400.000 € e 20.000 € di sanzioni applicate dal Garante francese

400.000 € e 20.000 € di sanzioni applicate dal Garante francese

Cerco di mantenere la mia promessa di monitorare le sanzioni che vengono applicate in vari paesi europei, a fronte di violazione di dati personali, per cominciare a estrarre delle linee guida da sottoporre all’attenzione dei titolari.

Ci troviamo davanti ad una società, specializzata nella promozione immobiliare, l’acquisto, la vendita e l’affitto del patrimonio immobiliare. Per svolgere la propria attività, questa azienda dispone di un sito Web, che permette ai candidati, che offrono immobili in affitto, di caricare tutte le informazioni personali necessarie per costruire i loro dossier.

Nell’agosto 2018, il Garante francese ha ricevuto un reclamo da parte di un interessato che dimostrava come egli avesse avuto la possibilità, a partire dal suo spazio personale sul sito Web, di accedere a documenti di altri utilizzatori, modificando leggermente l’URL visualizzato sul navigatore.

Gli ispettori dell’autorità Garante francese hanno verificato che in effetti i dati personali, anche sensibili, che gli offerenti di locali in affitto avevano caricato sul sito, erano liberamente accessibile da soggetti terzi. Tra i documenti accessibili figuravano le copie delle carte d’identità, le carte sanitarie, le dichiarazioni rilasciate in merito al rendimento energetico, alle coordinate bancarie per la domiciliazione dell’affitto e via dicendo.

Non appena rilevata questa anomalia, gli investigatori hanno allertato la società di questa debolezza. Durante un’ispezione sul posto, è apparso chiaro che la società aveva conoscenza di questa vulnerabilità già da parecchi mesi, ma solo dopo alcuni mesi era stato possibile mettere sotto controllo la vulnerabilità.

La sanzione è stata applicata sulla base della constatazione della presenza di due violazioni del regolamento generale sulla protezione dei dati.

Tanto per cominciare, la società in questione evidentemente è venuta meno ai suoi doveri di garantire la sicurezza dei dati personali degli utilizzatori del suo sito, esplicitamente prevista dall’articolo 32 del regolamento. Non erano state attivate procedure di autentica dei soggetti che si collegavano, pur trattandosi di una misura addirittura banale. La gravità di questa violazione era legata alla natura dei dati che diventavano così liberamente accessibili.

Pubblicità

La vulnerabilità è stata corretta ben sei mesi dopo, senza avviare alcuna procedura di urgenza.

Successivamente, gli ispettori hanno accertato che la società in questione conservava, senza limitazione di durata, tutti i documenti che venivano caricati sul sito da parte di un interessato.

Anche in questo caso, ci si trova davanti a una palese violazione dei dettati del regolamento, che specifica che la durata di conservazione deve essere legata alla finalità per cui i dati sono stati raccolti. Ecco la ragione per la quale, una volta concluso un contratto tra le parti, non vi era più ragione di custodire i dati.

Un aspetto interessante di questa sanzione è legato al fatto che l’autorità Garante ha ritenuto opportuno pubblicare anche il nome della società coinvolta, soprattutto perché si ritiene che queste tipologie di violazioni siano assai più frequenti di quanto non si pensi e quindi la pubblicazione della sanzione e delle sue ragioni potrebbe agire da deterrente su altri titolari, non particolarmente rispettosi dei dettati del regolamento.

La seconda sanzione fa riferimento invece al comportamento di un’azienda, che aveva installato un impianto di videosorveglianza per il controllo degli ambienti di lavoro.

Si tratta di una piccola azienda con nove dipendenti, specializzata nella traduzione di testi tecnici. Alcuni dipendenti avevano avanzato dei reclami perché ritenevano che l’impianto di videosorveglianza, installato dalla direzione, fosse troppo intrusivo; inoltre sembra che non fosse stata fornita un’appropriata informativa agli interessati coinvolti.

Gli ispettori si sono recati sul posto e hanno verificato che l’impianto di video registrazione registrava le postazioni di lavoro ininterrottamente, che non era stata data alcuna informazione dipendenti, che le postazioni informatiche di lavoro non erano state messe in sicurezza, attribuendo un codice identificativo personale ad ogni operatore. Nel luglio 2018 la agenzia pertanto ha mandato una diffida all’azienda, imponendo di spostare i campi ripresi dalle telecamere, dare una appropriata informativa e creare profili di accesso personalizzati per ogni singolo dipendente.

In mancanza di adeguato riscontro, è stato effettuato un secondo controllo nell’ottobre 2018, che ha confermato come l’azienda non avesse reagito alle indicazioni della Garante francese.

Il Garante francese ha altresì precisato che l’ammenda amministrativa di 20.000 € era relativamente bassa, alla luce dell’esame delle dimensioni e della situazione finanziaria dell’azienda, che aveva presentato un risultato netto negativo nel 2017. L’importo è stato quindi determinato in maniera tale da non mettere in ginocchio l’azienda, ma tale da essere dissuasivo e proporzionato.

Per evitare ulteriori ritardi nell’applicazione delle indicazioni del Garante, è stata inoltre stabilita una sanzione di 200 € al giorno, in caso di ritardo nell’attuazione dei provvedimenti, rispetto alla data della comunicazione.

Rendendo pubblica questa decisione, il Garante francese ha voluto sottolineare ancora una volta come sia importante rispettare regole elementari nella installazione di sistemi di videosorveglianza sul posto di lavoro. Chi scrive ritiene di particolare interesse il criterio utilizzato per determinare la sanzione, che tiene conto dei parametri “personalizzati”, che sono specificamente previsti dal regolamento generale europeo.

Adalberto Biasiotti

Questo articolo è pubblicato sotto una Licenza Creative Commons.