Privacy, sanzioni e controlli con il GDPR: a spiegare come saranno le nuove ispezioni è stato Marco Menegazzo, comandante del Nucleo Speciale Privacy della Guardia di Finanza intervenuto durante il Privacy Day Forum del 25 maggio 2018.
Le sanzioni per violazioni della privacy arrivano fino a 20 milioni di euro. Partendo da zero. Una forbice così larga da atterrire qualunque piccola e media impresa, professionista e anche ente pubblico. È quanto discende dalla possibilità di contestare la violazione di un articolo del regolamento europeo sulla protezione dei dati n. 2016/679 (Gdpr): si tratta dell'articolo 5, dedicato ai principi generali. È una questione sottile e sa anche un po' di trabocchetto.
La privacy è un campo minato. Il 19 maggio 2019 scade il periodo di «prima applicazione», in cui il Garante deve, per legge, mostrare la sua comprensione e, nei limiti del (giuridicamente) possibile, andarci piano con le sanzioni per violazioni del Regolamento Ue 2016/679 (Gdpr) e del nuovo Codice della privacy (figlio del dlgs 101/2018). Ora, però, alla porta ci sono 7.219 reclami e segnalazioni e 946 notificazioni di violazioni della privacy.
L’Autorità Garante per la protezione dei dati personali tedesca (BFDI) ha sanzionato il servizio call center del provider 1&1 Telecommunications per 9,55 milioni di euro per violazione del GDPR (General data Protection Regulation). Si tratta di una delle maggiori sanzioni pecuniarie mai erogate in Germania dall’entrata in vigore del nuovo regolamento Ue sulla data protection, comminata dal garante tedesco per violazione dell’articolo 32 del regolamento, che impone alle aziende di prendere provvedimenti ben definiti dal punto di vista tecnico ed organizzativo per la protezione dei dati personali dei clienti.
I giornalisti devono agire con correttezza e trasparenza evitando di utilizzare artifici e pressioni per raccogliere notizie che potrebbero essere acquisite con gli strumenti dell’inchiesta giornalistica. Il principio è stato ribadito dal Garante che ha sanzionato Reti Televisive Italiane S.p.a. e ha vietato la diffusione di un’intervista all’interno di un servizio de “Le Iene”.
Giusta la sanzione disciplinare al militare che condivide con un collega una serie di messaggi di whatsapp con i quali critica e parla male di altri ufficiali. Lo stabilisce il Tar Sardegna con la sentenza del 14 marzo scorso n. 174.
È meritata la sanzione inflitta dal Garante della privacy alla Regione Abruzzo, per aver pubblicato sul suo sito i nomi e i cognomi degli ammessi e degli esclusi in un concorso riservato ai disabili. Con l’indicazione dei nomi e l’espresso riferimento alla legge 68/1999 che riguarda le “Norme per il diritto al lavoro dei disabili”, si rivela, infatti, un dato sensibile relativo alla salute dei candidati. La Cassazione respinge il ricorso della Regione contro la sanzione amministrativa di 20 mila euro, emanata dall’Authority per la violazione del Codice privacy.
La società Foodinho, controllata da GlovoApp23, dovrà modificare il trattamento dei dati dei propri rider, effettuato tramite l’utilizzo di una piattaforma digitale, e verificare che gli algoritmi di prenotazione e assegnazione degli ordini di cibo e prodotti non producano forme di discriminazione. La società dovrà anche pagare una sanzione di 2,6 milioni di euro. Questa la decisione del Garante per la privacy, la prima riguardante i rider, all’esito di un primo ciclo ispettivo sulle modalità di gestione dei lavoratori di alcune delle principali società di food delivery che operano in Italia.
Il sito web di prenotazioni online di viaggi Booking.com è stato sanzionato con una multa da 475.000 euro per non aver notificato una violazione dei dati entro i termini stabiliti dal Gdpr. Booking.com aveva infatti subìto un data breach nel 2018, quando dei truffatori telefonici avevano preso di mira 40 dipendenti in vari hotel negli Emirati Arabi Uniti.
Una pesante sanzione da 10 milioni di euro è stata inflitta a Google da parte dell'autorità per la protezione dei dati personali spagnola (AEPD), che ha contestato al colosso di Mountain View due infrazioni "gravissime" per aver "ceduto illecitamente dati a terzi “e ''ostacolato il diritto all’oblio dei cittadini''. A renderlo noto è lo stesso garante con un comunicato stampa diramato lo scorso 18 maggio.
