Il GDPR è ormai in vigore da Maggio 2018. Vediamo cos’è cambiato
Cos’è successo?
Il 25 Maggio 2019 il GDPR (General Data Protection Regulation), o più comunemente chiamato Regolamento Europeo per la protezione dei dati personali, ha compiuto il suo primo anno di età.
Anche se realmente risulta essere più vecchio, in quanto è entrato in vigore il 24 Maggio 2016. La commissione Europea, aveva ritenuto opportuno dare 2 anni di tempo ai singoli Stati membri dell’Unione per recepire le nuove disposizioni e adattarsi di conseguenza, ma ora, “il tempo dei giochi è terminato”.
Cos’è accaduto in Italia dopo un anno di GDPR?
In Italia, il periodo di recepimento è stato un po’ più lungo di 2 anni…
L’autorità Garante della privacy ha concesso un periodo di “elasticità” più ampio, infatti nei primi 7 mesi, ha adottato un atteggiamento più morbido nei confronti dei trasgressori, ma ora non ci sono più scuse per coloro che non hanno adempito ai loro doveri.
L’autorità aveva concesso quindi una sorta di “periodo di prova” per lasciare che tutti si adattassero per poi agire con più solerzia, dedicandosi nel frattempo ai casi di infrazione della tutela dei dati personali più gravi.
Il Regolamento UE/2016 ha avuto il merito di aumentare la consapevolezza dei singoli individui sui propri diritti e sui rischi a cui sono sottoposti i loro dati personali, e questa consapevolezza ha fatto sì che nell’ultimo anno siano cresciute le segnalazioni di reclamo e di violazione dei dati tanto che già dopo un solo semestre erano già più di 90 mila i reclami.
Tale aspetto, considerando terminata anche la proroga concessa dal Garante, farà sicuramente cambiare le carte in tavola.
Ovviamente il consiglio è quello di mettersi a norma con il Regolamento.
…e tu sei a norma con la Privacy aziendale? Scopri QuiPrivacy!
Di seguito un elenco dei provvedimenti sanzionatori comminati a seguito della piena applicatività del Regolamento UE 2016/679.
Italia: Garante impone sanzione di 1 milione di euro a Facebook per il caso Cambridge Analytica
28 Giugno 2019
Il Garante italiano ha imposto a Facebook una sanzione di 1 milione di
euro per il caso Cambridge Analytica. La sanzione, essendo basata su
illeciti del 2016, è stata comminata sulla base del vecchio Codice Privacy e in
seguito al provvedimento di gennaio 2019, in cui l’Autorità aveva vietato
a Facebook di continuare a trattare illecitamente i dati degli utenti italiani.
Italia: il Garante sanziona un medico che utilizzava i dati dei pazienti per fini elettorali
14 febbraio 2019
Il Garante italiano ha ingiunto a un medico di pagare una sanzione di € 16.000 per aver utilizzato i dati di circa 3.500 ex-pazienti al fine di inviare loro comunicazioni scritte in cui li invitava a votare uno dei candidati delle elezioni del 4 marzo 2018. La responsabilità del professionista si configura sotto due aspetti: innanzitutto non aveva reso alcuna informativa nè al momento della registrazione dei dati, nè alla prima comunicazione (come da precedente Codice Privacy), inoltre aveva utilizzato i dati dei pazienti per finalità diverse da quelle di cura, per cui non aveva richiesto specifico consenso.
Italia: il ‘NO’ del Garante alle raccolte punti che obbligano a rilasciare il consenso
12 Giugno 2019
Il Garante italiano è intervenuto per limitare l’attività promozionale di
Pampers che, attraverso un form online sul proprio sito, di fatto obbligava gli
utenti interessati a partecipare alla raccolta punti, a ricevere comunicazioni
commerciali sul proprio indirizzo email. I soggetti infatti non
potevano esprimere un consenso libero e specifico per le singole finalità
di trattamento che la società intendeva svolgere, e non ricevevano adeguate
informazioni rispetto alle finalità e alle modalità di trattamento dei loro
dati per finalità promozionali.
