Decorso il periodo transitorio c.d. di “tolleranza” che tutti gli Stati europei hanno osservato per consentire alle imprese di adeguarsi al nuovo sistema legato al GDPR 679/2016, è tempo delle verifiche e dei controlli (audit, ispezioni, indagini) nonché dell’irrogazione delle prime sanzioni amministrative. Da una prima analisi compiuta fino ai giorni d’oggi, possiamo affermare come le autorità di controllo (Garanti privacy in Europa) stiano tenendo un approccio ragionevole e ponderato in merito alle sanzioni per il mancato rispetto del GDPR, e ciò, in modo conforme a quanto dispone il regolamento stesso, secondo cui le sanzioni devono essere “effettive, proporzionate e dissuasive”. Dalla predetta analisi emerge altresì come tutte le sanzioni finora inflitte presentino un denominatore comune rappresentato dal mancato rispetto dell’Accountability, principio cardine del GDPR.
L’entrata in vigore del nuovo regolamento europeo in materia di protezione dei dati personali GDPR 679/2016 ha, infatti, determinato un radicale cambiamento nell’approccio adottato nella regolamentazione della materia, introducendo nel sistema legislativo di settore principi prima estranei al nostro ordinamento ed attribuendo, tra questi, un ruolo di preminente centralità e di guida a quello così detto di “responsabilizzazione” del titolare e del responsabile del trattamento. Il termine in lingua inglese utilizzato dal Legislatore europeo per esprimere il concetto di cui si parla è quello di “accountability”, che trova in italiano la traduzione più adatta in“responsabilizzazione”, ma che necessita di un ulteriore sforzo interpretativo perché ne venga colto per intero il più ampio significato. Accountability infatti in inglese esprime un concetto diverso e più esteso della mera responsabilità. Per comprenderne appieno il significato possiamo dire che l’esigenza sottesa al principio di responsabilizzazione mira al raggiungimento della protezione effettiva del dato personale oggetto di trattamento: i soggetti che determinano finalità e mezzi del trattamento, o che trattano i dati per loro conto, dunque il titolare ed il responsabile del trattamento, devono si agire secondo le migliori prassi ma altresì dimostrare di aver posto in essere tutte le misure di sicurezza opportune e necessarie, fornendo una giustificazione al perché delle decisioni ed azioni intraprese.
I Garanti privacy dell’Unione Europea hanno già comminato multe in vari Paesi tra cui Francia, Austria, Germania, Portogallo, Polonia ed Italia. Tra queste prime sanzioni, solamente quella inflitta dal Garante per la tutela dei dati personali francese a Google può dirsi eccezionale, sia perché di importo in assoluto più alto (50 milioni di euro) sia perché di particolare risalto mediatico (basti pensare che il destinatario della stessa è il colosso del web di origine californiana).
Le prime sanzioni a livello europeo. Il Garante privacy francese vs Google
Partendo dunque dalla sanzione più “pesante”, lo scorso gennaio, il Garante per il trattamento dei dati personali francese (Commission Nationale de l’Informatique et des Libértes – CNIL) ha condannato Google LLC ad una sanzione da 50 milioni di euro per violazione del GDPR, con riferimento al sistema Android per dispositivi mobili.
La condanna ha avuto origine da due denunce presentate il 25 e 28 maggio 2018 (contestuali all’entrata in vigore del GDPR) dall’organizzazione None of Your Business – NOYB, fondata dal nemico dei giganti del web, il giovane attivista austriaco Max Schrems e dall’associazione di promozione dei diritti digitali La Quadrature du Net –LQDN-.
Il CNIL, pur mantenendo informate le autorità di controllo privacy degli altri stati membri, ha innanzitutto ritenuto di potersi occupare personalmente dell’intera vicenda. Infatti, il GDPR prevede che vi sia, secondo il meccanismo dello Sportello Unico “one stop shop” di cui all’art. 56, un unico interlocutore europeo di privacy (autorità capofila) per le società operanti in più nazioni o che trattano dati di più interessati residenti in più nazioni. L’autorità capofila dovrebbe essere quella del Paese europeo dove risiede lo stabilimento europeo principale della società (nel caso in esame solo apparentemente l’Irlanda). A ben vedere, al momento in cui i reclami furono sottoposti al CNIL l’assetto prescelto da Google LLC non permetteva, anche ad avviso dell’Autorità privacy irlandese, di considerare l’Irlanda come stabilimento principale europeo e non c’erano circostanze che permettessero di identificarlo quale soggetto dotato di potere decisionale sulle operazioni di trattamento relative all’utilizzo del sistema operativo Android e alla sottoscrizione dei servizi proposti da Google LLC.
