Sanzioni comminate ad aziende in Europa per infrazioni al GDPR

Ability Services Servizi di Messa a Norma secondo GDPR

Il GDPR, di cosa si tratta?

Il Regolamento Generale sulla Protezione dei Dati, anche noto come GDPR (General Data Protection Regulation), approvato con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, è entrato in vigore in tutta l'Unione Europea a decorrere dal 25 maggio 2018.

Il GDPR ha interessato ed interessa un numero enorme di aziende e realtà professionali obbligate a rivedere in toto, o a definire e strutturare in modo conforme alla normativa stessa, le proprie politiche inerenti il trattamento dei dati personali.

Il periodo di tolleranza in Italia per le inadempienze al nuovo regolamento, previsto dall’art. 22 del Decreto legislativo 10 agosto 2018 n. 101, è giunto al termine. A partire dal 20 maggio 2019 il Garante può applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati. Tutte le aziende e le PA devono essere pronte per sostenere eventuali controlli o ispezioni gestiti e organizzati direttamente dalla Guardia di Finanza..

Quali leprime sanzioni applicarte in Europa dai Garanti nazionali?

Decorso il periodo cosiddetto di “tolleranza” che tutti gli Stati europei hanno osservato per permettere alle imprese di adeguarsi al nuovo sistema legato al GDPR 679/2016, sono iniziate le verifiche ed i controlli (audit, ispezioni, indagini) nonché l’irrogazione delle prime sanzioni amministrative. Le autorità di controllo (Garanti privacy dei vari Paesi dell'Unione Europea) stanno tenendo un approccio ragionevole e ponderato in merito alle sanzioni per il mancato rispetto del GDPR, in modo conforme a quanto dispone il regolamento stesso, secondo cui le sanzioni devono essere “effettive, proporzionate e dissuasive”. Vediamo quali sono state le principali, in tutta Europa:
- Prima sanzione a livello europeo: Garante privacy francese vs Google
- La sanzione comminata dal Garante privacy austriaco ad una azienda locale
- La sanzione comminata dal Garante privacy tedesco ad una azienda con sito di incontri
- La sanzione comminata dal Garante privacy portoghese ad un Centro Ospedaliero
- La sanzione comminata dal Garante privacy polacco ad una azienda locale
- La sanzione comminata dal Garante privacy italiano alla Associazione Rousseau
- La sanzione comminata dal Garante privacy italiano ad un medico
- La sanzione comminata dal Garante Privay italiano alla Uber
- La sanzione comminata dal Garante Privay italiano a Facebook

- Prima sanzione a livello europeo: Garante privacy francese vs Google

Alla fine di gennaio 2019, il Garante per il trattamento dei dati personali francese (Commission Nationale de l’Informatique et des Libértes – CNIL) ha condannato Google LLC ad una sanzione da 50 milioni di euro per violazione del GDPR, con riferimento al sistema Android per dispositivi mobili. La condanna ha seguito due denunce presentate il 25 e 28 maggio 2018 dall’organizzazione None of Your Business - NOYB, fondata dal nemico dei giganti del web, il giovane attivista austriaco Max Schrems e dall’associazione di promozione dei diritti digitali La Quadrature du Net – LQDN.
Il CNIL ha contestato la violazione degli obblighi di trasparenza e informazione rilevando come Google non presenti all’utenza le notizie sulle modalità del trattamento in modo chiaro e facilmente accessibile, e degli obblighi di indicare una base giuridica per il trattamento relativo alla pubblicità mirata, a ffinché venga reso lecito l’utilizzo di dati finalizzato alla personalizzazione dei messaggi pubblicitari.
Una sanzione pecuniaria elevata ma allo stesso tempo lontana dai massimali previsti dal GDPR che prevedono multe fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente

- La sanzione comminata dal Garante privacy austriaco ad una azienda locale

Nel mese di ottobre 2018 l’Autorità Garante della Privacy austriaca (Datenschutzbehörde), ha erogato, a seguito di apposita ispezione, una sanzione da 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in modo non appropriato. Le telecamere erano direzionate su parte del marciapiede esterno al perimetro aziendale, tanto da riprendere i passanti senza alcuna giustificata motivazione e senza idonea informativa rilasciata con apposita cartellonistica. Tutto ciò in violazione dei principi della privacy più comuni, in quanto venivano ripresi i volti dei passanti senza che essi ne fossero debitamente informati. .