Italia: società di telemarketing riceve sanzione di 2 milioni di euro
11 aprile 2019
Una società che svolge attività di telemarketing e teleselling tramite “call
center” per conto di più committenti ha ricevuto una sanzione di €
2.018.000 a seguito della segnalazione di alcuni interessati. La società
si avvaleva di un’azienda albanese per contattare telefonicamente i potenziali
clienti al fine di far loro sottoscrivere contratto per la fornitura di energia
elettrica e gas. Il Garante ha sottolineato la mancata somminsitrazione di
debita informativa agli interessati, il fatto che il loro consenso non fosse
stato documentato per iscritto, e la non-designazione della società come
responsabile del trattamento, che è risultata così essere di fatto titolare
autonomo.
Italia: il Garante sanziona la piattaforma Rousseau
4 aprile 2019
Il Garante italiano per la protezione dei dati ha emesso un provvedimento
sanzionatorio di 50.000 euro nei confronti della c.d. “piattaforma
Rousseau”, evidenziando ancora significative carenze nei suoi sistemi di
sicurezza, nonostante le operazioni di miglioramento del sito intraprese. Il
Garante richiede che vengano messe in atto specifiche modifiche
tecnico-informatiche, e che venga effettuata una rigorosa valutazione d’impatto
sulla protezione dei dati “specificamente riferita alle funzionalità di
e-voting attribuite alla piattaforma”.
………………………………………….
Belgio: multa di € 10.000 per uso sproporzionato della carta d’identità elettronica in cambio di una carta fedeltà
19 Settembre 2019
L’Autorità belga ha imposto una sanzione di € 10.000 a un commerciante che
aveva richiesto la lettura della carta d’identità elettronica come unico mezzo
per l’emissione di una carta fedeltà. Il documento di identità infatti contiene
dati in misura molto maggiore rispetto a quelli necessari per la creazione
della carta, e il loro trattamento risulterebbe sproporzionato rispetto al
fine. Si tratta quindi di una violazione del principio di minimizzazione, e
dell’assenza di un consenso valido, in quanto l’utente non aveva una reale
alternativa. Infatti, gli utenti che non avessero voluto utilizzare a questo
scopo la propria carta d’identità, non avrebbero avuto accesso agli sconti
dedicati ai clienti in possesso di fidelity card.
………………………………………….
Polonia: il Garante impone la sanzione GDPR più alta di sempre per maxi data breach
19 Settembre 2019
Il Garante polacco per la protezione dei dati ha annunciato la multa più alta finora emessa per violazioni del GDPR: circa 645.000 euro (2,8 milioni di PLN) nei confronti del rivenditore online Morele.net, il quale aveva subito un massiccio data breach che aveva interessato oltre 2,2 milioni di utenti. Il retailer ha ricevuto la sanzione per non aver posto in essere le necessarie misure di sicurezza per tutelare i dati dei clienti.
………………………………………….
UK: multata una società che effettuava chiamate commerciali senza il consenso degli interessati
18 Settembre 2019
L’ICO ha emesso una sanzione pecuniaria di 150.000 dollari nei confronti di
Superior Style Home Improvements Ltd per aver effettuato chiamate commerciali
per un periodo di 11 mesi a persone i cui numeri sono stati registrati presso
il servizio di preferenze telefoniche (TPS) e che non avevano dato il loro
consenso a riceverle.
………………………………………….
Lettonia: il Garante sanziona un rivenditore online
3 Settembre 2019
Il Garante lettone (Data State Inspectorate, DSI) ha imposto una sanzione di
7.000 euro a un rivenditore online per la non conformità al GDPR per quanto
riguarda il diritto di cancellazione dei dati del soggetto interessato
(l’azienda avrebbe ignorato le ripetute richieste di un utente di cancellare i
propri dati), e per la non cooperazione con l’autorità di controllo. Nello
stabilire la sanzione, l’Autorità ha tenuto in considerazione anche la gravità
della violazione, il numero dei soggetti interessati e il fatturato del
precedente anno.
………………………………………….
Bulgaria: sanzione di 2,6 milioni all’ Agenzia delle Entrate per violazione dei
dati di 4 milioni di contribuenti
2 Settembre 2019
Il presidente del Garante bulgaro, Ventsislav Karadjov, ha reso noto che
imporrà una sanzione di circa 2,6 milioni di euro all’Agenzia delle Entrate, la
quale ha subito un data breach che ha impattato 4,1 milioni di contribuenti.
