Per non aver adeguatamente protetto e conservato i dati dei loro utenti come previsto dal GDPR, due società sono state sanzionate in Danimarca e in Francia. Le autorità nazionali dei due Paesi europei (Agenzia danese per la protezione dei dati e CNIL) hanno applicato multe per un totale di oltre 600.000 euro. Le violazioni riscontrate sono relative al regolamento europeo.
Due episodi che portano insegnamenti sia alle aziende, ma anche all’autorità nazionale italiana: “Le aziende possono iniziare a capire come il GDPR porti sanzioni anche consistenti, l’autorità invece che l’applicazione delle sanzioni in caso di violazioni non è rinunciabile”, ha commentato Francesco Pizzetti, docente universitario di Diritto costituzionale ed ex Garante della privacy.
Indice degli argomenti
Il caso danese
In Danimarca è finita nei guai la società di mobili IDDesign per la mancata cancellazione dei dati di circa 385.000 clienti. La multa comminata dall’autorità danese per la privacy ammonta a 1,5 milioni di corone danesi (oltre 200.000 euro). L’irregolarità era stata riscontrata nel corso di una verifica in materia di privacy presso la società. IDDesign aveva quindi spiegato all’autorità quali fossero gli strumenti usati per trattare i dati personali ma è emerso che solo alcuni negozi disponevano di un sistema recente, alcuni ne utilizzavano uno vecchio: questo strumento aveva raccolto i dati personali di circa 385.000 clienti e mai erano stati cancellati. Si trattava di nomi, contatti, indirizzi.
La pratica viola il GDPR, in quanto il regolamento stabilisce che gli interessati non devono essere identificabili per un tempo superiore a quello necessario per svolgere le azioni per cui i dati vengono trattati. La società di mobili danese non aveva spiegato i termini per la cancellazione dei dati, trattandoli di fatto più a lungo di quanto consentito dalla normativa.
Da sottolineare, come precisa Pizzetti che “in alcuni casi si possono conservare i dati anche oltre il termine della finalità per cui vengono trattati perché, di fatto, possono esserci altre finalità, come quella fiscale facendo un esempio”.
La sanzione in Francia
Il CNIL, l’autorità per la privacy francese, ha multato per 400.000 euro la società Sergic che gestisce un sito internet di servizi immobiliari. L’azienda non avrebbe da una parte protetto in modo adeguato i dati degli utenti, dall’altra avrebbe conservato in modo inappropriato dati personali vecchi. La multa è stata comminata in seguito al reclamo di un cliente sporto al CNIL nell’agosto 2018: l’utente era riuscito ad avere accesso ai documenti di altri clienti, semplicemente modificando leggermente l’URL dalla sua area personale sul sito. Sergic infatti permette di creare profili personali attraverso cui prendere in affitto case, caricando anche online tutte le carte necessarie per il contratto.
Il CNIL dunque a settembre dello stesso anno ha svolto una verifica, attestando che i documenti degli utenti erano accessibili. Si potevano vedere documenti come la carta d’identità, dati bancari, assegni familiari. L’autorità ha poi scoperto che la società conosceva questa vulnerabilità già da marzo, ma non aveva fatto nulla per contrastarla finché non è intervenuto il CNIL: “La sanzione è pienamente condivisibile in termini di applicazione del GDPR, perché non è tollerata la mancanza di sicurezza”, commenta Pizzetti.
Le violazioni accertate
La società francese aveva violato l’articolo 32 del GDPR, non garantendo la sicurezza dei dati degli utenti. Inoltre, la società non aveva nemmeno provveduto tempestivamente a sistemare il problema o a cercare soluzioni per tamponarlo in emergenza.
Inoltre, è stato violato l’articolo 5 del GDPR. Infatti, similmente alla società IDDesign, è stata rilevata un’irregolarità nella durata della conservazione dei dati, in quanto quelli caricati dagli utenti di Sergic non sono stati cancellati anche superato il tempo necessario. Per esempio, dopo aver concluso un contratto d’affitto, i dati andavano cancellati, ma così non è stato.
La lezione per le azioni e per il Garante italiano
Da questi due episodi si possono trarre due insegnamenti: “Le aziende da quanto accaduto possono cominciare a capire che il GDPR è un insieme di regole con sanzioni significative“, sottolinea Pizzetti. Per quanto riguarda invece l’autorità italiana, “in questo anno ha fatto bene, applicando però sempre la normativa nazionale, ora bisogna rendere applicativo il GDPR anche tramite il mezzo delle sanzioni”.
L’applicazione delle sanzioni “in caso di violazione del GDPR non è rinunciabile, le autorità devono farle”, chiarisce Pizzetti.