- La sanzione comminata dal Garante privacy tedesco ad una azienda con sito di incontri

Il 22 novembre 2018 il Garante per la Privacy dello stato di Baden Württenberg (Landesbeauftragte Für Den Datenschutz Und Die Informationsfreiheit – LfDI) ha condannato il sito Knuddels.de al pagamento di una sanzione di 20 mila euro per aver violato l’art. 32 del GDPR. Knuddels è un sito di chat online che ha avuto il suo picco di popolarità negli anni 2000, prima dell’arrivo di Facebook. Knuddels (letteralmente “coccole”), nel mese di settembre 2018, ha subito il furto di quasi 2 milioni di username/password e di più di 800 mila e-mail, oltre ad indirizzi di residenza degli utenti ed altri tipi di dati, anche sensibili. Gli inquirenti hanno individuato la causa di questo data breach nella mancanza di misure di sicurezza adeguate alla protezione dei dati (circa 330.000 quelli interessati), conservati in chiaro. I dati sono stati diffusi dagli hackers responsabili dell’attacco sui siti di file hosting/sharing Mega e Pastebin. Una volta scoperto l’accesso abusivo, Knuddels ha prontamente informato i suoi utenti e il LfDI dell’accaduto ed ha implementato la sua infrastruttura IT per innalzare il livello di sicurezza. Questoi ha ovviamente ridotto la sanzione, che avrebbge potuto essere molto più alta, a soli 20.000 Euro

- La sanzione comminata dal Garante privacy portoghese ad un Centro Ospedaliero

Il Comissão Nacional de Protecção de Dados (CNPD) portoghese ha sanzionato per un importo complessivo di 400 mila euro una struttura ospedaliera. Nell’aprile 2018, il CNDP ha eseguito un’ispezione presso il Centro Hospitalar Barreiro Montijo del distretto di Setúbal in seguito alla segnalazione del sindacato dei medici, il quale contestava come il personale non sanitario avesse accesso ai sistemi informatici della struttura con i poteri propri dell’organico medico. Durante l'ispezione il CNDP ha accertato un accesso indiscriminato e ingiustificato di quasi seicento dipendenti ai dati sanitari dei pazienti. Nel sistema venivano verificate infatti 985 utenze attive con profilo di autorizzazione riservato al personale medico, nonostante che detto organico contasse realmente solo 296 professionisti.

Chiama subito per informazioni 24 ore su 24, 7 giorni su 7

0121/932578 - 338/7867823

Preventivi gratuiti per i nostri servizi di messa a norma secondo il GDPR

- La sanzione comminata dal Garante privacy polacco ad una azienda locale

L’Autorità polacca per la protezione dei dati personali (Urząd Ochrony Danych Osobowych - UODO) ha multato una società per aver omesso di informare circa sei milioni di persone riguardo al trattamento ai fini commerciali dei loro dati tratti da fonti accessibili al pubblico. Agli interessati è stato così precluso la possibilità di esercitare i diritti loro riconosciuti dal GDPR, tra cui in primis quello di opposizione. La multa di 943.000 zloty polacchi, pari a circa 220.000 euro, è stata comminata per mancato rispetto dell’obbligo di informazione sancito all’art. 14 del testo del GDPR. Il titolare del trattamento ha adempiuto all'obbligo di informazione fornendo le informazioni richieste dagli articoli 14 (1) - (3) del Gdpr solo in relazione alle persone di cui aveva a disposizione gli indirizzi e-mail. Nel caso delle restanti persone, il titolare del trattamento non ha rispettato l'obbligo di informazione, come spiegato nel corso del procedimento, a causa degli elevati costi operativi. Pertanto, ha presentato la clausola informativa solo sul proprio sito web. Tale modalità di procedere è stata ritenuta insufficiente dall’Autorità privacy polacca.