L’Autorità ha tenuto in conto le responsabilità dell’Agenzia nel denunciare la
violazione e contattare le persone interessate, oltre all’elevato numero di
dati in questione. L’Agenzia si è difesa affermando che l’accesso non
autorizzato ai dati e la loro estrazione hanno avuto luogo nonostante le misure
di sicurezza adottate e che presenterà ricorso.
………………………………………….
USA: YouTube verso multa da 200 milioni di dollari per violazione della
normativa che tutela la privacy dei bambini
30 Agosto 2019
Google avrebbe accettato di pagare un somma di 200 milioni di dollari per
chiudere il procedimento aperto dalla Federal Trade Commission contro YouTube,
che ha violato le norme di tutela della privacy dei bambini, avendo raccolto i
loro dati senza il consenso dei genitori, al fine di inviargli pubblicità
estremamente mirata. Questa sanzione rappresenta l’importo massimo finora
comminato in violazione del Children Online Privacy Protection Act, il
quale vieta ai servizi online di raccogliere i dati personali dei bambini sotto
13 anni.
………………………………………….
Bulgaria: multata banca per violazione dei dati di oltre 33.000 clienti
28 Agosto 2019
La banca bulgara DSK Bank ha ricevuto una sanzione di 1 milione di lev (più di
500.000 euro) per una violazione dei dati personali appartenenti a oltre 33.000
clienti. Trattavasi in nomi e cognomi, indirizzi, copie di documenti di
identità e altre informazioni personali di persone che avevano richiesto dei
prestiti alla banca. La sanzione è arrivata per la mancanza adozione di misure
tecniche e organizzative adatte a proteggere la riservatezza dei dati personali
dei propri clienti.
………………………………………….
Svezia: prima multa del Garante a una scuola che utilizzava il riconoscimento facciale sugli alunni
21 Agosto 2019
La DPA svedese ha emesso la sua prima multa (200,000 SEK) a una scuola
superiore che ha utilizzato il riconoscimento facciale per testare la
partecipazione degli studenti alle lezioni. Il consiglio del liceo ha affermato
di aver chiesto il consenso agli studenti per utilizzare i loro dati biometrici
per il riconoscimento facciale, ma l’Autorità ha ritenuto che il consenso non
fosse una base giuridica adeguata poiché gli studenti sono in una posizione di
dipendenza rispetto al consiglio scolastico, e che inoltre ci fossero modi meno
invasivi della privacy per rilevare le presenze scolastiche.
………………………………………….
Grecia: 150.000 euro di sanzione a un datore di lavoro che trattava i dati dei dipendenti in violazione del GDPR
30 Luglio 2019
L’Autorità ellenica per la Protezione dei dati ha recentemente comminato una
sanzione da 150.000 euro a un datore di lavoro che trattava illecitamente i
dati dei propri dipendenti. Infatti la scelta della base legale del trattamento
(Articolo 5(1)) era inappropriata, e il trattamento stesso si è rivelato essere
scorretto e non trasparente, dal momento che ai dipendenti veniva comunicato
che i loro dati erano trattati sulla base del consenso, mentre erano trattati
in forza di una base legale di cui essi non erano mai stati informati. Il
datore di lavoro, inoltre, aveva violato il principio di accountability,
trasferendo l’onere di provare la conformità ai soggetti interessati.
………………………………………….
Francia: la CNIL ha emanato una sanzione di € 180.000 nei confronti di una
società di assicurazioni per non aver protetto adeguatamente i dati degli utenti
del proprio sito Web
18 Luglio 2019
Nel giugno 2018, il CNIL ha ricevuto un rapporto da un cliente dell’azienda che
indicava che, dal suo account, era stato in grado di accedere ai dati personali
di altri clienti.
Un controllo online ha rivelato che gli account dei clienti dell’azienda erano
accessibili tramite collegamenti ipertestuali referenziati su un motore di
ricerca. I documenti e i dati dei clienti erano accessibili anche modificando i
numeri alla fine degli URL visualizzati nel browser. Questi documenti
includevano copie di patenti di guida, carte di registrazione, documenti di
identità bancari e documenti per determinare se una persona fosse stata oggetto
di un ritiro della patente o di un incidente.
