GDPR E SANZIONI.

Arrivano le prime sanzioni in merito al nuovo regolamento europeo sulla protezione dei dati.

I mezzi di comunicazione di massa parlano di sanzioni fino a 10 o 20 milioni di euro, si tratta però di sanzioni massime. Ciò che non viene evidenziato è il fatto che non esistano sanzioni minime, quindi una sanzione potrebbe essere di un solo euro; inoltre la sanzione viene applicata solo dopo un’istruttoria, che prevede l’esame di 10 parametri, ognuno dei quali dà il proprio contributo alla determinazione della sanzione stessa.

Tra i suddetti parametri possiamo ricordarne alcuni:

• la natura, la gravità e la durata della violazione tenendo in considerazione l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
• il carattere doloso o colposo della violazione;
• eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
• le categorie di dati personali interessate dalla violazione;
• la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione (data breach);
• l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42.

 

Ad oggi sono state applicate tre sanzioni rispettivamente dall'Austria, dalla Francia e dalla Germania che ci fungono da esempio per vedere come nella realtà vengono calcolate ed applicate queste sanzioni.

Una prima sanzione viene applicata dal garante austriaco ad un esercizio commerciale che sviluppava attività di scommesse ed aveva installato delle telecamere, una delle quali inquadrava il marciapiede antistante l’ingresso. Il posizionamento di questa telecamera era troppo invasivo, nei confronti dell’obiettivo primario di installazione di tenere sotto controllo chi entrava nell'esercizio commerciale.

E’ stata portata a termine un’istruttoria, nella quale sono stati esaminati i 10 fattori che concorrono a determinare la sanzione che è poi stata quantificata nella somma di 5280€.

E’ già stata fatta richiesta all'autorità garante austriaca per avere il dettaglio delle modalità di valutazione dei 10 aspetti previsti dal regolamento.

Una seconda sanzione di 20.000€ è stata applicata dall'autorità garante tedesca del Baden Wuttenberg ad un operatore di social network, che non aveva protetto in modo adeguato 330.000 parole chiave dei soggetti  collegati a questa rete. La ragione per cui la sanzione applicata è relativamente modesta discende dal fatto che il titolare del trattamento si è immediatamente attivato, introducendo applicativi criptografici di protezione delle parole chiave e numerosi altri strumenti, che con ogni probabilità potranno prevenire il ripetersi dell’evento.

Una terza sanzione è quella applicata a Google dall'autorità garante francese-CNIL, di 50 milioni di euro perché nella raccolta del consenso ad inserzioni pubblicitarie il messaggio non era chiaro.

Riteniamo molto interessanti le prime due sanzioni in quanto corrispondono a situazioni realistiche in cui innumerevoli titolari potrebbero trovarsi coinvolti.

Concludiamo rimanendo a disposizione per eventuali chiarimenti relativi all'applicazione della normativa privacy.