Calabria7

UE: in arrivo le prime sanzioni per violazioni al Regolamento Europeo 679/2016

di Pasquale Nicolazzo

Strutture ricettive, società finanziarie, grandi compagnie aeree, ma anche strutture sanitarie ed Enti Pubblici nel mirino dei “Garanti della privacy” di tutti i paesi europei. In mezzo a tutti gli Stati facenti parte dell’UE, stanno comparendo le prime sanzioni per le violazioni riguardanti gli adempimenti imposti dalla nuova normativa europea sulla protezione dei dati personali, tra cui risaltano quelli relativi alla sicurezza dei sistemi informativi. Di seguito elenchiamo i principali accadimenti avvenuti negli stati dell’Unione.

 

GRAN BRETAGNA – Notificata a un gruppo alberghiero l’avviso di procedimento finalizzato all’applicazione di una sanzione di oltre 99 milioni di sterline a seguito di un attacco informatico. La stessa società ha notificato al Garante Inglese (ICO) la violazione della sicurezza risalente al Novembre 2018, che ha messo a rischio 339 milioni di informazioni, di cui circa 30 milioni relative a persone residenti in Europa. Il fatto risale al 2014 ed è stato ereditato da una precedente catena acquisita nel corso di un’operazione societaria. Secondo il Garante Inglese, la società non ha fatto le opportune verifiche e non ha messo in sicurezza i sistemi. Il procedimento è ancora in fase di istruttoria e l’ICO non ha ancora assunto la decisione finale. Un altro episodio ha coinvolto una compagnia aerea, qui si tratta di importi più bassi in relazione al minor numero di persone potenzialmente coinvolte (circa mezzo milione) e ha riguardato sempre un c.d. “Data Breach” iniziato probabilmente a Giugno 2018. Al centro dei controlli la scarsa sicurezza a riguardo di accessi a internet, pagamenti online, dettagli delle prenotazioni aeree e dati identificativi dei passeggeri. Anche in questo caso il procedimento è tutt’ora in itinere.

 

BELGIO – Il Garante belga ha ammonito il servizio sanitario pubblico per non avere risposto alla richiesta di accesso di un cittadino. Quest’ultimo ha chiesto di avere copia dei propri dati personali in relazione a una procedura di nomina quale componente di una commissione medica locale. Nel silenzio dell’Ente sanitario, il Garante belga ha adottato la misura correttiva. Lo stesso garante ha, poi, applicato una sanzione di 2 mila euro per violazione del trattamento di dati nell’ambito di campagna elettorale. Un amministratore locale ha utilizzato, per fini di propaganda, dati ottenuti durante l’esercizio del mandato. Secondo il Garante belga una situazione è la corrispondenza istituzionale, un’altra è utilizzare la e-mail ricevuta per inviare con il comando «rispondi» messaggi di propaganda elettorale.

 

LITUANIA – Il Garante lituano ha ingiunto il pagamento di 61 mila euro a una banca per un “Data Breach”. In questo caso i dettagli della movimentazione della clientela sono stati disponibili in chiaro per più di due giorni tramite internet. Durante le indagini è emerso anche che la banca raccoglie più dati di quelli necessari per i servizi forniti.

 

FINLANDIA – Due casi hanno coinvolto banche e società finanziarie. Entrambe hanno riguardato una non corretta profilazione della clientela in relazione al giudizio di meritevolezza del credito. In contestazione il dato sull’età del richiedente il prestito. Secondo il Garante finlandese il mero dato dell’età non è idoneo a descrivere la solvibilità e ha ordinato alla banca di cambiare il sistema automatizzato di istruttoria delle richieste di credito.

POLONIA – Il Garante polacco ha comminato 220 mila euro di sanzione a una società che non aveva consegnato l’informativa privacy agli interessati: oltre 6 milioni gli interessati. I dati erano stati raccolti da fonti disponibili al pubblico e trattati per scopi commerciali. L’informativa è stata inviata solo ai soggetti di cui la società aveva l’indirizzo di posta elettronica (un’esigua minoranza); Questo non è bastato ad evitare le sanzioni.

 

ROMANIA – In tre casi il Garante rumeno ha applicato sanzioni pecuniarie. Nel primo episodio la violazione da parte di una società privata ha riguardato le norme sulla sicurezza dei trattamenti. L’importo della sanzione è stato modesto (3 mila euro). Il Garante rumeno ha accertato che il deficit di sicurezza la diffusione su internet di dati personali nei mesi di Dicembre 2018 e Gennaio 2019. Nel secondo caso la violazione è stata la stessa, ma la sanzione è stata più alta (15 mila euro). Qui si è trattato di una lista stampata su carta, usata per controllare clienti di un hotel al momento dell’ingresso alla sala ristorante per la colazione (in totale 46 persone). La lista è stata fotografata e diffusa. Il terzo episodio ha coinvolto una banca e si è trattato della violazione dell’articolo 25 del GDPR (Privacy by Design e Privacy by Default). La sanzione è stata di circa 130 mila euro. La mancata conformità ai principi di sicurezza e minimizzazione del trattamento dei dati ha esposto i clienti alla acquisizione indebita dei dati identificativi personali e della movimentazione. Interessati dalla vicenda sono state oltre 337 mila persone.

 

DANIMARCA – Il Garante danese ha aperto una procedura contro un’azienda di arredi per non avere cancellato i dati di 385 mila clienti, conservati in un vecchio sistema informativo, non più in uso, perché sostituito da altro aggiornato. Il Garante danese ha anche aperto un procedimento per l’applicazione di una sanzione di 160 mila euro alla compagnia di taxi, per mancata cancellazione dei dati della prenotazione delle corse. La società aveva la regola interna di distruzione dei dati dopo due anni. Ma questo non è avvenuto, in quanto la società cancellava solo i nomi, ma non i numeri di telefono dei clienti.

 

NORVEGIA – Il Garante norvegese ha comminato una sanzione di 170 mila euro a un Comune, reo di non avere protetto 35 mila credenziali di accesso al sistema informativo municipale, in particolare relativi a studenti e dipendenti delle scuole primarie.

 

AUSTRIA – Nel mirino del Garante austriaco la società del servizio postale per plurime violazioni: raccolta di dati sulle convinzioni politiche, lacune nella redazione della Valutazione di Impatto sulla Protezione dei Dati (DPIA).

© Riproduzione riservata.

Articoli Correlati

Ance Catanzaro, il 13 maggio al via Corsi BIM

Matteo Brancati

Assemblea Bcc, Paldino confermato presidente a voti unanimi

mario meliadò

Coronavirus, sartoria di Cittanova produce mascherine

Andrea Marino
Click to Hide Advanced Floating Content
Click to Hide Advanced Floating Content