GDPR – Le prime sanzioni

A distanza di quasi un anno possiamo “finalmente” valutare le prime sanzioni amministrative applicate in funzione del nuovo regolamento europeo per la protezione dei dati.
Quest’affermazione può sembrare di cattivo gusto, ma per chi opera nel settore della protezione dei dati è un passo molto importante perché si iniziano a delineare le modalità di valutazione sugli importi delle sanzioni. Ricordiamo che il regolamento non ha una forbice ben delineata, ma va da zero a dei massimali a differenza di tutte le altre normative, nelle quali siamo abituati ad un importo minimo e un massimo, ed eventualmente delle aggravanti. Quindi è spesso possibile calcolare in Euro il proprio rischio di inadempienza.
Il nuovo Regolamento Europeo viene disciplinato diversamente.

Abbiamo selezionato tre casi, molto interessanti.

Caso 1 – Sanzione Garante Privacy

L’applicazione della sanzione è avvenuta dal Garante Privacy Austriaco a seguito di un utilizzo non conforme del sistema di videosorveglianza. In particolare, l’azienda sanzionata risultava munita di videocamere che, prescindendo da una concreta finalità, da qualunque segnalazione al Garante e dall’esposizione della dovuta segnaletica, riprendevano, non solo gli ingressi agli stabilimenti aziendali, ma anche i volti di chi percorreva gli attigui marciapiedi.
In tale circostanza la sanzione comminata è stata pari a 4.000,00 €.

Caso 2 – Sanzione Data Breach

Il secondo caso riguarda l’applicazione della sanzione, in merito ad un data breach da parte del Garante Privacy Tedesco.
La particolarità, si attesta nella circostanza che l’Autorità competente sembrerebbe aver tenuto in maggior considerazione l’evidenza che i dati violati (nello specifico nome utente e password aziendali) fossero stati mal conservati dall’azienda coinvolta, piuttosto che dalla conseguente sottrazione degli stessi.
Tale ultima circostanza costituirebbe infatti, stando al Garante Tedesco, la mera conseguenza di non essersi muniti di sistemi di cifratura adeguati che, seppur in caso di sottrazione di dati, avrebbero quantomeno potuto evitare che le password dei dipendenti venissero rese pubbliche.

In seguito a tali eventi la sanzione applicata è di 20.000,00 €.

Caso 3 – Fuori Norma GDPR

La terza sanzione, riguarda una struttura ospedaliera del Portogallo.
In questo caso la struttura è risultata fuori norma per quanto riguarda le politiche estremamente leggere in materia di accesso a dati sanitari, con la conseguenza che gli addetti di qualsiasi reparto potevano, con la massima facilità, non soltanto accedere, ma anche modificare i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti ospiti del complesso ospedaliero.

In questo caso la sanzione comminata è stata di 400.000,00 €.

Ci siamo soffermati su tre sanzioni, non accadute in Italia, ma degne di un posto sul podio, per gravità e per importo sanzionato dal Garante Privacy.

Si tratta di non conformità della norma facilmente riscontrabili in diverse realtà del nostro paese.
Molto spesso le condizioni delle aziende pubbliche e private sottolineano la mancata di applicazione della segnaletica, oppure errato posizionamento della videosorveglianza.
Non tralasciamo casi di cattiva protezione delle password dei dipendenti, che sono realtà molto diffuse, non da meno la sottovalutazione della regolamentazione dell’accesso dei dati.

Deduciamo che è necessaria prevenzione, formazione e analisi aziendale, perché evitare la sanzione è possibile.
Non è solo un obbligo, è un dovere per l’azienda, per i dipendenti e la stessa collettività.

Fabio Pinna

​Sono un Consulente in materia di sicurezza sul lavoro e sistemi di gestione dei dati per medie e grandi aziende private e enti pubblici.

>