad appurare l’esistenza della violazione segnalata;
- dà all’organizzazione la facoltà di fornire le proprie memorie difensive;
- studia l’impianto privacy dell’organizzazione e delle eventuali realtà coinvolte in base ai vincoli di responsabilità;
- con le informazioni raccolte giunge a una definizione delle eventuali violazioni commesse;
- se sussistono delle violazioni:
– calcola l’importo della sanzione;
– se necessario impone la sospensione dei trattamento o l’applicazione di misure correttive.
COME SI CALCOLA LA SANZIONE
L’ammontare massimo di una sanzione, come previsto dal GDPR, è di 20 milioni di euro o il 4% delle entrate annuali dell’azienda. All’interno dei provvedimento del Garante l‘importo viene proporzionato tenendo conto dei seguenti parametri:
- la gravità di ciascuna violazione;
- il numero di interessati e la categoria di dati personali coinvolti;
- la durata della violazione;
- l’entità del danno;
- la natura dolosa o colposa della violazione;
- il grado di collaborazione offerto dall’organizzazione;
- le eventuali misure di mitigazione messe in atto;
- l’adesione a codici di condotta o a meccanismi di certificazione approvati;
- la dimensione/fatturato dell’organizzazione (per applicare una misura proporzionale e dissuasiva);
- la sussistenza di violazioni precedenti;
- la presenza di eventuali criticità generali del contesto in cui è avvenuta la violazione (es. pandemia COVID).
SI POSSONO CONSULTARE I PROVVEDIMENTI DEL GARANTE?
Il Garante opera in totale trasparenza. Come strumento per incentivare le organizzazioni ad adeguarsi alla normativa sulla privacy, dispone la pubblicazione dei provvedimenti sul sito web del garante.
Ogni provvedimento racconta gli elementi salienti del procedimento e, in conformità con il diritto nazionale e dell’UE, argomenta le decisioni prese dall’Autorità. Per questo motivo è utile dedicare del tempo alla loro consultazione così da intercettare le criticità della propria organizzazione.
Accade infatti spesso che vengano inflitte sanzioni che potevano essere evitate facilmente adottando strumenti e procedure idonee. É pertanto sempre consigliabile rivolgersi a un consulente esperto che possa guidare l’organizzazione verso una piena conformità al GDPR.
GLI ERRORI CHE PIU' DI FREQUENTE PORTANO A UNA SANZIONE
Vedere il nome della propria organizzazione all’interno di un provvedimento del Garante non è certo auspicabile. Oltre al danno economico ne può derivare anche uno reputazionale. Spesso le aziende vengono sanzionate per scarsità di misure tecniche o organizzative, più rare sono le situazioni nelle quali il dolo è all’origine delle violazioni.
Cerchiamo quindi di trarre insegnamento dagli errori altrui per:
- migliorare la nostra consapevolezza;
- ridurre al minimo le possibilità di un reclamo nei nostri confronti;
- essere preparati in caso di una verifica da parte dell’autorità di controllo.
Errore umano
Molte sanzioni sono frutto dell’errore umano. É importante selezionare strumenti e procedure che consentano di prevenire queste situazioni.
Le mail
Attenzione all’utilizzo della mail. É spesso oggetto di attenzione sia perché dispone di pochi controlli sulla correttezza dei destinatari, sia perché può contenere dati personali. Per sua natura non è considerata uno strumento di archiviazione appropriato.
Comunicazioni marketing
L’invio di comunicazioni per finalità di marketing deve essere attentamente e periodicamente supervisionato, sia dal punto di vista tecnico che dal punto di vista della legittimità del trattamento. Ricordiamo che è uno dei punti di contatto tra l’organizzazione e l’interessato pertanto, se non viene gestito correttamente, può portare facilmente ad un reclamo da parte di quest’ultimo.
Informativa privacy
Durante le visite ispettive viene spesso rilevata una non conformità dell’informativa privacy. Anch’essa è uno dei principali punti di contatto con l’interessato ed è fortemente attenzionata dal Garante della Privacy.
Registro dei trattamenti
É importante aggiornare periodicamente il registro dei trattamenti. É uno strumento di autocontrollo fondamentale per l’accountability, ovvero per avere piena coscienza del proprio impianto privacy.
