Nel vecchio continente stanno fioccando sanzioni per le violazioni agli adempimenti imposti dal Regolamento Ue sulla protezione dei dati (2016/679).
Le violazioni maggiormente rilevate riguardano sicuramente la sicurezza dei sistemi informativi.
Il regolamento, ormai entrato a regime dal 25 maggio 2018, è direttamente applicabile anche in Italia.
Alberghi, banche, società finanziarie, compagnie aeree, società di taxi, ma anche sanità ed enti pubblici nel mirino dei garanti della privacy europei.
Un breve focus su quello che sta accadendo negli stati dell’Unione :
Sicuramente il più eclatante:
GRAN BRETAGNA – notificata a un gruppo alberghiero con l’avviso di procedimento finalizzato all’applicazione di una sanzione di oltre 99 milioni di sterline a seguito di un attacco informatico. Secondo il garante inglese la società non ha fatto le opportune verifiche e non ha messo in sicurezza i sistemi. Il procedimento è ancora in fase di istruttoria e non si è assunta ancora la decisione finale. Un altro episodio ha coinvolto una compagnia aerea. Qui si tratta di importi più bassi in relazione al minor numero di persone potenzialmente coinvolte (circa mezzo milione). Al centro dei controlli la scarsa sicurezza a riguardo di accessi a internet, pagamenti online, dettagli delle prenotazioni aeree e dati identificativi dei passeggeri. Anche qui il procedimento è in corso.
BELGIO – ammonito il servizio sanitario pubblico per non avere risposto alla richiesta di accesso di un cittadino. Qui il garante belga ha adottato la misura correttiva. Il garante belga ha, poi, applicato una sanzione di 2 mila euro per violazione del trattamento di dati nell’ambito di campagna elettorale. Secondo il garante belga non possono essere utilizzate e-mail ricevute per inviare con il comando «rispondi» messaggi di propaganda elettorale.
LITUANIA – ingiunzione di pagamento di 61 mila euro ad una banca per un data breach. I dettagli della movimentazione della clientela sono stati disponibili in chiaro per più di due giorni tramite internet.
FINLANDIA – banche e società finanziarie. In entrambe I casi e’ emersa una non corretta profilazione della clientela in relazione al giudizio di meritevolezza del credito. Il garante finlandese ha ordinato alla banca di cambiare il sistema automatizzato di istruttoria delle richieste di credito.
Paese che vai, sanzione che trovi
POLONIA – 220 mila euro di sanzione a una società che non aveva dato l’informativa privacy agli interessati: oltre 6 milioni gli interessati. I dati erano stati raccolti da fonti disponibili al pubblico e trattati per scopi commerciali.
ROMANIA – la violazione da parte di una società privata ha riguardato le norme sulla sicurezza dei trattamenti. L’importo della sanzione è stato modesto (3 mila euro). Nel secondo caso la violazione è stata la stessa, ma la sanzione è stata più alta (15 mila euro). Qui si è trattato di una lista stampata su carta, usata per controllare clienti di un hotel al momento dell’ingresso alla sala ristorante per la colazione, la lista è stata fotografata e diffusa. Il terzo episodio ha coinvolto una banca che ha violato l’articolo 25 Gdpr (privacy by design e by default). La sanzione è stata di circa 130 mila euro. Interessati dalla vicenda sono state oltre 337 mila persone.
DANIMARCA – procedura aperta contro un’azienda di arredi per non avere cancellato i dati di 385 mila clienti. Il garante danese ha anche aperto un procedimento per l’applicazione di una sanzione di 160 mila euro alla compagnia di taxi, per mancata cancellazione dei dati della prenotazione delle corse.
NORVEGIA – sanzione di 170 mila euro a un comune, reo di non avere protetto 35 mila credenziali di accesso al sistema informativo municipale, in particolare relativi a studenti e dipendenti delle scuole primarie.
AUSTRIA – società del servizio postale per plurime violazioni: raccolta di dati sulle convinzioni politiche, lacune nella redazione della valutazione di impatto privacy (Dpia).
Queste elencate sono solo delle gocce nel mare delle violazioni; dall’entrata in vigore del regolamento generale sulla protezione dei dati, sono state registrate più di 60 mila violazioni della sicurezza di dati personali, sensibili, protetti e riservati, o casi di data breach.
Fonte: Italia Oggi