Le modalità di applicazione delle sanzioni per violazioni del GDPR
L’autorità garante svedese ha applicato per la prima volta una sanzione, per violazione del GDPR, a una scuola secondaria. La sanzione, dell’ordine di 16.000 £, è significativa e può certamente indurre altre organizzazioni a meditare un po’ più a lungo, prima di attivare sistemi di trattamento di dati personali.
Nella fattispecie, la scuola aveva utilizzato una tecnologia di riconoscimento facciale, per un test limitato nel tempo, per identificare gli studenti che si presentavano in classe. La scuola ha tracciato 22 studenti per qualche settimana. L’autorità garante svedese ha ritenuto che questo tipo di trattamento violasse le regole del GDPR.
L’ammontare della sanzione è stato stabilito sul fatto che la violazione è stata effettuata per un limitato periodo di tempo e sulla base del fatto che non vi era alcun intento doloso nell’attivare questo trattamento. Tanto per cominciare, l’autorità garante ha ribadito che i dati biometrici sono dati particolari e che non era sufficiente che i genitori degli studenti avessero dato l’approvazione all’utilizzo di questi dati. Ricordo, al proposito, che anche la nostra cassazione, dopo un primo parere positivo, ha rettificato il proprio giudizio, affermando che il fatto che tutti gli interessati coinvolti diano consenso ad uno specifico trattamento, non significa automaticamente che il trattamento possa essere legittimo.
I difensori della scuola hanno fatto presente che si trattava di un trattamento sperimentale, mirato a valutare esattamente i limiti dell’utilizzo di dati biometrici e quindi non avrebbe dovuto essere applicata una sanzione.
Altri consulenti hanno invece ritenuto che vi fosse stato una violazione. In particolare, l’autorità garante ha rilevato che la scuola non aveva condotto una analisi di protezione fin dalla progettazione, in conformità all’articolo 25, e una valutazione di impatto, in conformità all’articolo 35. Non mi stancherò mai di ricordare a tutti i lettori che il rispetto dell’articolo 25 è sempre obbligatorio, per qualsiasi tipo di trattamento, mentre lo sviluppo di un’analisi di rischio, in conformità all’articolo 35, deve essere condotta solo a fronte di trattamenti che presentino rischi particolari.
L’autorità garante svedese ha inoltre sostenuto che l’applicazione di questa sanzione non vuole essere un impedimento all’utilizzo di avanzate tecnologie digitali, bensì un monito a applicare queste avanzate tecnologie in un modo rispettoso delle disposizioni del regolamento generale europeo.
Ad esempio, l’autorità garante ha affermato che era possibile verificare la presenza in classe degli allievi anche con tecnologie meno invasive, come ad esempio una tessera di prossimità. Ad avviso dello scrivente, l’autorità garante si è dimenticata del fatto che la tessera di prossimità può anche essere prestata ad un amico ed utilizzata in modo improprio.
Ad oggi, il comportamento delle varie autorità garanti dei vari paesi è oltremodo differenziato, andando dai 50 milioni di sanzione applicati a Google dall’autorità garante francese, alle poche migliaia di euro applicate dall’autorità Garante rumena.
Davanti a una tale diversità di comportamento, alcuni specialisti ritengono che molte aziende potrebbero scegliere di piazzare la propria sede principale in paesi, dove la politica delle sanzioni risulta meno gravosa, rispetto ad altri paesi.
Ricordo ai lettori che abbiamo illustrato recentemente lo schema utilizzato dalle autorità garanti tedesche per applicare sanzioni, secondo una procedura quasi automatica. ( GDPR: linee guida per l’applicazione di sanzioni)
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.