Ecco quali sono le autorità per la privacy più severe d'Europa: quasi 14 milioni di euro di sanzioni in un solo mese
Le recenti decisioni prese dalle autorità per la protezione dei dati in tutta l'Unione europea mettono in luce quali sono le attuali tendenze dell'applicazione del regime sanzionatorio da parte dei regolatori nazionali, e su quali tipologie di infrazioni essi si stanno concentrando. Oltre al Garante italiano con la sanzione di oltre 3 milioni di euro comminata a Sky, particolarmente rigorose anche l’autorità austriaca, quella tedesca di Amburgo, quella norvegese, e quella francese, che messe insieme hanno ingiunto il pagamento di quasi 14 milioni di euro di sanzioni nell’arco di un solo mese.
Austria - A settembre la Austrian Post, che il principale servizio postale nazionale austriaco, è stato colpito da una multa record di 9,5 milioni di euro per non aver consentito alle persone di esercitare dovutamente i loro diritti per chiedere tramite email informazioni su eventuali dati personali che il servizio postale potrebbe avere su di loro. Anche se le persone potevano fare domande tramite lettera, online e tramite il servizio clienti, non era infatti possibile fruire dello stesso servizio per posta elettronica. La società era già stata sanzionata nell'ottobre 2019 quando aveva ricevuto una multa di 18 milioni di euro per il trattamento di dati personali riguardante la presunta affinità politica degli interessati. Tale sanzione, così come il relativo procedimento penale, era stata annullata con una decisione del tribunale nel novembre 2020. Adesso la Austrian Post ha fatto sapere che prevede di appellarsi anche a questa seconda sanzione.
Germania - L'autorità per la protezione dei dati di Amburgo, che si sta rivelando uno dei più severi regolatori della privacy della Germania, ha annunciato a settembre una multa di circa 900.000 euro contro il fornitore di energia elettrica Vattenfall Europe Sales riguardo a dati personali che la società avrebbe dovuto utilizzare per finalità fiscali, ma che invece sarebbero stati usati anche per verificare se i nuovi clienti avessero più volte approfittato delle promozioni di vendita che la Vattenfall aveva inviato in passato. La società cercava di far sottoscrivere le sue offerte di lancio a clienti che lasciava passare ad un altro fornitore, per poi tornare alla carica un anno o due dopo con nuove promozioni una volta che era scaduto il termine del contratto con il competitor per riproporre la tariffa originaria. Il Garante ha ritenuto che Vattenfall abbia violato gli obblighi di trasparenza previsti dal Gdpr, poiché i clienti non erano sufficientemente informati sul confronto di tali informazioni. Gli interessati coinvolti sono circa 500.000.
Francia – Di recente il garante francese (CNIL) ha sanzionato il gruppo assicurativo “AG2R La Mondiale” per 1,75 milioni di euro per aver conservato i dati personali dei clienti troppo a lungo dopo la scadenza dei loro contratti, e senza informare le persone che venivano registrate le chiamate di vendita. Si tratta della terza sanzione più grande del regolatore francese fino ad oggi, dopo sanzioni di 50 milioni di euro e 2,25 milioni di euro rispettivamente contro Google e la catena di supermercati Carrefour. A seguito di un'ispezione nel 2019, la CNIL aveva scoperto che AG2R stava archiviando dopo la fine del contratto, e oltre i periodi di conservazione legali consentiti, i dati personali di oltre 2 milioni di clienti, inclusi i dettagli sanitari e bancari. L’autorità ha anche scoperto che i dati di quasi 2.000 persone che non avevano avuto alcun contatto con l'azienda, ma a cui la stessa stava pensando di poter proporre i suoi prodotti, erano stati conservati per più di tre o cinque anni. La CNIL ha inoltre riscontrato che le telefonate effettuate dai responsabili del trattamento della società potevano essere registrate senza che la persona contattata fosse informata del suo diritto di opporsi. La società non ha fatto ricorso alla sanzione che le era stata decisa lo scorso luglio e per cui le è stato adesso ingiunto il pagamento, e sta già apportando le modifiche richieste per conformarsi al Gdpr.
Norvegia – L’autorità di controllo norvegese ha sanzionato la società di pedaggio Ferde per circa 500.000 euro a conclusione di un'indagine, avviata dopo i resoconti pubblicati dai media avevano rivelato che i dati personali dei cittadini norvegesi elaborati sulle auto venivano elaborati illecitamente in Cina. La proposta di sanzione era stata emessa a maggio, ma il procedimento è stato finalizzato a settembre. L’autorità ha ritenuto che Ferde avesse violato molti princìpi di base del Gdpr tra settembre 2017 e ottobre 2019. Il regolatore ha affermato che la società non aveva basi giuridiche valide per il trattamento dei dati personali e per il loro trasferimento in Cina, che non aveva stipulato un accordo sul trattamento dei dati (data process agreement), e non aveva neanche effettuato una valutazione dei rischi.
Ma l'elenco delle autorità per la protezione dei dati più severe potrebbe allungarsi a breve, perchè propio in questi giorni anche quella irlandese (Ireland’s Data Protection Commission) sta decidendo di imporre una sanzione a Facebook che potrebbe superare i 36 milioni di euro.