Sulla base delle indagini condotte, la CNIL ha ritenuto che la società avesse
violato l’obbligo di garantire i dati personali previsto dall’articolo 32 del
GDPR, di conseguenza ha imposto una multa di 180.000 euro. In particolare,
ha tenuto conto della gravità della violazione, a causa della natura dei dati e
dei documenti in questione. Ha inoltre tenuto conto del numero di persone
interessate, in quanto la mancanza di sicurezza ha influito sui conti di
diverse migliaia di clienti e persone che avevano risolto il contratto con la
società. La CNIL, tuttavia, ha tenuto conto della capacità di risposta
dell’azienda nella correzione della mancanza di sicurezza e della sua
cooperazione con i servizi della CNIL.
………………………………………….
UK: sanzione da oltre £99 milioni in arrivo per Marriott’s per data
breach
9 Luglio 2019
ICO ha notificato l’intenzione di sanzionare l’hotel Marriott £99,200,396 per
il data breach notificato a novembre 2018, causato da un’insufficiente due
diligence nelle misure di sicurezza a protezione dei dati dei clienti. I dati
violati appartenevano a 339 milioni di ospiti provenienti da tutto il mondo, di
cui circa 30 milioni appartenenenti a residenti nello spazio economico europeo,
e 7 milioni di residenti nel Regno Unito.
………………………………………….
UK: maxi multa a British Airways per data breach
8 Luglio 2019
La British Airways è stata sanzionata dall’ICO (Garante britannico) per 138
milioni di sterline (204 milioni di euro) a seguito dell’attacco hacker, subito
l’anno scorso, in cui erano state copiate le coordinate delle carte di credito
di 380mila passeggeri. La multa rappresenta l’1,5% del fatturato globale della
compagnia nel 2017. La società, dal canto suo, si dichiara stupita
rispetto alla decisione dell’ICO in quanto ha fatto il possibile per rimediare
prontamente all’accaduto.
………………………………………….
Romania: la prima multa a una banca per violazione del principio di minimizzazione
27 Giugno 2019
La prima sanzione imposta dal Garante rumeno ricade su banca Unicredit, per
violazione dell’art. 25 (principio di protezione dei dati by design e by
default) e del principio di minimizzazione, ed ammonta a 130.000 euro. La
violazione riguarda il fatto che i beneficiari dei pagamenti potevano
vedere tramite estratto conto alcuni dati dell’ordinante che andavano oltre quanto
necessario, come ad esempio il loro indirizzo e il codice fiscale.
………………………………………….
UK: ICO sanziona compagnia che inviava agli utenti SMS commerciali senza il loro consenso
18 Giugno 2019
L’ICO ha imposto una sanzione di £100.000 alla compagnia di
telecomunicazioni ‘EE Limited’, che aveva mandato nel 2018 oltre 2,5 milioni di
sms di marketing diretto ai suoi clienti senza avere il loro consenso. La
compagnia si è difesa affermando che si trattava di messaggi di servizio, ma
l’ICO ha rilevato un chiaro contenuto promozionale di prodotti e servizi
offerti dall’azienda, e ha ricordato che le aziende che inviano contenuti
promozionali devono agire in conformità alle leggi applicabili, o rischiano
multe fino a £500.000.
………………………………………….
Francia: azienda riceve 20.000 euro di sanzione per videosorveglianza sproporzionata dei dipendenti
18 Giugno 2019
La Commissione nazionale di informatica e libertà (CNIL) ha imposto
una sanzione di 20.000 euro ad una società per aver istituito un
sistema di videosorveglianza che poneva i suoi dipendenti sotto costante
sorveglianza. L’azienda inoltre non aveva fornito adeguata informatica ai
dipendenti, e non aveva implementato adegaute misure di sicurezza informatiche.
L’azienda aveva già subito controlli negli anni precedenti, ma le violazioni
erano continuate nonostante le raccomandazioni, da cui la decisione della
sanzione.
………………………………………….
Spagna: la Liga riceve sanzione di 250.000 euro
12 Giugno 2019
La lega calcistica spagnola Liga è stata sanzionata con una multa di 250mila
euro dal Garante spagnolo perché l’app ufficiale attivava il microfono ed il
GPS degli smartphone sui quali era installata senza informare gli utenti. Ciò
veniva fatto per verificare se il proprietario del telefono stesse guardando la
partita in un locale dotato di abbonamento ufficiale o se utilizzava un canale
di streaming pirata. La Liga ha fatto sapere che farà ricorso.
