#gdpr  #privacy 

Arrivano i primi provvedimenti sanzionatori per violazioni del GDPR in Austria, Germania e Portogallo.

E in Italia? L’esortazione a mantenere alta la guardia è scontata.

#gdpr  #privacy 

Arrivano i primi provvedimenti sanzionatori per violazioni del GDPR in Austria, Germania e Portogallo.

E in Italia? L’esortazione a mantenere alta la guardia è scontata.

Home > Blog

Come è ormai noto, il nuovo Regolamento europeo sulla privacy prevede rilevanti sanzioni di natura amministrativa in caso di violazioni della normativa, riconducibili a due importi in base alla natura, gravità e durata della violazione: fino a € 10 milioni oppure fino al 2% del fatturato mondiale e fino a € 20 milioni, oppure fino al 4% del fatturato mondiale dell’impresa

Il compito di reprimere le violazioni è stato affidato dal GDPR alle autorità di controllo nazionali (in Italia, il Garante per la Protezione dei Dati Personali). Alcune di queste non si sono fatte attendere e hanno inflitto, recentemente, sanzioni pecuniarie effettive, proporzionate e dissuasive ai trasgressori, così come vuole il Regolamento. I temi sono vari: si passa dal data breach, alla tutela del dato personale e particolare, alla videosorveglianza.

Proprio su quest’ultimo argomento si è espresso nel mese di ottobre il Garante austriaco, che ha erogato una sanzione di 4.000 euro ad un’azienda che utilizzava impropriamente il proprio sistema di videosorveglianza, indirizzando le telecamere verso la strada e riprendendo i passanti in modo eccessivo, ingiustificato e senza la necessaria cartellonistica.

Anche il Commissario di Stato per la Protezione dei Dati Personali e della Libertà di Informazione tedesco non ha perso tempo e ha disposto una sanzione di 20.000 euro ad una società di social media, che aveva subito un cyber attack in cui erano state sottratte le credenziali di oltre 300.000 utenti, password comprese, e pubblicate su Internet.  La negligenza, da parte dell’azienda, è stata quella di non aver applicato al trattamento dei dati le misure di sicurezza prescritte dall’articolo 32 del GDPR, che avrebbe per lo meno imposto di utilizzare opportuni sistemi di cifratura per la protezione delle password, che venivano, invece, salvate in chiaro all’interno del database aziendale. Da notare come la sanzione sia stata piuttosto contenuta grazie alla disponibilità dell’azienda tedesca a collaborare e ad applicare prontamente le prescrizioni ricevute, ma, soprattutto, alla pronta notifica dell’attacco informatico all’autorità di controllo.

La sanzione più alta di cui si ha notizia è quella disposta in Portogallo: 400.000 euro, a una struttura ospedaliera pubblica. A seguito di un controllo, si è accertato che chiunque, tra i dipendenti, poteva consultare e persino modificare liberamente i dati personali e sanitari, tra cui ovviamente anche moltissimi dati particolari – quelli che con la vecchia legge si chiamavano ‘sensibili’ - dei pazienti.

Tutto fa pensare che l’iniziale periodo di tolleranza, che le autorità di controllo avevano concesso per ultimare l’adeguamento al GDPR, stia per concludersi.