Le autorità per la protezione dei dati sono state attive anche nel mese di agosto e hanno imposto multe molto elevate. Ha fatto scalpore la multa di 290 milioni di euro inflitta dall'autorità olandese per la protezione dei dati alla società di ride-hailing Uber. Ad agosto vale la pena dare un'occhiata anche alle multe comminate in Belgio, Svezia e Spagna, con dettagli interessanti. Le indagini contro l'azienda di moda Uniqlo Europe in Spagna mostrano come l'errore negligente di un singolo dipendente possa costare caro a un'azienda.
1 Uber: 290 milioni di euro (Paesi Bassi)
L'autorità olandese per la protezione dei dati Autoriteit Persoonsgegevens (AP) ha imposto una multa di 290 milioni di euro al servizio di ride-hailing Uber. Il motivo della multa: l'inadeguata protezione dei dati personali dei tassisti europei trasferiti alla sede centrale di Uber negli Stati Uniti.
L'indagine dell'autorità per la protezione dei dati ha fatto seguito alle denunce di oltre 170 autisti francesi di Uber. Essi avevano presentato un reclamo all'organizzazione francese per i diritti umani Ligue des droits de l'Homme (LDH) in merito alle pratiche di protezione dei dati di Uber. La LDH ha quindi presentato una denuncia all'autorità francese per la protezione dei dati. Poiché la sede europea di Uber si trova nei Paesi Bassi, l'autorità olandese per la protezione dei dati è stata incaricata dell'indagine.
Uber ha raccolto informazioni sensibili come i dati dell'account e della patente di guida, i dati sulla posizione, le foto, le informazioni di pagamento, i documenti d'identità e, in alcuni casi, i dati penali e medici degli autisti in Europa e li ha archiviati su server negli Stati Uniti.
Il trasferimento di questi dati sensibili è avvenuto per un periodo di oltre due anni. Non sono state attuate le necessarie misure di protezione richieste dal GDPR. L'autorità per la protezione dei dati personali classifica la violazione di Uber come grave.
Fonte: Multe inflitte dall'Autoriteit Persoonsgegevens a Uber
2. T-Mobile US: 60 milioni di USD
Il Comitato per gli investimenti esteri negli Stati Uniti (CFIUS) ha imposto una multa di 60 milioni di dollari (circa 55 milioni di euro) all'azienda di comunicazioni mobili T-Mobile US.
L'azienda non è riuscita a prevenire e a segnalare l'accesso non autorizzato a dati sensibili, hanno dichiarato alti funzionari statunitensi alla Reuters il 14 agosto. Inoltre, T-Mobile US non ha segnalato alcune violazioni con sufficiente rapidità, rendendo più difficili le indagini delle autorità.
In un comunicato, T-Mobile ha spiegato che la fusione con la società di telefonia mobile statunitense Sprint ha comportato problemi tecnici che sono stati rapidamente risolti. In particolare, si sono verificati alcuni casi di accesso non autorizzato a dati sensibili tra agosto 2020 e giugno 2021. Secondo l'azienda, è stato interessato un piccolo numero di richieste da parte delle autorità investigative.
T-Mobile US è già stata multata per milioni di dollari per la seconda volta quest'anno. Ad aprile la FCC aveva già imposto una multa di 80 milioni di dollari (circa 74,7 milioni di euro) perché l'azienda non aveva protetto adeguatamente i dati di localizzazione dei suoi clienti.
Suggerimento di lettura: Le attuali sanzioni per le violazioni della protezione dei dati negli USA
3. Apoteket AB e Apohem AB: 37 milioni di SEK e 8 milioni di SEK (Svezia)
L'autorità svedese per la protezione dei dati Integritetsskyddsmyndigheten (IMY) ha imposto multe per un totale di 37 milioni di corone svedesi (circa 3,26 milioni di euro) ad Apoteket AB e 8 milioni di corone svedesi (circa 705.000 euro) ad Apohem AB. Le società avevano utilizzato il pixel Meta sui loro siti web e trasmesso a Meta dati personali rilevanti per la legge sulla protezione dei dati per un lungo periodo di tempo.
Apoteket e Apohem avevano utilizzato lo strumento di analisi Meta Pixel sui loro siti web dal gennaio 2010 all'aprile 2022 per migliorare il loro marketing su Facebook e Instagram. L'errata trasmissione dei dati personali è stata causata dall'attivazione da parte delle aziende di una nuova sotto-funzione del Meta Pixel.
L'attivazione della funzione "Advanced Matching" (AAM) di Meta Pixel ha fatto sì che venissero elaborati e trasmessi a Meta più dati di quelli originariamente previsti. Tra l'altro, le società hanno trasmesso dati sull'acquisto di farmaci da banco, autotest e trattamenti per malattie sessualmente trasmissibili e giocattoli sessuali. Tali dati possono fornire informazioni sulla salute o sulla vita sessuale di una persona e sono pertanto soggetti a una protezione speciale ai sensi dell'art. 9 del GDPR.