………………………………………….
Francia: azienda riceve 400.000 euro di sanzione per non aver protetto adeguatamente i dati degli utenti del proprio sito web
6 Giugno 2019
A seguito della denuncia di un individuo, la CNIL ha imposto una sanzione di
400.000 euro nei confronti di una società di gestione immobiliare, che ha
protetto in modo insufficiente i dati degli utenti del suo sito web. Infatti,
l’utente poteva accedere, dal proprio account personale sul sito, ai documenti
salvati da altri utenti modificando leggermente l’URL visualizzato nel browser.
Le violazioni contestate sono la non conformità ai requisiti di sicurezza
previsti dall’articolo 32 del GDPR, e il fatto che i dati fossero conservati
oltre i tempi necessari per l’espletamento delle attività di trattamento.
………………………………………….
Belgio: il Garante sanziona un sindaco per trattamento illecito a fini elettorali
29 Maggio 2019
L’autorità per la protezione dei dati del Belgio (DPA) ha annunciato
l’imposizione di una sanzione di 2000 € ad un singolo per trattamento illecito
dei dati. Il sindaco non avrebbe rispettato il principio di limitazione delle
finalità di trattamento dei dati, in quanto aveva ottenuto dei dati (in questo
caso indirizzi di posta elettronica) nell’ambito di un progetto di
pianificazione urbana che aveva poi riutilizzato a fini di campagna elettorale.
Nel quantificare la sanzione, il DPA ha tenuto in considerazione il numero
limitato di persone colpite, la natura, la gravità e la durata dell’illecito. Si
tratta della prima sanzione comminata dal DPA sulla base del GDPR.
………………………………………….
Lituania: azienda riceve sanzione per mancata notifica del data breach e trattamento eccedente le finalità
16 Maggio 2019
Sanzione amministrativa di € 61.500 imposta dall’autorità lituana alla società
MisterTango per violazioni degli articoli 5, 32 e 33 del GDPR. La società,
che fornisce servizi di pagamento a livello internazionale a privati e
imprese, ha elaborato dati personali dei propri clienti in maniera eccedente
rispetto alle finalità, e non rispettando i tempi di conservazione stabiliti. L’indagine
dell’autorità di controllo, in particolare, si è svolta in seguito a una
violazione della sicurezza nel servizio di avvio dei pagamenti, che ha portato
alla divulgazione sul web di elenchi di pagamenti effettuati dai clienti
e non è stata correttamente notificata all’autorità di vigilanza.
………………………………………….
UK: azienda riceve multa di £120,000 per aver inviato 3,5 milioni di sms di marketing diretto
7 Maggio 2019
Il Garante UK ha sanzionato un’azienda che, servendosi di terze parti, aveva
inviato 3.560.211 sms di marketing diretto senza avere un consenso
conforme. Hall and Hanley sostiene di aver ottenuto il consenso tramite la
sottoscrizione degli utenti a quattro siti. Tuttavia, L’ICO fa notare che solo
su due di questi era nominata la compagnia in questione, e che in ogni caso le
persone erano obbligate a lasciare i propri dati per poter effettuare la
registrazione ai siti, il che non è conforme alla legge.
………………………………………….
Polonia: l’Autorità garante ha sanzionato una società per non aver informato gli interessati sul trattamento dei loro dati
26 marzo 2019
L’autorità polacca per la protezione dei dati personali, ha inflitto a una
società una sanzione da 943.000 zloty polacchi, pari a 220.000 euro, per
aver violato le prescrizioni dell’articolo 14 del Regolamento non informando
sei milioni di persone riguardo al trattamento dei propri dati. Il
responsabile del trattamento non aveva infatti informato gli interessati,
precludendo loro la possibilità di esercitare i diritti previsti dal GDPR, tra
cui quello di opposizione. Secondo l’UODO, la società era consapevole
dell’obbligo di fornire informazioni direttamente alle persone, da cui
l’ammontare della sanzione.
………………………………………….
