esporta articolo in PDF

Privacy: i rapporti annuali emessi dalle varie autorità Garanti nazionali

Privacy: i rapporti annuali emessi dalle varie autorità Garanti nazionali
Adalberto Biasiotti
 Adalberto Biasiotti
 Privacy
15/05/2019: Gli addetti alla protezione dei dati stanno cominciando adesso a esaminare i rapporti annuali emessi che illustrano le sanzioni applicate e le ragioni che hanno portato ad applicare la specifica sanzione.
Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'
 

Il primo anno dall’entrata in vigore del nuovo regolamento generale 679 / 2016 costituisce evidentemente un punto di riferimento importante, per vedere come nei vari paesi europei i dettati del regolamento sono stati gradualmente attuati. Con l’occasione, sarà certamente interessante ascoltare le relazioni che verranno pubblicate dai vari Garanti, durante gli European Data protection days, a Berlino, alla fine di maggio.

Nel frattempo abbiamo potuto esaminare il rapporto presentato dal garante francese-CNIL  comitè nazionale informatique liberté. Si tratta di un ponderoso documento di alcune centinaia di pagine, ma credo che la porzione del documento maggiormente interessante per i lettori riguardi quella dove vengono illustrate le sanzioni applicate e vengono illustrate le ragioni, che hanno portato ad applicare la specifica sanzione.

Ricordo ancora una volta che il processo di applicazione della sanzione, secondo il regolamento europeo, deve far sì che la sanzione stessa sia “effettiva, proporzionata e dissuasiva”.

Ciò significa che ogni sanzione viene applicata non secondo regole automatiche, ma in base ad una valutazione personalizzata, che esamina una decina di parametri, prima di giungere alla definizione dell’importo della sanzione.

 

Pubblicità

Privacy GDPR - Tutela dei dati personali e Cyber security - 3 ore
Corso online di formazione per Persone autorizzate al trattamento dei dati personali - Regolamento Europeo (UE) 2016/679

 

Ecco una panoramica delle principali cause, che hanno portato all’applicazione di una sanzione.

 

Sono numerose le sanzioni pecuniarie che sono state inflitte a titolari del trattamento, perché il Garante francese è giunto alla conclusione che essi non avevano applicato appropriate misure di sicurezza ai dati, che gli interessati avevano loro affidato.

Ricordo che occorre sviluppare sempre una valutazione di protezione fin dalla progettazione, ex articolo 25, e, in alcuni casi particolari, anche una valutazione di impatto in conformità all’articolo 35. Sono almeno quattro i titolari del trattamento che hanno subito delle perdite di dati, proprio a causa dell’insufficiente livello di protezione dei dati stessi.

 

Altri titolari sono stati sanzionati perché utilizzavano i dati, affidati dagli interessati, con trattamenti che eccedevano ampiamente l’ambito di consenso, che avevano ricevuto dagli interessati stessi, debitamente informati. È questa una violazione che si verifica spesso ed è il motivo per cui l’autorità Garante francese ha ritenuto che la sanzione dovesse essere oltremodo sostenuta, proprio perché il valore dissuasivo fosse chiaramente riconosciuto non solo dal titolare coinvolto, ma anche da altri titolari, non sufficientemente attenti a questi aspetti. Stiamo parlando di sanzioni che vanno da 50.000 a 75.000 € e quindi di sanzioni che a mio avviso sono certamente dissuasive.

 

Nonostante l’autorità Garante francese sia abbastanza di larghe vedute, nell’utilizzo di applicativi biometrici, è stata comunque applicata una sanzione di 10.000 € ad un titolare, che aveva installato nell’ambiente di lavoro un dispositivo biometrico troppo invasivo.

 

Ancora una volta, ricordo ai lettori che la mia attenzione non è stata tanto attratta da mega sanzioni, come quella di poco meno di mezzo milione di euro, applicata ad Uber, che non aveva garantito un livello elevato di protezione dei dati, ma dalle sanzioni applicate nei confronti di operatori, il cui profilo è molto più vicino alla stragrande maggioranza dei titolari di trattamento della piccola e media industria.

Ad esempio, sono state emesse numerose sanzioni per installazioni di impianti di videosorveglianza, che per vari motivi non rispettavano elementari principi di limitazione nell’acquisizione dei dati e tempestività e chiarezza dell’informativa.

 

Infine, è interessante segnalare come numerose compagnie di assicurazione siano state sanzionate, oppure siano stati posti degli immediati blocchi al trattamento, perché utilizzavano i dati forniti dagli assicurati in maniera impropria, eccedendo le strette finalità contrattuali, per i quali i dati erano stati forniti. È questo un “peccato” che purtroppo si manifesta con frequenza, come quando le catene alberghiere utilizzano i dati, che i clienti debbono fornire in fase di prenotazione e soggiorno, per finalità di promozione mirata, certamente non autorizzata.

 

Offro queste segnalazioni ai lettori, perché possano verificare le tipologie di trattamento che vengono effettuate all’interno delle aziende affidate alle loro cure e possano quindi prendere tempestive misure di prevenzione protezione, prima che sanzioni significative possano colpirli.

 

Il documento (pdf)

 

Adalberto Biasiotti

 



Creative Commons License Questo articolo è pubblicato sotto una Licenza Creative Commons.
Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'

Hai qualcosa da dire su questo articolo? Aggiungi ora il tuo commento


Ad oggi, nessun commento è ancora stato inserito.
Nome e cognome: (obbligatorio)
Email (se vuoi ricevere l'avviso di altri commenti)
Inserisci il tuo commento:(obbligatorio)

Leggi anche altri articoli sullo stesso argomento:


Forum di PuntoSicuro Entra

FORUM

Quesiti? Proponili nel FORUM!