Il GDPR impone multe fino ad oggi
Con l'avvicinarsi della fine del 2019, va notato che è aumentato lo slancio in termini di multe per le violazioni del GDPR. Dall'introduzione del GDPR nel maggio 2018, il numero di segnalazioni di violazioni della protezione dei dati è aumentato in modo massiccio e alcune segnalazioni hanno portato a multe significative.
Multe GDPR nel 2019
Nel 2019 abbiamo registrato un aumento significativo del numero di multe inflitte per il GDPR.
Nel gennaio 2019, Google è stata multata per 50 milioni di euro dall'autorità francese per la protezione dei dati CNIL per aver violato le norme UE sulla protezione dei dati.
Nel marzo 2019, l'autorità danese per la protezione dei dati ha multato una società di taxi per 1,2 milioni di corone danesi e l'autorità di vigilanza polacca ha imposto una multa di 220.000 euro per raccolta illegale di dati.
In aprile, l'Autorità di vigilanza nazionale rumena ha imposto una multa di 146.000 dollari a Unicredit Bank S.A. per non aver adottato misure tecniche e organizzative adeguate nella sua società fondiaria.
Nel maggio 2019, l'autorità statale lituana per la protezione dei dati ha imposto una multa di 61.500 euro a MisterTango UAB.
Nel giugno 2019, la Spagna ha inflitto una multa di 250.000 euro al campionato di calcio La Liga La Francia ha inflitto una multa di 400.000 euro alla società immobiliare Sergic per aver effettuato l'accesso ai suoi siti web senza autenticazione dell'utente.
Nel luglio 2019 sono state comminate alcune delle multe più salate dall'introduzione del GDPR.
L'Information Commissioner's Office (ICO) del Regno Unito ha multato British Airways per 183,4 milioni di sterline (230 milioni di euro) e Marriott Hotels per 99,2 milioni di sterline (124 milioni di euro) per violazione delle norme sulla protezione dei dati. Le sanzioni sono le due più elevate mai comminate ai sensi del GDPR.
Sempre a luglio, i Paesi Bassi hanno imposto una multa di 460.000 euro a un ospedale olandese per i controlli poco rigorosi sulle cartelle cliniche dei pazienti. Anche la CNIL francese ha inflitto una multa di 180.000 euro alla società ACTIVE INSURANCES per aver protetto in modo inadeguato i dati degli utenti del suo sito web.
Nell'agosto 2019, un rivenditore polacco è stato multato per 645.000 euro per "insufficienti garanzie organizzative e tecniche" ai sensi del GDPR.
Sempre in agosto, un consiglio scolastico svedese è stato sanzionato per aver utilizzato il riconoscimento facciale per l'appello nelle classi.
Multe GDPR 2018
Il 17 luglio 2018, a pochi mesi dall'entrata in vigore del GDPR, l'autorità di vigilanza portoghese ("CNPD") ha inflitto una multa di 400.000 euro a un ospedale per una violazione del GDPR.
Quando, nell'ottobre 2018, l'Autorità austriaca per la protezione dei dati (DPA) ha inflitto una multa di 4.800 euro a una piccola azienda per aver installato illegalmente una telecamera a circuito chiuso che riprendeva anche lo spazio pubblico antistante l'azienda, è emerso per la prima volta che anche le piccole imprese sono interessate.
Nel novembre 2018, una piattaforma di social media tedesca chiamata Knuddels.de è stata multata di 20.000 euro dopo che una violazione ha esposto i dati personali di 330.000 utenti, comprese le loro password e indirizzi e-mail. Il basso importo della multa è stato dovuto principalmente alla collaborazione e ai massicci investimenti nella protezione dei dati da parte dei responsabili.
Le multe del GDPR guadagnano slancio nel terzo trimestre
Il 16 ottobre 2019, l'organo comune delle autorità tedesche per la protezione dei dati, la Conferenza per la protezione dei dati (DSK), ha pubblicato il modello che intende utilizzare per calcolare le ammende ai sensi dell'articolo 83 del GDPR.
A ottobre si è registrata anche la prima multa milionaria in Germania, quando il Commissario per la protezione dei dati e la libertà di informazione di Berlino ha annunciato che Deutsche Wohnen AG dovrà pagare una multa di 14,5 milioni di euro perché non è stata in grado di fornire la prova di un concetto di cancellazione adeguato per i dati degli inquilini.
Il 25 ottobre, l'autorità spagnola per la protezione dei dati ha imposto una multa di 35.000 euro a Vodafone Spagna per l'inadeguatezza delle basi legali per il trattamento dei dati.
Il 31 ottobre, i Paesi Bassi hanno imposto una multa di 900.000 euro all'assicuratore dei dipendenti olandese UWV per l'inadeguata sicurezza del portale online dei dipendenti.