UK: l’ICO sanziona sito che condivideva i dati personali di neomamme con agenzie di marketing
12 aprile 2019
Il sito per neo- e future mamme ‘Bounty’ è stato sanzionato dall’ICO per aver
condiviso i loro dati personali con 39 organizzazioni, tra cui le agenzie di
marketing Acxiom, Equifax, Indicia e Sky, per finalità di marketing
diretto. Bounty ha condiviso 34 milioni di dati di natura particolarmente sensibile,
appartenenti sia a neomamme, sia ai loro bambini, compresi sesso e data di
nascita. Il Garante reputa la violazione particolarmente grave sia per il
numero di dati condivisi, sia per il fatto che Bounty non è stato trasparente
rispetto all’intenzione di utilizzarli e condividerli con terzi per finalità di
marketing. Alla luce del fatto che la violazione si era verificata tra giugno e
aprile 2018 quando era ancora in vigore il Data Protection Act, il Garante ha
comminato una sanzione di 400.000 sterline, che sarebbe potuta essere molto più
alta nel caso in cui si fosse verificata dopo il 25 maggio 2018.
………………………………………….
UK: l’ICO sanziona una casa produttrice di documentari per aver ripreso illecitamente le pazienti di una clinica
10 aprile 2019
Il Garante Britannico ha sanzionato con una multa di 120,000 £ la True Vision
Products per aver ripreso illegittimamente con telecamere CCTV (provviste di
microfono) le pazienti di una clinica che si occupa di maternità. La TVP era
autorizzata dalla clinica ad effettuare videoriprese per realizzare un
documentario sulle still birth, ossia le morti
intrauterine (ed in quanto tale è stata qualificata dall’ICO come
titolare dei dati delle pazienti). L’ICO ha deciso di sanzionare la TVP per non
aver informato adeguatamente le pazienti e non aver richiesto loro il consenso
ad essere riprese. La TVP aveva infatti solamente affisso dei cartelli e
lasciato dei flyer sopra i tavoli posti nella sala d’aspetto della clinica. In
più, nel caso in cui una paziente avesse voluto revocare il suo consenso alle
riprese, non vi era alcun modo di interrompere le riprese, se non tramite
esplicita richieta di essere assistita in una stanza sprovvista di telecamere.
………………………………………….
UK: società pensionistica viene multata per aver inviato quasi 2 milioni di email di spam
26 marzo 2019Una società pensionistica del Kent ha ricevuto una multa di £ 40.000 per aver inviato (tramite un soggetto terzo) quasi 2 milioni di email di marketing diretto senza il consenso degli interessati, tra il 31 ottobre 2016 e il 31 ottobre 2017. L’azienda avrebbe addirittura richiesto il parere di un consulente privacy e di un legale, che avrebbero dato il loro parere positivo alla campagna. L’ICO sottolinea che nonostante questo, la responsabilità di essere conformi alla legge rimane dell’azienda e che si sarebbero dovuti rivolgere direttamente all’Autorità garante per ricevere chiarimenti (in modo gratuito) sulla fattibilità e i rischi di questo tipo di campagna. In linea generale, ICO ribadisce che per legge non possono essere inviate mail a chi non abbia dato il consenso, e che ciò è vero anche per chi dovesse utilizzare terzi per fare marketing diretto.
………………………………………….
Danimarca: multa di 160.000 euro a una società per violazione del principio di minimizzazione
25 marzo 2019
Il Garante danese ha raccomandato una multa di 1.2 corone (circa 160.000 euro)
nei confronti di una società di taxi che ha conservato alcuni dati dei propri
clienti per un tempo superiore ai 2 anni indicati nella propria privacy policy.
La società avrebbe infatti cancellato i nomi e gli indirizzi degli interessati,
mantenendo tuttavia i loro numeri di telefoni per una presunta difficoltà di
cancellare gli stessi dal sistema informatico. Il Garante non ha ritenuto la
giustificazione valida e ha inoltre rilevato una anonimizzazione solo parziale
dei dati; attraverso il numero di telefono era infatti ancora possibile
risalire all’identità degli interessati. La sanzione è significativa in quanto
ammonta al 2,8% del fatturato annuale dell’azienda in questione, dimostrando la
volontà del Garante di avvicinarsi a quel 4% massimo contemplato dal GDPR.
………………………………………….
Norvegia: il Garante sanziona un comune per violazione dei requisiti GDPR
18 marzo 2019
Il Comune norvegese di Bergen è stato sanzionato dalla Norwegian Data Protection Authority per 1.600.000 NOK (circa 160.000 euro) per una falla nella piattaforma utilizzata, che ha reso accessibili a studenti e personale di una scuola file contenenti username e password appartenenenti a più di 35.000 studenti, e altri dati personali come indirizzi e numeri di previdenza sociale, violando così i requisiti di sicurezza previsti dal GDPR.
