In Europa, fioccano sanzioni: alberghi, finanziarie, società di taxi, enti pubblici...

Le autorità di garanzia Europee iniziano ad avere le scrivanie cariche di provvedimenti sanzionatori nei confronti di aziende ed enti pubblici che contravvengono ai principi dettati dalle nuove normative riguardanti il tema della privacy e della protezione dei dati.

Ecco alcuni casi:

Gran Bretagna: gruppo alberghiero viene sanzionato per 99 milioni di sterline a causa della scarsa protezione dei sistemi informatici; una compagnia aerea è in fase di istruttoria per un attacco informatico subito nel 2018;

Belgio: il Garante ammonisce il servizio sanitario nazionale e applica sanzioni per irregolarità di diverso tipo rispetto al trattamento dei dati sensibili:

Lituania: viene multata una banca in seguito ad un hackeraggio che ha messo in chiaro sul web i dati dei clienti;

Finlandia: due casi riguardanti banche e finanziarie sono riferiti alla tipologia di profilazione effettuata ai fini dell'ottenimento di merito creditizio;

Polonia: il Garante commina 220 mila euro di sanzione ad una società che non ha distribuito l'informativa a clienti, i cui dati sono stati trattati per fini commerciali;

Romania: 3 sanzioni a società private. Ad una società per la scarsa sicurezza applicata al trattamento dei dati; un hotel ha ricevuto una sanzione di 15 mila euro per aver diffuso una lista cartacea riportante l'elenco dei clienti che avevano diritto ad entrare nella sala delle colazioni; una banca riceve una sanzione di 130 mila euro per non aver applicato misure idonee alla protezione dei dati;

Danimarca: una società di arredi e una compagnia di taxi ricevono elevate sanzioni per non aver cancellato i vecchi dati dei clienti dai sistemi informativi interni;

Norvegia: 170 mila euro vengono comminate ad un comune per non aver protetto adeguatamente 35 mila credenziali per l'accesso al sistema informativo municipale;

Austria: multa alla società del servizio postale per aver raccolto dati sulle convinzioni politiche e per lacune riscontrate nella valutazione d'impatto privacy (DPIA art. 35 del Gdpr);

Germania: sotto la lente, il sito della Croce Rossa Bavarese. Il sito raccoglie dati molto sensibili sui donatori del sangue e c'è la possibilità che la presenza di un'applicazione di tracciamento a scopo di marketing, gestita da Facebook, possa aver tracciato i profili degli utenti;

Grecia: multata con 150 mila euro una società privata per aver utilizzato la base giuridica non corretta per l'utilizzo dei dati dei propri dipendenti. Infatti, la società ha fatto firmare il consenso ai dipendenti, ma, secondo il Garante, i dati sono stati trattati in modo non conforme alle norme in vigore;

Bulgaria: multata l'Agenzia delle Entrate con 2,6 milioni di euro per violazioni su oltre 4 milioni di contribuenti e multata una banca con mezzo milione di euro per aver violato i dati di 30 mila clienti.

Ci stiamo occupando principalmente dei paesi della UE, ma va ricordato che il GDPR deve essere applicato anche dalle aziende extra UE che utilizzano i dati dei cittadini della comunità europea. Inoltre, il fatto che alcuni paesi, come ad esempio gli Stati Uniti, non abbiano la nostra stessa normativa non significa che non tutelino i dati dei propri cittadini. Ricordiamo i 5 miliardi di dollari comminati a Facebook per il caso Cambridge Analitica, Google che sta patteggiando una multa tra i 150 e i 200 milioni di dollari per la violazione dei dati dei minori tramite YouTube e la class action contro Apple che aveva assunto delle persone per ascoltare le interazioni tra Siri e gli utenti, per il miglioramento della qualità del servizio.

Queste vicende sottolineano la maggior attenzione che viene rivolta nei confronti del trattamento sempre più massivo dei nostri dati, nell'era dei servizi in rete, e dei maggiori rischi a cui ci espone una gestione illecita o irresponsabile degli stessi.

 

Daniele Spano

 

 

 

 

 

 

 

 


CONDIVIDI: