DSGVO wer musste schon ein Bußgeld zahlen

Un anno dopo l’implementazione del GDPR – le prime multe

Dal 25.05.2018 è in vigore ufficialmente il nuovo GDPR. Da questo momento in poi sono state fatti numerose reclami riguardo le non conformità nella gestione dei dati. Queste violazioni possono essere sanzionate, in base al GDPR, con un importo fino a 20 milioni di Euro, importo che però fino ad ora non è stato ancora applicato.

Tuttavia, fino ad oggi,  sono state emesse sanzioni per un totale di mezzo milione di euro, come scrive il quotidiano „Die Welt“ in data 12 maggio 2019. L’importo si compone di 81 sanzioni che sono state emesse a partire dalla fine del 2018 e che corrispondono ad una media di 6.000 € circa per singola multa.

Già in gennaio 2019, scrive il giornale Handelsblatt, erano state comminate le prime 41 multe, quindi le successive 40 sanzioni si sono aggiunte in pochissimo tempo.

Le sanzioni per regione

I dati riportati dal giornale “Die WELT” si riferiscono a un sondaggio effettuato in solo 15 Lander, giacché Meclemburgo-Pomerania non aveva partecipato. Ma come si dividono le sanzioni per singolo land?

2 casi provengono da Amburgo (multe: 25.000 Euro)

3 casi con le mute più basse nel land Saarland (multe: 590 Euro)

6 casi sanzionati in Sassonia (multe: 11.700 Euro)

7 casi verificati in Baden-Wurttemberg (multe: 203.000 Euro)

9 casi provengono da Renania-Palatinato (multe: 124.000 Euro)

18 casi accaduti a Berlino (multe: 105.600 Euro)

36 casi, e quindi posto da primato, per la Renania settentrionale-Vestfalia (multe: 15.600 Euro)

Le sanzioni più alte in Baden-Wurttemberg

I 7 casi di Baden-Wurttemberg portano, nel totale, alla somma più alta di multe

emesse. Fatto che dipende dal duro procedimento dell’autorità regionale. In un caso i dati sanitari sono finiti in rete, violazione sanzionata con 80.000 Euro. In un altro caso è stata elevata una sanzione di 20.000 Euro perché in uno dei social network erano state salvate le password di accesso senza cifratura.

Il caso Knuddels

Nell’ultimo caso si tratta della piattaforma Knuddels. Il caso della piattaforma Chat Knuddels ha fatto scalpore perché un hacker era riuscito ad attaccare e pubblicare più di 300.000 dati degli utenti (password, indirizzi E-Mail e pseudonimi). Per tale violazione sono stati fissati 20.000 Euro di multa.

Sanzioni nell’Unione Europea

Non solo in Germania sono state comminate sanzioni: anche i paesi confinati hanno perseguito delle infrazioni e con importi ben più alti della Germania.

Multe alte in Portogallo

Decisamente più alta è stata la sanzione per un ospedale portoghese che ha dovuto corrispondere 400.000 Euro perché i tecnici avevano accesso ai dati dei pazienti! Accaduto in ottobre 2018, si tratta quindi di uno dei primi casi, in Europa, con una pesante multa.

Le circostanze descritte dal quotidiano FAZ: come accusa l’autorità di controllo CNPD, nell’ospedale Barreiro Montijo a Barreiro, nei pressi di Lisbona, troppe persone avevano accesso ai dati personali dei pazienti. Perciò, il personale IT poteva visionare dati destinati soltanto allo staff medico.

Durante un controllo, l’autorità ha verificato che si poteva molto facilmente creare un finto profilo medico con autorizzazione di accesso ai dati dei pazienti. Il fatto è emerso perché nell’ospedale lavoravano 296 medici ma risultavano 985 accessi d’utenti attivi.

L’ospedale si è giustificato dicendo che si trattava di profili temporanei e ha fatto ricorso contro la sanzione.

Caso spettacolare in Francia

Il gigante nell’internet Google viene già da tanto tempo accusato di raccogliere dati personali e di venderli a terzi. Ora, dopo l’introduzione del GDPR, l’autorità di controllo francese CNIL ha sanzionato pesantemente la società con 50 milioni di Euro. Google ovviamente ha fatto obiezione alla sanzione.

La “Die Zeit”riporta che Google non rende, all’utilizzatore, abbastanza facile l’accesso alle informazioni sull’utilizzo dei dati e sul luogo e tempo di conservazione. Le informazioni sono sparse sui vari documenti, link e bottoni, oltre ad essere formulati in modo non comprensibile e, effettivamente, non risulta essere trasparente per l’utente l’utilizzo dei propri dati personali.

L’autorità ha quindi dedotto che Google non utilizza un valido consenso al trattamento dei dati e per l’annuncio di pubblicità personalizzata. Inoltre, non è chiaro per l’utilizzatore quali servizi Google (Google Maps o YouTube) siano ulteriormente coinvolti nella ricerca su internet.

Sanzioni anche per persona privata!

Tanti procedimenti sono stati avviati per mail pubblicitarie illecite e mailing con destinatari visibili. Anche l’utilizzo non regolare di Dashcams è stato perseguito con riferimento al GDPR. La maggior parte dei procedimenti vengono avviati a causa alle segnalazioni da parte degli interessati.

Uno dei  casi più spettacolari si è verificato in Merseburg, land Sassonia-Anhalt, come riporta il quotidiano Mitteldeutsche Zeitung il 13.02.2019. Qui è stato condannato un cittadino al pagamento di 2.000 Euro oltre alle spese del procedimento giudiziale perché aveva mandato, tra giugno e settembre 2018, diverse e-mail con gli indirizzi e-mail visibili a tutti i 150 destinatari.

Come contenuto delle e-mail risultavano reclami e diffamazioni, ma anche denunce. Il contenuto stesso non violava il Regolamento. L’accusato si difendeva basandosi sulla “libertà d’espressione”, diritto che però non prevede la divulgazione delle e-mail dei destinatari, come ha spiegato al quotidiano il DPO del Land Sassonia-Anhalt, Signor Bose.

Tuttavia, l’accusato non ha imparato la lezione perché sta continuando a inviare quotidianamente le sue e-mail con fino a 1600 indirizzi di destinatari visibili.

Conclusione

La protezione dei dati viene presa sul serio, tuttavia si evince dai casi sanzionati che ci sono ancora alcune grosse aziende, servizi internet o persone private che trattano i nostri dati personali senza alcuna precauzione e in maniera non conforme alla legge. Un aspetto positivo, invece, è che i cittadini si avvalgono ai loro diritti e si oppongono all’uso illecito.

Resta quindi da sperare che le autorità di controllo continuino a perseguire i casi di violazioni e che tutelino i cittadini. Le elevate sanzioni dovrebbero aiutare a sensibilizzare le aziende a questo importante tema della protezione dei dati.