………………………………………….
USA: multa di $5,7 mil a TikTok per aver raccolto dati personali di minori sotto i 13 anni senza il consenso dei genitori
27 febbraio 2019
La Federal Trade Commission (Autorità statunitense per la protezione dei
consumatori) ha stabilito che TikTok, social network di clip musicali, dovrà
pagare una multa di $5,7 milioni per aver raccolto dati personali di minori
sotto i 13 anni senza richiedere il consenso dei genitori. Il sito infatti
richiedeva di inserire nome e cognome, username, indirizzo email, oltre a una
breve biografia e una foto profilo. Oltre alla sanzione, TikTok dovrà anche
rimuovere i video di tutti gli utilizzatori con meno di 13 anni d’età.
………………………………………….
Ungheria: prime sanzioni GDPR
15 febbraio 2019
L’Autorità Nazionale per la libertà d’informazione ungherese (NAIH) ha
recentemente adottato due decisioni riguardanti la violazione delle regole di
protezione dei dati. Le identità delle due compagnie non sono state rese note,
ma una di esse sembra aver ricevuto una sanzione di EUR 3,135 (HUF
1.000.000), rappresentante il 6,5% del suo fatturato annuo, per aver violato il
principio del diritto di accesso. Il secondo caso riguarda una banca che ha
divulgato illecitamente dei dati in seguito a un errato inserimento, la quale
non ha tuttavia ricevuto una sanzione.
………………………………………….
Francia: Il CNIL impone una sanzione di 50 mln euro a Google
21 gennaio 2019
Il Comitato ristretto della CNIL, Autorità Garante francese, ha imposto una
sanzione pecuniaria di 50 milioni di euro nei confronti della società GOOGLE
LLC, in conformità al regolamento generale sulla protezione dei dati (GDPR),
per mancanza di trasparenza, informazioni inadeguate e mancanza di consenso
valido in merito alla personalizzazione degli annunci.
………………………………………….
Francia: Sanzioni per mancata tutela della sicurezza dei dati
27 dicembre 2018
Ingenti sanzioni da € 250.000 per una compagnia telefonica francese che non ha
rispettato l’obbligo di assicurare la sicurezza dei dati personali degli utenti
del suo sito.
………………………………………….
Francia: Sanzioni per mancata tutela della sicurezza dei dati
27 dicembre 2018
Ingenti sanzioni da € 250.000 per una compagnia telefonica francese che non ha
rispettato l’obbligo di assicurare la sicurezza dei dati personali degli utenti
del suo sito.
………………………………………….
Germania: social network ‘Knuddels’ riceve sanzione per non aver implementato adeguate misure di sicurezza
22 novembre 2018
Il Garante per la Privacy dello stato di Baden Württenberg ha reso noto di aver
condannato nel mese di settembre il social network Knuddels, al pagamento di
€ 20.000 per aver violato l’art. 32 del GDPR. Il sito infatti, non aveva
implementato misure di sicurezza adeguate e ha così subito il leak di
quasi 2 milioni di username/password e di più di 800 mila e-mail, oltre ad
indirizzi di residenza degli utenti ed altri tipi di dati. La società ha
prontamente informato l’Autorità e gli utenti, cosa che ha evitato che
l’importo della sanzione fosse molto più alto.
………………………………………….
Portogallo: ospedale riceve multa di 400.000 euro per aver reso disponibili dati dei pazienti a personale non autorizzato
18 luglio 2018
Il centro ospedaliero Centro Hospitalar Barreiro Montijo ha ricevuto dal
Garante portoghese una sanzione di € 400.000 per il trattamento dei dati
sanitari dei pazienti, quindi dati particolari ai sensi dell’art. 9 del Reg.
679/2016. L’Autorità ha contestato diversi aspetti: violazione del
principio di minimizzazione, a causa dell’accesso indiscriminato ai dati
personali e particolari dei pazienti anche di personale non autorizzato,
violazione del principio di riservatezza e integrità, e mancanza di misure
tecniche e organizzative che consentissero un monitoraggio costante del flusso
di trattamento dei dati.