- La sanzione comminata dal Garante privacy italiano alla Associazione Rousseau

Con provvedimento n. 83 del 4 aprile 2019, il Garante per la Protezione dei Dati Personali ha comminato all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del GDPR, oltre ad ingiungere all’Associazione stessa gli adeguamenti necessari contenuti nel provvedimento.
In realtà sulla scorta di scandali e segnalazioni precedenti (come il data breach del 2017) la piattaforma “Rousseau” era già da tempo “attenzionata” dal Garante che con provvedimento del 21 dicembre 2017 aveva già richiesto un attento riesame delle condizioni di sicurezza e la correzione di diverse criticità.

- La sanzione comminata dal Garante privacy italiano ad un medico

Con provvedimento del 14 febbraio 2019 il Garante per la Protezione dei Dati Personali italiano ha stabilito la sanzione di €. 16.000 ad un medico per trattamento illecito di dati personali. In questo caso è stata punita la condotta del professionista consistente nell’aver utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche del 4 marzo 2018, senza che gli interessati avessero espresso specifico consenso. Il Garante per la Protezione dei Dati Personali ha ritenuto sussistente la responsabilità del medico sotto due distinti profili. Innanzitutto, il professionista non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy, realizzandosi così la violazione di quanto espressamente previsto all’art. 161. Questo adempimento è infatti obbligatorio in quanto i dati, nel caso di specie, non risultano raccolti dal medico direttamente presso gli interessati, ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro. Inoltre, il medico ha utilizzato i dati dei suoi ex-pazienti per finalità diverse da quelle di cura per le quali erano stati raccolti, senza aver acquisito per questo uno specifico e autonomo consenso,

- La sanzione comminata dal Garante Privay italiano alla Uber

Informativa incompleta, dati trattati senza un valido consenso, mancata notifica della geolocalizzazione degli utenti. Queste le violazioni accertate in una riunone del dicembre 2018 dal Garante privacy italiano, che avvierà un autonomo procedimento sanzionatorio e segnalerà la questione anche alle altre Autorità europee, nei confronti di Uber.
Uber presta i suoi servizi anche in Italia dal 2013 e, a fronte di diverse controversie legali, opera esclusivamente nel settore degli NCC (Noleggio con Conducente) nelle seguenti città: Napoli, Milano, Roma, Reggio Emilia, Rimini e Trieste. A seguito du un data breach dell'autunno 2016, che ha interessato anche utenti italiani, il Garante ha avviato un’istruttoria volta ad acquisire elementi di valutazione in ordine alla portata in ambito nazionale di tale incidente di sicurezza. L'istruttoria ha portato appunto a scoprire gli illeciti sopra evidenziati.

- La sanzione comminata dal Garante Privay italiano a Facebook

Il 14 giugno 2019 il Garante per la Protezione dei Dati personali comminava una sanzione di 1 milione di Euro a Facebook A seguito delle notizie di stampa nazionale ed internazionale relative alle vicende della società di ricerca Cambridge Analytica, il Garante aveva formulato alle due società più richieste di informazioni in ordine all’applicazione di terze parti presente su Facebook denominata Thisisyourdigitallife, alla circostanza che i dati personali raccolti mediante tale applicazione fossero stati condivisi con Cambridge Analytica per finalità di profilazione psicologica degli utenti e successiva elaborazione di campagne promozionali altamente personalizzate.
Sulla base delle indagino svolte, il Garante ha contestato a Facebook le seguenti violazioni:
a) la violazione delle disposizioni di cui all’art. 13 del Codice, sanzionata dal successivo art. 161, con riferimento all’inidoneità dell’informativa resa agli utenti Facebook in relazione alla condivisione dei dati dei medesimi con soggetti terzi in occasione dell’utilizzo di specifici prodotti presenti nel social network;
b) la violazione delle disposizioni di cui all’art. 23 del Codice, sanzionata dal successivo art. 162, comma 2-bis, per aver svolto i trattamenti di dati personali di cui sopra senza aver acquisito dagli interessati un consenso libero, specifico e informato;
c) la violazione prevista delle disposizioni di cui all’art. 157 del Codice, sanzionata dal successivo art. 164, per non aver fornito idoneo riscontro ad una richiesta di informazioni ed esibizione di documenti;
d) la violazione prevista dall’art. 164-bis, comma 2, del Codice, per aver realizzato le condotte sub a) e b) in relazione a banche dati di particolare rilevanza o dimensioni.

