Privacy: sanzioni sempre più pesanti per chi viola le regole

Privacy: sanzioni sempre più pesanti per chi viola le regole

Un gigante nel trattamento dei dati, Google, è stato sanzionato, sia in Europa, sia negli Stati Uniti, per clamorose violazioni in materia di trattamento di dati personali. Ecco i dettagli.

Un aspetto sul quale vi è una relativa similarità di comportamento delle pubbliche autorità, in materia di violazione di dati personali, si registra tra Europa e Stati Uniti. Di seguito, metto a confronto due sanzioni applicate, rispettivamente in Europa negli Stati Uniti, ad un gigante del trattamento dei dati.

Ricordo che il regolamento generale europeo non stabilisce importi minimi di sanzioni, ma solo importi massimi; l’importo della sanzione viene determinato analizzando 11 parametri ed alcuni sotto parametri, al termine di una specifica istruttoria per ogni singola violazione.

Il principio di base, nel determinare l’importo della sanzione, è chiaramente riportato all’articolo 83, laddove si afferma che “le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo, in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6, siano in ogni singolo caso effettive, proporzionate e dissuasive.”

Vale la pena di sottolineare in particolare l’aggettivo “dissuasive”, che deve essere tale da far passare la voglia al violatore di continuare nella violazione!

Pubblicità

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

Ecco perché l’importo delle sanzioni che viene applicata, per una stessa violazione, può variare in maniera straordinaria a seconda del profilo del titolare del trattamento coinvolto. La violazione relativa alla mancata affissione di un cartello di informativa sintetica, circa la presenza di impianti di videosorveglianza, porta a sanzioni ben diverse se l’esercizio commerciale coinvolto è una rivendita di frutta e verdura, oppure è una catena della grande distribuzione organizzata.

Ciò premesso, vediamo il profilo di queste due sanzioni, applicate a Google rispettivamente in Europa e negli Stati Uniti.

Un paio d’anni fa, il Garante francese per la protezione dei dati personali, CNIL, ha applicato a Google una sanzione di 50 milioni di euro, che, al tempo, era la più elevata sanzione mai applicata in Europa.

All’origine della sanzione vi era un insufficiente informazione fornita agli utenti, attraverso la politica di espressione del consenso al trattamento dei dati, che era oltremodo oscura e non metteva chiaramente in evidenza la possibilità di opt-out a questa raccolta di informazioni.

Risale a un paio di mesi fa la applicazione di una sanzione per 391,5 milioni di dollari, dovuta alla somma delle sanzioni applicate da 40 Stati degli Stati Uniti, con riferimento alle informazioni non veritiere, ma che sarebbe meglio chiamare false, in merito al tracciamento degli spostamenti degli utenti.

Anche se gli utenti attivavano la funzionalità di blocco dell’acquisizione dei dati di tracciamento, Google li acquisiva lo stesso, in completo spregio della verità e del rispetto dei diritti degli utenti.

Le indagini svolte dalle varie procure degli stati coinvolti hanno dimostrato che questa attività fraudolenta era in atto fin dal 2014.

Come è noto, il tracciamento degli spostamenti degli utenti permette a Google di inviare messaggi promozionali mirati, legati proprio alla ubicazione in cui gli utenti si trovano.

Particolare turbamento in tutto il mondo della protezione dati personali è nato quando si è venuti a conoscenza del fatto che Google utilizzava anche i dati relativi a possibili visite degli utenti presso cliniche, che praticavano l’aborto, nonché altre attività sanitarie estremamente critiche.

Alla luce del concetto dinamico, che governa la determinazione delle sanzioni da applicare, a parità di violazione, è oltremodo raccomandato a tutti coloro, che sono responsabili del trattamento di dati personali, di tenersi aggiornati sulle modalità di valutazione e calcolo delle sanzioni, per essere in grado di esaminare in modo critico le procedure di applicazione, da parte delle autorità garanti nazionali.

Adalberto Biasiotti

Licenza Creative Commons