L'indagine dell'IMY ha rivelato che le società non avevano adottato misure tecniche e organizzative appropriate per garantire un livello adeguato di protezione dei dati personali dei clienti. Solo dopo l'incidente entrambe le società hanno adottato diverse misure per migliorare la conformità alle normative sulla protezione dei dati. Tra queste, una revisione completa dei cookie e degli strumenti di analisi utilizzati, l'implementazione della formazione dei dipendenti e la creazione di una nuova funzione di monitoraggio della conformità alle norme sulla protezione dei dati nel reparto marketing.
Fonte: Avviso di multa Integritetsskyddsmyndigheten contro Apoteket AB
Fonte: Avviso di ammenda Integritetsskyddsmyndigheten contro Apohem AB
4° Uniqlo Europa: 270.000 euro (Spagna)
Un contrattempo con conseguenze: Un ex dipendente dell'azienda di moda giapponese Uniqlo ha chiesto che gli venisse inviata la sua busta paga del luglio 2022. Oltre alla sua busta paga, il file PDF inviatogli conteneva le buste paga di altri 446 dipendenti.
L'indagine dell'autorità spagnola per la protezione dei dati Agencia Española de Protección de Datos (AEPD) ha rivelato che la violazione dei dati è stata causata da un errore delle risorse umane. Tuttavia, questo errore non è stato né segnalato internamente né riconosciuto in tempo. Solo quando UNIQLO è stata informata della denuncia dell'AEPD, nell'aprile 2023, l'azienda ha riconosciuto l'incidente come una violazione della sicurezza. Inoltre, i dipendenti interessati non sono stati informati immediatamente. La notifica è stata fatta solo il 4 maggio 2023, dopo che Uniqlo era stata informata della denuncia. Uniqlo ha dichiarato di non aver ricevuto alcuna indicazione che i dati fossero stati compromessi o altrimenti utilizzati in modo improprio. Ciononostante, l'azienda ha consigliato ai dipendenti interessati di rimanere vigili e di monitorare i propri conti bancari alla ricerca di attività insolite.
L'AEPD ha rilevato che Uniqlo ha violato diverse disposizioni del GDPR:
- Articolo 5, paragrafo 1, lettera f) del GDPR: UNIQLO ha violato il principio di riservatezza e integrità divulgando i dati personali di 447 dipendenti attraverso una trasmissione impropria. La divulgazione non autorizzata di queste informazioni sensibili costituisce una grave violazione, in particolare perché i dati non erano criptati e sono stati trasmessi via e-mail, aumentando il rischio di accesso da parte di terzi non autorizzati.
- Articolo 32 GDPR: UNIQLO non aveva adottato misure tecniche e organizzative appropriate per garantire un livello di protezione adeguato. Nonostante l'introduzione di un portale di sicurezza e di un manuale di sicurezza delle informazioni, l'attuazione dei protocolli di sicurezza era chiaramente insufficiente a prevenire una simile violazione dei dati. La formazione e la consapevolezza dei dipendenti in materia di protezione dei dati non erano sufficienti a ridurre al minimo il rischio di errore umano.
Il fatto che un dipendente abbia commesso l'errore non solleva l'azienda dalla sua responsabilità. Secondo la giurisprudenza della Corte Suprema spagnola (STS n. 188/2022), un'azienda rimane responsabile anche se il reato è dovuto alla negligenza di un dipendente.
La multa originariamente inflitta dall'AEPD, pari a 450.000 euro, è stata ridotta a 270.000 euro. Uniqlo ha ammesso l'infrazione e ha adottato misure per evitare che un simile incidente si verifichi in futuro.
Fonte: Avviso di multa Agencia Española de Protección de Datos
5a società di telecomunicazioni: 100.000 euro (Belgio)
Il 23 agosto 2024, la Chambre Contentieuse dell'autorità belga per la protezione dei dati (Autorité de Protection des Données, APD) ha inflitto una multa di 100.000 euro a una società di telecomunicazioni senza nome.
L'azienda ha risposto solo 14 mesi dopo aver ricevuto una richiesta di informazioni da un cliente. Il ritardo nella risposta ha portato l'APD ad avviare un'indagine in seguito a un reclamo della persona interessata.
La Chambre Contentieuse ha riscontrato che l'azienda ha violato gli articoli 12 e 15 del GDPR non concedendo correttamente il diritto di accesso all'interessato.
L'articolo 15 del GDPR garantisce agli interessati il diritto di ottenere dal responsabile del trattamento la conferma che sia o meno in corso un trattamento di dati personali che li riguardano, nonché l'accesso a tali dati e a ulteriori informazioni.
Ai sensi dell'articolo 12 del GDPR, i responsabili del trattamento devono adottare misure per facilitare l'esercizio dei diritti degli interessati e rispondere alle richieste "senza indebito ritardo e in ogni caso entro un mese".
Tuttavia, il convenuto non aveva risposto alla richiesta di informazioni entro il termine previsto dall'art. 12 par. 3 GDPR. Inoltre, le informazioni richieste sono state fornite al ricorrente solo dopo ripetute richieste e durante il procedimento in corso.
Nel calcolare l'ammenda, si è tenuto conto del fatto che la violazione del diritto all'informazione deve essere generalmente classificata come un reato grave. Il ritardo nella risposta alla richiesta di informazioni di oltre 14 mesi è stato considerato un reato continuato. Si è inoltre tenuto conto del fatto che una risposta soddisfacente è stata fornita solo su pressione dell'autorità.