Per tali motivi, il CNIL ha esaminato la vicenda autonomamente, fondando la sanzione su due distinte violazioni del regolamento. Esso, dapprima, ha contestato la violazione degli obblighi di trasparenza e informazione rilevando come Google non presenti all’utenza le notizie sulle modalità del trattamento in modo chiaro e facilmente accessibile. Alcune informazioni essenziali, quali, ad esempio, la finalità del trattamento, il periodo di conservazione, le varie tipologie dei dati coinvolti, sono sparse in diversi documenti, costringendo conseguentemente l’utente ad una navigazione complicata che richiede anche molte azioni, tra link e pulsanti, per raggiungere le informazioni utili.
La seconda contestazione riguarda l’obbligo di indicare una base giuridica per il trattamento relativo alla pubblicità mirata, affinché venga reso lecito l’utilizzo di dati finalizzato alla personalizzazione dei messaggi pubblicitari. In base alla politica interna di Google questi trattamenti si fondano sul consenso dell’interessato. Un consenso che, però, a parere del CNIL, non è validamente ottenuto per le stesse identiche ragioni che giustificano la prima sanzione. Infatti, secondo il Garante privacy francese il consenso raccolto non è sufficientemente informato ai sensi del GDPR e neppure specifico e chiaro. Quando unaccount viene creato l’utente può modificare alcune impostazioni tramite il pulsante “più opzioni” ma questo non significa che il Regolamento sia rispettato. Difatti, tali opzioni sono azionabili in un menù secondario, ovvero, tramite una pratica ritenuta non molto corretta dalla Commissione francese; inoltre, costituisce una palese violazione il fatto che le caselline di questo menù siano preflaggate, e che l’utente, se contrario alla profilazione pubblicitaria, dovrà procedere alla deselezione delle caselle. Una pratica sicuramente contraria al GDPR, secondo cui il consenso deve provenire dall’interessato tramite un’azione positiva e chiara.
Alla luce di tali contestazioni, il CNIL ha ritenuto di comminare a Google LLC una sanzione da 50 milioni di euro per violazione del GDPR. Una sanzione pecuniaria elevata ma allo stesso tempo lontana dai massimali previsti dal GDPR che prevedono multe fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
La sanzione comminata dal Garante privacy austriaco
In Austria, nel mese di ottobre 2018, l’Autorità Garante della Privacy austriaca (Datenschutzbehörde), ha erogato, a seguito di apposita ispezione, una sanzione da 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in modo non appropriato. Le telecamere erano direzionate su parte del marciapiede esterno al perimetro aziendale, tanto da riprendere i passanti in modo esorbitante, senza alcuna giustificata motivazione e senza idonea informativa rilasciata con apposita cartellonistica. Tutto ciò in violazione dei principi della privacypiù comuni, in quanto venivano ripresi i volti dei passanti senza che essi ne fossero debitamente informati.
La sanzione comminata dal Garante privacy tedesco
Lo scorso 22 novembre 2018, il Garante per la protezione dei dati personali dello Stato di Baden –Württemberg (Landesbeauftragte Für Den Datenschutz Und Die Informationsfreiheit – LFDI) sanzionava il sito di chat online Knuddels.de (“Coccole”), popolare negli anni 2000 prima dell’avvento di Facebook, al pagamento della multa di circa ventimila euro.
La contestazione mossa dal Garante privacy tedesco ha come oggetto la violazione dell’art. 32 del GDPR, posto che, per carenza di misure adeguate di sicurezza, il sito subiva una perdita di circa due milioni diusername/password e di più di ottocentomila indirizzi e–mail, oltre a recapiti di residenza degli utenti ed altri tipi di dati. In sede di applicazione della multa, nel determinare l’ammontare della stessa, il Garante per la tutela dei dati personali tedesco valutava molto positivamente il comportamento collaborativo adottato da Knuddels,alleviando i rigori sanzionatori che la gravità oggettiva della sanzione avrebbe giustificato nel caso di specie. Accertata la violazione, Knuddelsinfatti provvedeva ad informare immediatamente dell’accaduto i suoi utenti e il Garante privacy (LFDI), apportando modifiche alla sua infrastruttura IT per accrescere il livello di sicurezza.
