È appena terminato l’anno di tolleranza dopo l’approvazione del GDPR, il nuovo regolamento internazionale sulla privacy che è stato definito “la prima vera risposta del diritto alla rivoluzione digitale”.
Oggi, concesso a tutti il tempo di prendere dimestichezza con le nuove regole, scattano le prime verifiche e le prime multe. Per ora non c’è nessuna “caccia all’errore” verso aziende e privati: il regolamento GDPR stesso prevede che le sanzioni debbano essere proporzionate e dissuasive, e che soprattutto nel primo periodo non debbano avere scopo punitivo ma sensibilizzante. L’obiettivo principale è raggiungere la piena applicazione delle norme promuovendo la consapevolezza di chi deve rispettarle.
È utile, oltre che interessante, conoscere i provvedimenti più comuni per poterli evitare. Ecco quindi un breve resoconto.
FRANCIA: multato Google per inadempienza al GDPR
Il primo caso è il più eclatante ed economicamente rilevante. Google dovrà pagare una multa di 50 milioni di euro per mancata tutela degli utenti francesi.
Il regolamento sulla privacy, infatti, non prevede solo che gli utenti debbano esprimere volontariamente il consenso al trattamento dei loro dati personali e che siano informati sull’uso che di quei dati sarà fatto in seguito, ma stabilisce che tutto ciò debba essere fatto “in modo chiaro e facilmente accessibile”. Secondo il Garante della privacy francese, l’informativa che Google sottopone ai nuovi (e vecchi) utenti non è né chiara né facilmente accessibile.
Quando un utente crea un nuovo account (o quando periodicamente rinnova il consenso dal suo account già esistente) si vede presentare un breve elenco di 4 o 5 voci, per altro già spuntate, mentre per raggiungere le mancanti deve fare un tortuoso percorso di click e rimandi a nuove pagine.
Ecco perché il Garante francese non ha riconosciuto come valido il consenso al trattamento dei dati personali concesso a Google dagli utenti. Il colosso californiano del web dovrà provvedere a modificare le procedure utilizzate finora.
Approfondisci qui
ITALIA: trattamento irregolare dei dati degli utenti
Passiamo al nostro Paese. Le prime multe italiane in materia di GDPR riguardano la piattaforma online Rousseau, colpevole di non aver previsto sufficienti misure di tutela dei dati personali dei propri utenti, e un libero professionista operante in campo medico che ha fatto un uso improprio delle informazioni relative ai propri pazienti: dopo averle raccolte senza regolare informativa, le ha utilizzate per avvisare i clienti del suo cambio di indirizzo.
In questo caso le multe sono state, rispettivamente, di 50.000 e di 16.000 euro.
AUSTRIA: nei guai un’azienda che riprendeva i passanti senza permesso
Problemi anche per un’azienda austriaca che riprendeva, grazie alle videocamere di sorveglianza esterne, parte del marciapiede pubblico (e quindi i passanti). In mancanza oltretutto di un cartello informativo, la società è stata costretta a pagare una multa e a modificare la posizione degli apparecchi.
Consulta qui le nuove regole in materia di privacy e videosorveglianza
PORTOGALLO: conservazione impropria di dati sensibili
In seguito a un controllo, anche il centro ospedaliero portoghese Barreiro Montijo è stato pesantemente multato (quasi mezzo milione di euro) per non aver protetto le informazioni relative allo stato di salute dei suoi pazienti, considerate super-sensibili.
È stato dimostrato dalle autorità portoghesi che quasi seicento membri del centro, più della metà non medici, avevano libero accesso alle cartelle cliniche digitali dei pazienti. In questo caso la violazione è stata considerata dolosa, e quindi punita più aspramente.
GERMANIA: persi due milioni di account privati
Per inadempienza alle regole GDPR è stato multato anche un sito tedesco di chat online, che non ha adottato misure di sicurezza a protezione di password e indirizzi mail dei propri iscritti. In questo caso, la sanzione è stata alleggerita anche considerando la velocità dei responsabili nell’attivarsi per migliorare i propri sistemi informatici.
Infine, va notato che il primo provvedimento del Garante della privacy polacco riguarda una grave violazione del GDPR da parte di un’azienda che usava i dati personali dei propri clienti per scopi di marketing, senza aver mai chiesto l’autorizzazione.
La società ha ritenuto sufficiente pubblicare una clausola generale sul proprio sito web, senza considerare però che secondo il General Data Protection Regulation il consenso deve essere fornito dall’utente “con un’azione positiva e chiara”. Gli interessati dovranno pagare circa 200.000 euro.
Ecco un rapido quadro della situazione attuale.
Come assicurarsi di non correre rischi, allora? La scelta migliore è affidarsi a consulenti specializzati e aggiornati, che hanno familiarità con le norme e che sono in grado di individuare criticità anche minime. Una volta adeguati i propri sistemi alla normativa GDPR saranno sufficienti dei controlli periodici.
Hai dubbi, curiosità o hai bisogno di una consulenza qualificata in materia di privacy? Contattaci