Nell'ottobre 2019, Facebook ha accettato di pagare la multa annunciata dall'ICO nel luglio 2018 in relazione alle violazioni dei dati di Cambridge Analytica nel 2015. Poiché la misura è stata stabilita prima dell'introduzione del GDPR, la multa massima che l'ICO poteva applicare era di 500.000 sterline. Se le violazioni fossero avvenute dopo il maggio 2018, la multa potenziale avrebbe potuto essere significativamente più alta - fino al 4% del fatturato annuale di Facebook.
A novembre, l'Autorità di vigilanza nazionale rumena per il trattamento dei dati personali ha inflitto multe a quattro società:
- 2.500 euro contro il Presidente reale per aver rifiutato una richiesta di accesso ai dati personali ai sensi dell'articolo 15 del GDPR e i dati personali divulgati senza il consenso degli interessati.
- 80.000 euro contro ING Bank N.V. Bucarest per non aver adottato misure tecniche e organizzative adeguate per un sistema di elaborazione automatizzata dei dati in relazione all'elaborazione delle transazioni con carta di 225.525 clienti.
- 11.000 euro sono stati assegnati a una società di servizi di corriere per non aver adottato misure tecniche e organizzative adeguate per prevenire la perdita e l'accesso non autorizzato ai dati personali di circa 1.100 persone.
- 2.000 euro contro BNP Paribas Personal Finance S.A. per non aver dato seguito a una richiesta di cancellazione entro i termini stabiliti dal GDPR.
A novembre, l'Autorità spagnola per la protezione dei dati (Aepd) ha inflitto multe a diverse aziende:
- 1.500 euro di multa a Cerrajero Online per aver raccolto dati personali senza una base legale sufficiente.
- 900 euro di multa a TOTO TECNICOS24H S.L. per aver raccolto dati personali senza una base legale sufficiente.
- 3.000 euro di multa alla Confederazione Generale del Lavoro per aver divulgato dati personali in un mailing senza consenso.
- 30.000 euro di multa a Telefonica SA per non aver rispettato i principi generali del trattamento dei dati.
- Xfera Moviles SA è stata multata per 60.000 euro per non aver implementato misure tecniche e organizzative (TOM) per garantire la sicurezza delle informazioni.
- La Corporación radiotelevisión espanola è stata inoltre multata di 60.000 euro per non aver implementato misure tecniche e organizzative (TOM) per garantire la sicurezza delle informazioni.
L'autorità belga per la protezione dei dati (APD) ha inflitto una multa di 5.000 euro a un consigliere comunale e a un sindaco per aver inviato messaggi elettorali senza una base giuridica sufficiente.
A novembre, la CNIL francese ha imposto la seconda multa più alta, 500.000 euro, a Futura Internationale per chiamate indesiderate, dopo che diversi denuncianti avevano ricevuto chiamate indesiderate nonostante avessero spiegato direttamente e per posta al chiamante che ciò non era desiderato, non avevano implementato meccanismi adeguati di trasferimento dei dati e non avevano collaborato con la CNIL.
A dicembre sono state comminate una serie di multe e sanzioni, tra cui quella dell'Agenzia spagnola per la protezione dei dati, che ha inflitto a Ikea Iberica una multa di 10.000 euro per aver installato cookie sui dispositivi mobili dei clienti senza il loro previo consenso.
Il 3 dicembre, l'autorità tedesca per la protezione dei dati ha imposto una multa di 105.000 euro a un ospedale per diverse violazioni del GDPR in relazione a uno scambio di pazienti durante il ricovero. Ciò ha rivelato deficit tecnici e organizzativi strutturali nella gestione dei pazienti dell'ospedale.
Il 4 dicembre, l'autorità rumena per la protezione dei dati ha imposto una sanzione di 20.000 euro a una compagnia aerea per non aver adottato misure adeguate per garantire che qualsiasi persona fisica che lavora sotto la sua supervisione tratti i dati personali in conformità con le sue istruzioni ai sensi del GDPR.
Il 9 dicembre, il Commissario federale per la protezione dei dati e la libertà d'informazione (BfDI), Ulrich Kelber, ha imposto una multa di 9,5 milioni di euro al fornitore di servizi di telecomunicazione 1&1 Telecom GmbH (1&1) per non aver protetto adeguatamente i dati dei propri clienti.
Decisioni ritardate
L'autorità irlandese di controllo della protezione dei dati, la Data Protection Commission (DPC), avrebbe dovuto annunciare a dicembre se WhatsApp avesse violato il GDPR non informando i suoi utenti in modo sufficientemente chiaro su come utilizza i loro dati personali. La decisione è ora attesa per gennaio 2020.
Riassumendo, se si considerano le multe per il GDPR di quest'anno, si nota un certo slancio. Con migliaia di reclami negli ultimi mesi, il 2020 promette di essere un anno molto interessante in termini di multe GDPR.
Siete preoccupati per la conformità al GDPR? Non è troppo tardi.
Contattateci oggi stesso per scoprire come potete operare in conformità con le normative sulla protezione dei dati nel 2020.