La prima sanzione del Garante privacy portoghese
Altra rilevante applicazione pratica delle sanzioni GDPR è rappresentata dal caso Hospitalar Barreiro Montijo, dove il Comissão Nacional de Protecção de Dados (CNPD) ha sanzionato per un importo complessivo di 400 mila euro una struttura ospedaliera.
Nell’aprile 2018, il CNDP eseguiva un’ispezione presso il Centro Hospitalar Barreiro Montijo del distretto di Setúbal in seguito alla segnalazione del sindacato dei medici, il quale contestava come il personale non sanitario avesse accesso ai sistemi informatici della struttura con i poteri propri dell’organico medico.
In sede ispettiva, il CNDP accertavaun accesso indiscriminato e ingiustificato di quasi seicento dipendentiai dati sanitari dei pazienti.Nel sistema venivano verificate infatti 985 utenze attive con profilo di autorizzazione riservato al personale medico, nonostante che detto organico contasse realmente solo 296 professionisti.
Accertata la grave violazione, l’Autorità per la tutela dei dati personali portoghese comminava due distinte sanzioni. L’una da trecentomila euro per il mancato rispetto della confidenzialità e per la mancata limitazione degli accessi ai dati dei soggetti ricoverati, e l’altra da centomila euro per non aver garantito “su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art. 32 GDPR).
Vi è di più. Nel corso dell’ispezione eseguita dall’Autorità garante per la privacy relativamente al sistema informatico e di gestione dell’ospedale venivano accertate ulteriori irregolarità. Veniva contestata l’assenza di una procedura di autenticazione degli utenti del sistema informatico e dei relativi profili di accesso, il non corretto utilizzo dei profili e dei codici di accesso previsti nei sistemi gestionali utilizzati dall’ospedale stesso e l’esistenza di molti profili di fatto inattivi collegati a utenti che avevano operato nella struttura ospedaliera in forza di contratti a termine e mai disattivati.
Giunto il momento di determinare l’ammontare della sanzione, il Garante per la privacy portoghese (CNPD) prendeva in considerazione la tipologia di dati coinvolti ossia di tutte le informazioni relative alla salute di pazienti (dati considerati super sensibili), della durata nel tempo della violazione, del numero di interessati coinvolti, della gravità dei danni dagli stessi subìti, nonché della negligenza nell’adozione delle misure organizzative e tecniche da parte della struttura ospedaliera.
Con riguardo a quest’ultimo aspetto, il Garante per la privacy ha ritenuto la violazione dolosa, considerato che il titolare sanzionato aveva consapevolmente collegato i profili di accesso al sistema informativo con profili non corrispondenti. In questo senso, inoltre, la violazione è stata ritenuta ancora più grave a fronte dell’utilizzo di mezzi tecnici come i sistemi gestionali messi a disposizione dal Ministero della Salute, i quali di per sé erano in grado di garantire una corretta identificazione degli utenti e, quindi, una limitazione degli accessi ai dati. Viceversa, anche in tale caso, è stato valutato favorevolmente l’atteggiamento collaborativo del titolare del trattamento volto ad attenuare le conseguenze negative delle violazioni.
La prima sanzione del Garante privacy polacco
L’Autorità polacca per la protezione dei dati personali (UODO) ha sanzionato una società per aver omesso di informare circa sei milioni di persone riguardo al trattamento ai fini commerciali dei loro dati tratti da fonti accessibili al pubblico. Agli interessati è stato così precluso la possibilità di esercitare i diritti loro riconosciuti dal GDPR, tra cui in primis quello di opposizione. La vicenda è meritevole di attenzione poiché la multa di 943.000 zloty polacchi, pari a circa 220.000 euro, non è stata comminata per violazione di una normativa locale, nel caso di specie quella polacca, bensì per mancato rispetto del Regolamento europeo e, in particolare, dell’obbligo di informazione sancito all’art. 14 del testo.