I diritti dell'interessato
Molti provvedimenti riguardano l’impossibilità o la difficoltà dell’interessato ad esercitare i propri diritti. É importante implementare procedure che consentano di soddisfare le richieste degli interessati nei tempi previsti dalla normativa. Tali procedure vanno riviste e testate periodicamente.
ALCUNI PROVVEDIMENTI SIGNIFICATIVI
Di seguito riportiamo un elenco di provvedimenti che abbiamo selezionato per alcune caratteristiche distintive. Online è disponibile un elenco completo e aggiornato dei provvedimenti di tutta Europa.
Areti S.p.a.
24-11-2022: reclamo di un cliente – multa di 1 milione di euro.
Il reclamante segnala di essere stato erroneamente qualificato come “cliente moroso” nelle comunicazioni inviate all’interno del Sistema Informativo Integrato. Dalle indagini emergono problemi di disallineamento dei dati che coinvolgono oltre 16.000 utenti, più altri problemi correlati.
Provvedimento garante italiano [9832979]
Immobiliare Ricostruzione Meloria S.r.l.
15-09-2022: segnalazione della Polizia municipale a seguito di esposto – multa di 2 mila euro.
L’azienda ha installato un sistema di videosorveglianza senza segnalarlo adeguatamente con la cartellonistica prevista e senza rendere facilmente disponibile il testo dell’informativa estesa. Così facendo ha violato il principio di trasparenza e il trattamento dei dati risultava pertanto illecito.
Provvedimento garante italiano [9815745]
FCA Italy S.p.a.
15-09-2022: reclamo di un ex dipendente – multa di 40 mila euro.
L’ex dipendente esercita il suo diritto di accesso ai dati personali trattati dall’azienda. Questa non fornisce una risposta nei tempi previsti e con la completezza dei documenti. All’azienda viene imputata una insufficienza di misure organizzative.
Provvedimento garante italiano [9827119]
Stay Over S.r.l.
21-07-2022: reclamo di un ex dipendente – multa di 10 mila euro.
L’azienda non ha rispettato il diritto di accesso ai dati dell’ex dipendente e ha effettuato un trattamento illecito delle informazioni contenute nella casella di posta elettronica individuale assegnata.
Provvedimento garante italiano [9809466]
Senseonics Inc.
07-07-2022: autodenuncia dell’azienda – multa di 45 mila euro.
L’azienda ha autodenunciato l’invio di una mail informativa in merito a un sistema di monitoraggio del glucosio a circa 2.000 persone inserendo tutti gli indirizzi in CC anziché in BCC. L’evento è accaduto come conseguenza di un errore umano. Dato che le persone cui è stata inviata la mail potevano essere associate all’argomento trattato (monitoraggio del glucosio), ciò ha comportato la possibilità che informazioni riguardanti il loro stato di salute (es: affezione da diabete) potessero essere dedotte dagli altri destinatari.
L’istruttoria ha fatto emergere anche ulteriori criticità.
Provvedimento garante italiano [9809998]
Arte del vivere S.r.l.
10-02-2022: reclamo di un cliente – multa di 5 mila euro.
L’azienda ha pubblicato sul web i recapiti personali del reclamante dopo che questi ha frequentato un corso di formazione. Il reclamante ha tentato, senza successo, di esercitare il suo diritto alla cancellazione chiedendo di rimuovere i dati dal sito.
Le indagini hanno evidenziato che il sito in questione conteneva un elenco non aggiornato di quasi 1.900 persone.
Per difficoltà organizzative l’azienda ha tardato nel provvedere alla cancellazione dei dati.
Provvedimento garante italiano [9756853]
Medico di base italiano
28-10-2021: segnalazione del Comando dei Carabinieri – multa di 10 mila euro.
Un medico di base è stato sanzionato per avere appeso con mollette da bucato delle ricette mediche fuori dalla finestra dello studio – situato al piano terra su una via pubblica – rendendo così visibili a chiunque il nome degli assistiti e il contenuto delle prescrizioni.
Provvedimento garante italiano [9716887]
ATAC, Comune di Roma e Flowbird Italia S.r.l.
22-07-2021: multa di 1 milione di euro (Comune di Roma €800.000 – Atac €400.000 – Flowbird Italia Srl €30.000).
