Martedì 28 maggio 2019, l’autorità per la protezione dei dati ha imposto la prima sanzione finanziaria dall’entrata in vigore dell’AVG (Il regolamento generale sulla protezione dei dati). Questa sanzione amministrativa ammonta a 2000 euro e riguarda l’uso improprio di dati personali a fini elettorali. Sebbene la multa sia modesta, il messaggio non è: la protezione dei dati è una questione per tutti noi, ma i responsabili del trattamento devono assumersi le proprie responsabilità, soprattutto se hanno un mandato governativo.
Il caso: invio di e-mail personalizzate da parte di un rappresentante governativo
Il garante belga ha ricevuto un reclamo riguardante un sindaco che ha utilizzato i dati a fini elettorali ottenuti durante l’espletamento delle proprie mansioni. I denuncianti erano in contatto con il sindaco tramite un loro architetto in relazione a un cambio di assegnazione. L’architetto ha contattato il sindaco in quella occasione tramite e-mail, con gli indirizzi e-mail dei denuncianti in copia. Il giorno prima delle elezioni comunali del 14 ottobre 2018, il sindaco ha inviato un messaggio elettorale ai denuncianti tramite una “risposta”.
Entrambe le parti sono state ascoltate dalla Camera delle controversie della GBA il 28 maggio 2019. Dopo questa udienza, la Camera ha deciso che vi era stata effettivamente una violazione dei dati.
Dalla sentenza rilasciata dalla Corte belga si legge: “Il regolamento generale sulla protezione dei dati (AVG) stabilisce che i dati raccolti dal responsabile del trattamento (in questo caso: gli indirizzi e-mail ottenuti dal sindaco) devono essere raccolti per scopi specifici e non ulteriormente trattati in modo incompatibile con questi scopi . Il riutilizzo dei dati ottenuti nel contesto di un progetto di sviluppo urbano a fini elettorali è pertanto contrario al principio di finalità e costituisce una violazione di AVG… I titolari di un mandato governativo (come i sindaci) a cui i cittadini hanno affidato i loro dati personali devono essere particolarmente vigili. Devono essere consapevoli che le informazioni ottenute nel contesto di un ufficio pubblico non possono mai essere riutilizzate per scopi personali.”
La sanzione che l’autorità belga ha comminato al sindaco non è però la prima in europa, specialmente in tema di elezioni elettorali.
Si ricorda infatti che in Italia vi è stato un analogo caso nel quale il Garante privacy italiano ha stabilito la sanzione la sanzione di €. 16.000 che, giunta con provvedimento del 14 febbraio, condannava un medico per trattamento illecito di dati personali avendo rilevato una violazione nella condotta del professionista che consisteva nell’aver utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche del 4 marzo 2018.
Altri casi:
– Autorità per la protezione dei dati personali italiana. Con provvedimento n. 83 del 4 aprile 2019 (qui il provvedimento ufficiale), il Garante per la protezione dei dati personali ha comminato all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679, oltre ad ingiungere all’Associazione stessa gli adeguamenti necessari contenuti nel provvedimento.
– Autorità Garante della Privacy francese vs Google – La più importante in termini di sanzione: la Commission Nationale de l’Informatique et des Libértes – CNIL) ha condannato Google LLC ad una sanzione da 50 milioni di euro per violazione del GDPR, con riferimento al sistema Android per dispositivi mobili. Tra le motivazioni si legge: “Google non presenta all’utenza le notizie sulle modalità del trattamento in modo chiaro e facilmente accessibile. Alcune informazioni essenziali, quali, ad esempio, la finalità del trattamento, il periodo di conservazione, le varie tipologie dei dati coinvolti, sono sparse in diversi documenti, costringendo conseguentemente l’utente ad una navigazione complicata che richiede anche molte azioni, tra link e pulsanti, per raggiungere le informazioni utili.”
– Autorità Garante della Privacy austriaca (Datenschutzbehörde), ha erogato, a seguito di apposita ispezione, una sanzione da 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in modo non conforme. Le telecamere erano direzionate su parte del marciapiede esterno al perimetro aziendale, tanto da riprendere i passanti in modo esorbitante, senza alcuna giustificata motivazione e senza idonea informativa.A
– Autorità Garante per la protezione dei dati personali dello Stato di Baden (Germania) –Württemberg (Landesbeauftragte Für Den Datenschutz Und Die Informationsfreiheit – LFDI) sanzionava il sito di chat online Knuddels.de (“Coccole”), popolare negli anni 2000 prima dell’avvento di Facebook, al pagamento della multa di circa ventimila euro per una carenza di misure adeguate di sicurezza. Il sito subiva infatti una perdita di circa due milioni di username/password e di più di ottocentomila indirizzi e–mail, oltre a recapiti di residenza degli utenti ed altri tipi di dati
– Autorità Garante per la protezione dei dati personali portoghese la Comissão Nacional de Protecção de Dados (CNPD) ha sanzionato per un importo complessivo di 400 mila euro una struttura ospedaliera rea di aver consentito ai quasi 600 dipendenti della struttura un accesso indiscriminato e ingiustificato di ai dati sanitari dei pazienti.
– Autorità per la protezione dei dati personali polacca (UODO) ha sanzionato una società per aver omesso di informare circa sei milioni di persone riguardo al trattamento ai fini commerciali dei loro dati tratti da fonti accessibili al pubblico. La sanzione è stata di circa 220.000 euro ma tale non è stata comminata per violazione di una normativa locale, nel caso di specie quella polacca, bensì per mancato rispetto del Regolamento europeo e, in particolare, dell’obbligo di informazione sancito dall’art.14 del GDPR.
Fonte: Corte Belga,- EDPB Europa – Altalex