A ben vedere, la società polacca ha adempiuto al predetto obbligo di informazione di cui all’art. 14 del GDPR solo nei confronti delle persone di cui aveva a disposizione gli indirizzi e-mail. Per tutti gli altri soggetti ha ritenuto di poter assolvere detto obbligo informativo tramite un’apposita clausola pubblicata sul proprio sito web. Tuttavia, tale modalità di procedere è stata ritenuta insufficiente dall’Autorità privacy polacca, poiché, la società, al fine di assolvere l’obbligo informativo cui era tenuta, avrebbe dovuto comunicare direttamente agli interessati i loro dati personali, la fonte degli stessi, lo scopo e il periodo del trattamento previsto, nonché i diritti loro spettanti ai sensi del GDPR.
A fronte della difesa svolta dalla società, il Garante polacco privacy nel proprio provvedimento specifica che le disposizioni del regolamento europeo non impongono al titolare del trattamento l’obbligo di inviare agli interessati le informazioni tramite raccomandata, modalità quest’ultima eccepita dalla società e ritenuta troppo onerosa dalla stessa. Nel caso in questione, continua il Garante privacy, la società aveva indirizzi postali e numeri di telefono e poteva quindi attivarsi per rispettare l’obbligo di fornire le informazioni alle persone.
In conclusione, l’UODO ha ritenuto molto grave la condotta punita, tantoché, il cospicuo ammontare della sanzione trova giustificazione non solo nel carattere intenzionale della violazione (la società difatti era a conoscenza dell’obbligo di fornire informazioni in modo diretto alle persone), ma anche nel comportamento per niente collaborativo tenuto successivamente dalla società per porre rimedio all’infrazione.
I primi provvedimenti del Garante privacy italiano. La sanzione all’Associazione Rousseau
Con provvedimento n. 83 del 4 aprile 2019, il Garante per la protezione dei dati personali ha comminato all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679, oltre ad ingiungere all’Associazione stessa gli adeguamenti necessari contenuti nel provvedimento.
Ancora un provvedimento del Garante privacy italiano. La sanzione inflitta al medico accusato di aver utilizzato dati di ex-pazienti per propaganda elettorale
Con provvedimento del 14 febbraio u.s. il Garante privacy italiano ha stabilito la sanzione di €. 16.000 ad un medico per trattamento illecito di dati personali. Nel caso di specie, è stata punita dal Garante privacy la condotta del professionista consistente nell’aver utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche del 4 marzo 2018, senza che gli interessati avessero espresso specifico consenso.
A seguito di apposita istruttoria, il Garante per la privacy ha ritenuto sussistente la responsabilità del medico sotto due distinti profili. Innanzitutto, il professionista non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy, realizzandosi così la violazione di quanto espressamente previsto all’art. 161. Questo adempimento è infatti obbligatorio in quanto i dati, nel caso di specie, non risultano raccolti dal medico direttamente presso gli interessati, ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro. Inoltre, il medico ha utilizzato i dati dei suoi ex-pazienti per finalità diverse da quelle di cura per le quali erano stati raccolti, senza aver acquisito per questo uno specifico e autonomo consenso, in aperta violazione del disposto di cui all’art. 162, comma 2.
Nel corso della propria attività difensiva, il medico ha eccepito di aver scritto ai suoi ex-pazienti per informarli della sua nuova sede di lavoro. Con l’occasione aveva contestualmente espresso il suo sostegno a un candidato alle elezioni, ritenendo comunque di rispettare le norme, consentendo ai destinatari di opporsi alla ricezione dei messaggi mediante un apposito link posto in calce alla mail.
Tuttavia, come affermato dal Garante della privacy nel provvedimento generale in materia di propaganda elettorale del 6 marzo 2014 “i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è riconducibile agli scopi legittimi per i quali i dati sono stati raccolti”. L’Autorità per il trattamento dei dati personali ha sottolineato inoltre come nonostante la sanzione sia stata comminata in virtù del vecchio Codice della privacy, i principi che la ispirano restano validi anche in base al nuovo Regolamento UE, come precisato nel recente provvedimento del 7 marzo 2019.