L’autorità per la protezione dei dati personali ha riscontrato gravi mancanze da parte di tutte e tre le aziende coinvolte nella gestione dei nuovi parchimetri. Informazioni sensibili erano state rese potenzialmente visibili al personale addetto al controllo del parcheggio che, tramite le targhe, avrebbe potuto rintracciare abitudini e luoghi frequentati dagli automobilisti.
Articolo garante italiano
Deliveroo Italy
22-07-2021: multa di 2,5 milioni di euro.
La compagnia avrebbe conservato i dati raccolti nel corso dell’esecuzione degli ordini, tra cui le comunicazioni con l’assistenza clienti, per un tempo superiore a quanto previsto dal GDPR. Inoltre, in violazione allo statuto dei lavoratori, avrebbe effettuato un minuzioso controllo della prestazione lavorativa dei rider – attraverso la continua geolocalizzazione del loro dispositivo – andando ben oltre quanto necessario per l’assegnazione dell’ordine.
Provvedimento garante italiano [9685994]
Dentista italiano
10-06-2021: reclamo del paziente – multa di 20 mila euro.
Un dentista è stato sanzionato perché, dopo aver raccolto le informazioni di un nuovo paziente in merito alla presenza di malattie infettive, ha negato la prestazione quando ha saputo che questi era sieropositivo all’HIV. La raccolta di tali informazioni è legittima nel momento in cui è in corso un’attività di cura, ma per via della sua particolare condizione, il paziente è stato oggetto di discriminazione.
Provvedimento garante italiano [9677521]
H&M
01-10-2020: multa di 35 milioni di euro.
Secondo le autorità tedesche la catena di negozi di abbigliamento avrebbe raccolto informazioni sulla vita privata dei dipendenti archiviando dati relativi alle loro problematiche famigliari, di salute e credenze religiose. Questi dati sarebbero stati poi usati da vari manager dell’azienda per prendere decisioni sull’impiego delle persone.
TIM
15-01-2020: centinaia di reclami degli utenti – multa di 27,8 milioni di euro.
La maggior parte delle infrazioni sono da ricondurre a una strategia di marketing troppo aggressiva. Milioni di individui sono stati bombardati con chiamate promozionali e comunicazioni non richieste, inclusi coloro che avevano l’utenza telefonica iscritta nel Registro pubblico delle opposizioni o espresso esplicitamente la volontà di non essere più contattati per scopi promozionali.
Provvedimento garante italiano [9256486]
21-01-2019: multa di 50 milioni di euro.
Secondo il Garante per la privacy francese, Google, con lo scopo di continuare a mostrare messaggi pubblicitari il più possibile personalizzati, non avrebbe fornito agli utenti informazioni chiare su come sarebbero stati raccolti e poi utilizzati i dati personali.
CONCLUSIONI
L’introduzione del GDPR ha rivoluzionato il sistema sanzionatorio in materia di privacy. Mentre in passato si interveniva solo a violazione compiuta, oggi la violazione è commessa già nel momento in cui l’impresa non mette in atto le misure preventive utili a tutelare i dati dei cittadini.
Le sanzioni inflitte sono dure per uno scopo ben preciso: far diventare la protezione dei dati una cultura diffusa, un modo di pensare universale.
Per prevenire il rischio di una sanzione è indispensabile adottare misure e strumenti idonei. PersonalDOX è la piattaforma software che abbiamo progettato per aiutare le aziende a ridurre il rischio di incorrere in un provvedimento del garante. Fornisce un supporto concreto sia nella progettazione che nella messa in opera dell’impianto privacy.
Per saperne di più visita la pagina di PersonalDOX
Approfondimenti
Condividi:
Articoli collegati
L’informativa privacy
Il principale strumento per informare l’interessato al trattamento
La profilazione
Un puzzle fatto con i pezzi della nostra identità
Digitalizzazione e dematerializzazione degli archivi
La digitalizzazione dei documenti è un percorso che tutte le aziende dovranno intraprendere
Gamification e privacy
Il divertimento in azienda è positivo, attenzione però alla privacy
L’errore umano nella gestione della privacy
La causa principale delle violazioni dei dati è da imputare all’errore umano