L’autorità di controllo per la protezione dei dati spagnola (AEPD) ha inflitto alla CaixaBank sanzioni per sei milioni di euro per trattamenti illeciti dei dati personali dei propri clienti. Nelle settimane scorse un altro istituto bancario, il Banco Bilbao Vizcaya Argentaria (BBVA) aveva ricevuto una multa di 5 milioni di euro sempre dal garante iberico per l'invio di comunicazioni commerciali senza espresso consenso e l'impossibilità dei clienti di poter scegliere quali dati fornire o meno alla banca. Ammontano quindi ad 11 milioni di euro le multe che hanno colpito il mondo bancario spagnolo in meno di un mese.

Come da prassi prevista dalle norme antiriciclaggio avevano chiesto al cliente le motivazioni riguardo la finalità del cospicuo prelievo di 85.000 euro che egli aveva richiesto di effettuare, e a seguito della risposta ironica che avevano ricevuto non riuscivano a trattenersi dal condividere la mail con altri colleghi su WhatsApp, che a loro volta condividevano con altri ancora, a tal punto che la comunicazione è arrivata infine su Facebook diventando virale. Se i bancari trovavano divertente il messaggio che circolava da un social ad un altro, non rideva però l’autorità per la privacy, che dopo aver accertato i fatti irrogava alla banca una sanzione da 100mila euro.

Grazie al principio della “trasparenza” introdotto dal Gdpr, ora gli utenti hanno il diritto di ottenere in modo facilmente accessibile tutte le informazioni che riguardano il trattamento dei propri dati personali, che siti web ed app dovrebbero fornire loro in modo conciso, facilmente comprensibile, e spiegate con un linguaggio semplice e chiaro (per approfondimenti vedasi la Circolare 7-2020). Tuttavia, nonostante le multe fino a 20 milioni di euro o addirittura fino al 4% del fatturato che rischiano i trasgressori che non rispettano le disposizioni del Regolamento europeo sulla privacy, è una cerchia ancora limitata quella di siti e app a cui gli utenti possono riconoscere abbastanza fiducia da fornire senza troppa apprensione le loro informazioni personali o i dati della propria carta di credito.

L’autorità di controllo per la protezione dei dati francese ha sonoramente sanzionato Carrefour (la società del retail e la banca del gruppo) per un importo complessivo di oltre 3 milioni di euro a causa violazioni multiple delle disposizioni del Gdpr, particolarmente riguardanti le informazioni fornite alle persone e il rispetto dei loro diritti.

Per la raccolta dei rifiuti prodotti dagli utenti positivi in quarantena presso il proprio domicilio in 58 comuni della Toscana arrivano i sacchetti rossi anti-Covid, e probabilmente anche anti-privacy.

Dopo l’invalidazione del Privacy Shield, decisa dalla Corte di Giustizia dell’UE il 16 luglio 2020 nella causa C-311/18, (nota come "Schrems II"), migliaia di imprese ed enti che si scambiano informazioni con i propri partner d’oltreoceano rischiano di affogare nelle sopraggiunte complicazioni per il trasferimento di dati all’estero. Ma adesso un prezioso salvagente arriva dall’European Data Protection Board con le misure supplementari richieste per ricorrere lecitamente alle clausole contrattuali standard (SCC).

Un contratto di fornitura di servizi di telecomunicazione non può dimostrare che il cliente abbia implicitamente prestato il suo consenso alla conservazione dei dati personali della sua carta d'identità, se la casella della clausola per l'autorizzazione è stata preselezionata dal responsabile del trattamento, prima della sottoscrizione del contratto.  Lo ha stabilito la Corte di Giustizia Ue con una sentenza nella causa C-61/19, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell'articolo 267 TFUE, dal Tribunalul Bucureşti (Tribunale superiore di Bucarest, Romania), con decisione del 14 novembre 2018, pervenuta in cancelleria il 29 gennaio 2019, nel procedimento Orange România SA contro il Garante per la privacy rumeno (ANSPDCP).

Tutti i nodi stanno venendo al pettine per Twitter, e probabilmente anche per le altre big tech non troppo rispettose della privacy che avevano individuato l’Irlanda come una specie di zona franca per mitigare in qualche modo i rischi delle sanzioni milionarie previste dal Gdpr. Con l’introduzione del nuovo Regolamento UE sulla protezione dei dati personali, due anni e mezzo fa Twitter e la maggior parte dei giganti del web avevano infatti approfittato della regola del "one stop shop", che consentiva loro di stabilire la propria sede europea in Irlanda per avere a che fare con una sola “autorità capofila” per la privacy, che in molti casi sarebbe coincisa con quella di una nazione già per loro vantaggiosa anche dal punto di vista fiscale.

Il cliente aveva chiesto una copia della polizza che aveva stipulato attraverso la banca, ma del documento non vi era più traccia. L’istituto si era giustificato con il fatto che il conto del cliente era stato trasferito da un’altra città molti anni prima, e che non era possibile accedere al contratto originale perché questo era stato archiviato in luogo lontano e per questo risultava troppo dispendioso da recuperare, limitandosi a consigliare al cliente di annullare la polizza.

Negli Stati Uniti l'Office of the Comptroller of the Currency ha annunciato di aver inflitto una sanzione da 60 milioni di dollari a Morgan Stanley, adottata dal regolatore a seguito di violazioni verificatesi dopo che la banca aveva dismesso alcuni data center utilizzati nella propria attività di gestione patrimoniale.