Conclusioni
A ben vedere, le prime sanzioni non sono tardate ad arrivare. Tuttavia, alla luce di quanto sopra delineato, le Autorità Nazionali per la tutela dei dati personali hanno agito in modo tale da assicurare il rispetto del GDPR senza però punire eccessivamente i titolari sanzionati al chiaro scopo di garantire una applicazione graduale e progressiva del Regolamento europeo e di orientare, a fini preventivi, titolari e responsabili verso una corretta applicazione del GDPR.
A questo punto occorre chiedersi che cosa devono fare le aziende italiane. Come si devono comportare in concreto? Quali sono gli spunti di riflessione che le stesse devono trarre da questi episodi? La risposta è la più semplice. Le aziende italiane devono celermente far tesoro di tali provvedimenti. Devono altresì sentire e far proprio il concetto di Accountability, ossia, in parole semplici, avere la consapevolezza della necessità dell’esistenza di una giustificazione in ogni scelta e decisione compiuta; avere altresì la giusta accortezza, accompagnata da un razionale senso di preoccupazione, nell’adeguarsi prima possibile alle migliori prassi operative e di sicurezza e nell’adottare i provvedimenti più idonei ed opportuni.
A tale riguardo, basti pensare alla vicenda austriaca, una problematica quella della cartellonistica informativa inerente alla video sorveglianza spesso sottovalutata dalle pmi e micro imprese italiane che, forse per mancanza di tempo o per la poca attenzione alla materia della privacy, non hanno mai adeguato le informative riguardanti le aree sottoposte a video sorveglianza, in alcuni casi omettendo l’esposizione di cartelli informativi nei luoghi dove vi è un sistema di video sorveglianza attivo.
Dalla sanzione all’azienda tedesca si evince invece che le autorità garanti per la privacy non infliggeranno sanzioni per la mera avvenuta violazione ai sistemi che custodiscono dati personali, se non a seguito di un accertamento dal quale emergano gravi criticità a livello di sicurezza informatica, come il grosso errore di conservare la password di un account in chiaro all’interno delle memorie informatiche aziendali, senza l’utilizzo di sistemi di cifratura. Le aziende italiane dovrebbero essere ogni giorno più consapevoli e attente; anche l’adozione di una politica per la gestione del data breach (incidente informatico) non accompagnata da un sistema per identificare gli attacchi informatici e per capire che sta avvenendo un attacco informatico che potrebbe a sua volta scaturire un data breach, è una cattiva abitudine assai ricorrente e gradualmente da eliminare.
Dalla vicenda portoghese si traggono molti spunti di riflessione in ordine all’attuale stato dei sistemi informativi delle aziende sanitarie, private e pubbliche. Nel nostro territorio esistono strutture che sono al passo con i tempi e con la normativa, entrambi in continua evoluzione, ma esistono molte realtà in cui la situazione è la medesima della struttura ospedaliera portoghese perché la revisione delle politiche di accesso al dato e l’attuazione di queste politiche all’interno del sistema informativo aziendale è ancora in fase iniziale, perché ci sono sistemi e software oramai datati, data protection officer condiviso su più aziende che non riesce a star dietro alle esigenze della singola azienda ospedaliera.
Ancora. Dal mega provvedimento sanzionatorio inflitto a Google dal Garante privacy francese, le aziende italiane devono prendere consapevolezza e coscienza della natura sovranazionale del GDPR. Il provvedimento deve rappresentare un monito per tutte le aziende italiane che trattano dati personali di utenti residenti nei diversi Stati membri. Basti pensare ai fornitori di servizi, ai negozi online, e alle imprese che hanno scambi commerciali rilevanti con altri Paesi; tutti questi soggetti sono già chiamati a prestare la massima attenzione alle disposizioni previste dal GDPR.
Infine, non ci si può esimere dall’ammonire sul peso che avrà il provvedimento del Garante privacy italiano ben al di là del caso specifico che ha coinvolto la piattaforma Rousseau. La politica, infatti, come ogni altro aspetto e settore della nostra vita sono già da tempo oggetto di un processo di datificazione a tutti noi noto, e questo farà delGarante per la protezione dei dati personali, ogni giorno di più, un’Autorità importantissima per la tutela della democrazia, così come dell’economia e del progresso in generale.
