Sanzioni GDPR: il processo decisionale dell’autorità Garante
L’obiettivo di questo articolo non è tanto quello di informare il lettore, circa l’applicazione di una sanzione per violazione del regolamento sui dati personali, quanto di illustrare il processo decisionale dell’autorità Garante.
L’analisi di questa violazione è particolarmente interessante, perché purtroppo certi modelli di comportamento, da parte della grande distribuzione organizzata, possono essere presenti in numerose altre catene similari. CNIL Comité nationale informatique liberté, vale a dire l’autorità Garante nazionale francese, ha applicato una sanzione di 2.250.000 € a Carrefour France per tutta una serie di violazioni nel trattamento dei dati personali dei propri clienti.
Ecco i fatti.
La prima violazione fa riferimento al fatto che la catena commerciale acquisiva un gran numero di dati personali dai clienti, che desideravano aderire ad un programma di tessere di fidelizzazione. L’informativa circa le informazioni acquisite ed il successivo utilizzo era non solo praticamente illeggibile per una persona di normale cultura, ma inserita in altri lunghi documenti, che contribuivano a rendere poco accessibile l’informazione.
La seconda violazione fa riferimento alla mancanza di informazioni sull’utilizzo dei cookies, che venivano automaticamente depositati sul terminale del cliente che si connetteva, senza richiedere alcuna autorizzazione.
La GDO non aveva rispettato la durata di conservazione dei dati, che la società stessa aveva predeterminato. I dati di più di 28 milioni di clienti, inattivi da più di cinque anni, erano conservati nel quadro del programma di fidelizzazione. Inoltre, l’autorità garante ha ritenuto che, anche se il titolare aveva fissato una data di conservazione a quattro anni, dopo l’ultimo acquisto, tale durata era palesemente eccessiva.
Per scoraggiare gli interessati ad esercitare il loro diritto di accesso, secondo l’articolo 12 del regolamento europeo, la società richiedeva sistematicamente la presentazione di un documento di identità, anche se non vi era alcun dubbio circa l’identità della persona che cercava di esercitare i propri diritti.
Inoltre, più volte la società non ha dato risposta a ripetute richieste, da parte degli interessati, di accedere ai propri dati personali, rifiutandosi perfino di cancellare i dati, a fronte di una specifica richiesta degli interessati coinvolti.
A coronare questo elenco di comportamenti negativi, la sanzione prende in considerazione anche la violazione dell’articolo 5 del regolamento europeo, che impone al titolare l’obbligo di trattare in maniera leale trasparente i dati degli interessati.
A questo punto, invito i lettori a leggere l’intero provvedimento, che, anche se in lingua francese, è facilmente comprensibile per la quasi universalità di molte espressioni della lingua italiana e della lingua francese, che illustra in dettaglio le modalità con cui è stata condotta l’istruttoria e si è giunti alla determinazione della sanzione.
Ricordo ancora una volta ai lettori che il regolamento europeo prevede che si giunga alla determinazione di una sanzione, per violazione del regolamento, dopo aver esaminato ben 11 aspetti della violazione, con alcuni sotto aspetti. Il documento è assolutamente esemplare, perché analizza passo passo tutti gli aspetti della violazione, dando appropriate giustificazione per il peso da attribuire ai vari aspetti della violazione e quindi alla determinazione della sanzione finale.
Si tratta di un documento che è un vero modello per tutti, anche per l’Italia!
Vedi allegato (PDF)
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.