Un anno DSGVO - i cinque reati più gravi e le sanzioni più severe
Il 25 maggio 2018 è entrato in vigore il regolamento generale sulla protezione dei dati dell'UE (EU GDPR), la legge sulla protezione dei dati più completa al mondo fino ad oggi. Un anno dopo, Micro Focus rivela alcuni dei nodi del GDPR. Secondo Micro Focus, numerose violazioni del GDPR sono state identificate fino ad oggi - in Germania, per esempio, sono stati registrati 81 casi con multe per un totale di 485.490 euro.
Il GDPR ha anche lasciato il segno in tutta Europa. Molte di queste violazioni sono piuttosto piccole, ma ci sono stati alcuni passi falsi notevoli da parte delle aziende con multe elevate. Micro Focus ha compilato i cinque casi più interessanti qui sotto:
1) 50 milioni di euro - il gigante di Internet Google va per il collare
Gennaio 2019
L'autorità francese per la protezione dei dati CNIL ha imposto la sua prima multa GDPR a Google, rendendola la più grande multa nella storia della protezione dei dati europei fino ad oggi: 50 milioni di euro. L'autorità accusa Google di due violazioni del GDPR europeo. Le informazioni essenziali sulla protezione dei dati erano sparse in diversi documenti e quindi non potevano essere trovate affatto o solo con difficoltà dai profani. Questo viola il principio della trasparenza. Inoltre, le informazioni fornite da Google, anche se sono state trovate nella loro interezza, sono troppo imprecise per fornire all'utente informazioni reali sugli scopi della raccolta dei dati. Inoltre, le funzioni di impostazione della pubblicità personalizzata sono illegali. La denuncia è stata presentata dall'organizzazione Noyb e dall'organizzazione francese La quadratura della rete archiviato. Oltre all'attuale azione contro Google, Noyb ha anche recentemente presentato denunce simili contro i principali servizi di streaming come Netflix, Apple Music, Amazon Prime e Spotify. Le sanzioni potrebbero teoricamente essere ancora più alte di 50 milioni di euro, dato che fino al due per cento del fatturato annuale realizzato in tutto il mondo è possibile come sanzione.
2.) Non è un buon affare - Quasi 1 milione di zloty di multa per il commerciante di dati impenitente
Aprile 2019
L'autorità polacca per la protezione dei dati UODO ha imposto una multa di 943.000 zloty, che equivale a circa 220.000 euro, alla società per azioni Bisnode AB. L'azienda sanzionata è un fornitore di informazioni commerciali digitali che aveva raccolto dati personali per raccoglierli nel proprio database e utilizzarli per scopi commerciali. L'azienda ottiene le sue serie di dati da fonti pubblicamente disponibili. La multa è stata imposta perché l'azienda non ha rispettato i suoi obblighi di informazione. In totale, quasi sei milioni
di record di dati interessati. Secondo l'articolo 14 del GDPR, l'azienda avrebbe dovuto informare gli interessati sull'uso dei dati - in tutti i sei milioni di casi. Come è emerso nel procedimento, i responsabili hanno agito deliberatamente e consapevolmente senza informare gli interessati sull'uso dei loro dati personali. Questa circostanza, così come la mancanza di intuizione da parte dell'azienda, ha avuto un'influenza diretta sull'importo della multa imposta.
3.) Dati sensibili dei pazienti nelle mani di falsi medici?
Ottobre 2018
Nell'ottobre 2018, l'autorità portoghese per la protezione dei dati CNPD ha imposto la prima multa significativa in Europa per una violazione del GDPR. Di conseguenza, l'ospedale Barreiro Montijo vicino a Lisbona ha dovuto pagare un totale di 400.000 euro. Tra le altre cose, le autorità di protezione dei dati hanno citato come motivo il fatto che troppe persone avevano accesso non autorizzato ai dati riservati dei pazienti. Il gestore dell'ospedale aveva così "consapevolmente" e con piena intenzione concesso ai tecnici informatici interni l'accesso a dati che dovrebbero essere accessibili solo ai medici. Inoltre, un totale di 985 utenti attivi sono stati registrati come "medici" nel sistema, anche se solo 296 medici hanno lavorato presso l'ospedale nel 2018. L'ospedale si è giustificato dicendo che i profili temporanei sono stati creati come parte di un contratto di servizio, il che spiegherebbe le cifre discrepanti.
4.) Non è il momento delle coccole - la prima sanzione GDPR della Germania
Novembre 2018
La Germania ha imposto la sua prima multa per una violazione del GDPR nel novembre 2018, con il sito di social e dating Knuddels.de che ha segnalato una violazione dei dati di 1,87 milioni di combinazioni di username e password e 800.000 indirizzi email degli utenti a settembre. L'autorità per la protezione dei dati dello stato tedesco del Baden-Württemberg ha scoperto che il sito web aveva memorizzato le password in chiaro, il che violava la direttiva del DSGVO sulla "pseudonimizzazione e crittografia dei dati personali". Tuttavia, a causa della prontezza nel segnalare la violazione, l'autorità ha mostrato una significativa clemenza nei confronti di Knuddels. Inoltre, il sito web ha risposto prontamente e ha informato gli utenti colpiti da ritorno di posta. La multa di 20.000 euro era quindi relativamente piccola.
5.) Non costa nulla chiedere? Questo non si applica al GDPR!
Dicembre 2018
Nel maggio 2018, la piccola azienda di vendita per corrispondenza Kolibri Image ha chiesto consiglio al commissario dell'Assia per la protezione dei dati. L'azienda aveva chiesto più volte a uno dei suoi fornitori di servizi un contratto di trattamento degli ordini, ma non l'aveva ricevuto. Kolibri Image voleva sapere dall'autorità di protezione dei dati dell'Assia come procedere. Quest'ultimo rispose che entrambe le parti erano obbligate a concludere un tale contratto. Non solo il fornitore di servizi, ma anche il cliente è responsabile qui per motivi di protezione dei dati. L'azienda è obbligata a redigere essa stessa un accordo corrispondente e ad inviarlo al fornitore di servizi per la firma. I modelli corrispondenti possono essere trovati sul sito dell'amministrazione. Il 17 dicembre 2018, il Commissario di Stato ha imposto una multa di 5.000 euro più 250 euro di tasse. Ha giustificato la decisione a Kolibri Image adducendo una violazione dell'articolo 83 (4) del GDPR. Il principio "fare domande non costa nulla" non è stato applicato in questo caso.
Conclusione
Nella fase iniziale del GDPR, c'era un chiaro periodo di grazia. Questo è ora notevolmente finito. Il numero di avvertimenti sta aumentando e le autorità di protezione dei dati stanno imponendo sanzioni più elevate. Come prima, il più grande problema del GDPR è che il regolamento non distingue tra il club sportivo locale e una grande società. L'implementazione comporta uno sforzo considerevole e spesso non è facile da gestire per le aziende più piccole. Le sanzioni elevate hanno un effetto deterrente su aziende come Facebook o Google, che generano un alto fatturato, ma le danneggiano solo marginalmente in considerazione delle loro riserve di capitale. La situazione è spesso diversa per le piccole e medie imprese e le associazioni. Nel complesso, si può affermare che a causa delle crescenti sanzioni la consapevolezza della protezione dei dati è aumentata significativamente da tutte le parti. Tuttavia, c'è sicuramente ancora spazio per migliorare la protezione dei nostri dati, soprattutto da parte delle grandi aziende che si destreggiano con grandi quantità di dati personali.