Cosa vi offre Ability Services per la messa a norma secondo il GDPR?

Appare chiaro che per essere a norma secondo il GDPR è bene rivolgersi a professionisti qualificati in possesso di una ottima preparazione tecnica ed in possesso di strumenti adeguati, e che è assolutamente consigliato di evitare soluzioni “fai da te”. Trovare chi sia effettivamente in grado di fornire un servizio efficace e con un buon rapporto qualità<>prezzo non è però operazione semplicissima.

Ecco cosa vi offre Ability Services per la messa a norma secondo il GDPR della vostra azienda:
1) Un ebook informativo gratuito realizzato dal nostro team: la Guida alla Messa a norma secondo il GDPR. Ben 369 pagine di informazioni, considerazioni, valutazioni, con il testo completo del GDPR. Potrete scaricarlo gratuitamente in questa pagina.

2) Attività di Audit iniziale gratuita e senza impegno, per fare il punto sull’attuale situazione, che si conclude con la produzione di una accurata relazione che indica lo stato dell’arte e le criticità da risolvere.

3) Redazione di una specifica proposta di adeguamento alla normativa in considerazione delle prescrizioni del GDPR, un vero e proprio studio di fattibilità con dettaglio degli interventi previsti e costi relativi.

4) Attuazione del piano di adeguamento con conseguente realizzazione delle necessarie attività e produzione di tutta la documentazione richiesta (realizzata espressamente per la vostra azienda).

5) Monitoraggio, con revisione periodica ed attività consulenziale.

6) Eventuale Servizio di DPO (Data Protection Officer) in outsourcing, opportunità prevista dal Gdpr (Art. 37). Calibrato sulle specifiche esigenze dell’azienda, il DPO assume i task previsti verso l’azienda e l’esterno.

Chiama subito per informazioni 24 ore su 24, 7 giorni su 7

0121/932578 - 338/7867823

Preventivi gratuiti per i nostri servizi di messa a norma secondo il GDPR

Servizi di Messa a norma secondo il GDPR

Visitate i settori previsti per i nostri servizi di messa a norma secondo il GDPR: traduzioni tecniche, traduzioni mediche, traduzioni giuridiche, traduzioni giurate, traduzioni legali, traduzioni commerciali, traduzioni letterarie, traduzioni scientifiche, , e la pagina di Servizi di traduzione della nostra agenzia traduzioni, per la quale vi forniamo anche il Listino prezzi e le Condizioni di contratto. Infine, le nostre pagine dedicate alle traduzioni e alla traduzione che qualificano la nostra agenzia per il suo primato nel servizio traduzioni.

La messa a norma secondo il GDPR

La nostra Agenzia fornisce consulenze per la messa a norma secondo il GDPR con un servizio completo di verifica preliminare GDPR e di preparazione di un Piano di adeguamento al GDPR. I servizi di messa a norma GDPR che offriamo sono i migliori in assoluto!! Visitate anche la pagina dei siti consigliati per indicazioni utili ad una navigazione su altri siti. E ancora, le nostra pagina dedicata alla traduzione manuali tecnici ed i siti di traduzioni inglese <> italiano
traduzioni francese <> italiano
traduzioni spagnolo <> italiano
traduzioni tedesco <> italiano
traduzioni svedese <> italiano
traduzioni danese <> italiano
traduzioni russo <> italiano
traduzioni ebraico <> italiano
traduzioni cinese <> italiano
traduzioni giapponese <> italiano.