Arrivano le prime sanzioni per le violazioni del GDPR: il caso tedesco

By | 15 dicembre 2018

Il 22 novembre 2018 il Garante per la Privacy dello stato di Baden Württenberg (Landesbeauftragte Für Den Datenschutz Und Die Informationsfreiheit – LfDI) ha reso noto, con comunicato stampa disponibile qui in lingua originale, di aver condannato il sito Knuddels.de al pagamento di una sanzione di 20 mila euro per aver violato l’art. 32 del GDPR.

Knuddels è un sito di chat online che ha visto il suo picco di popolarità negli anni 2000, prima dell’arrivo di Facebook. Knuddels (letteralmente “coccole”), nel mese di settembre, ha subito il leak di quasi 2 milioni di username/password e di più di 800 mila e-mail, oltre ad indirizzi di residenza degli utenti ed altri tipi di dati. La causa di questo imponente data breach è stata individuata dagli inquirenti nella mancanza di misure di sicurezza adeguate alla protezione dei dati: i dati degli utenti (circa 330.000 quelli interessati), infatti, erano conservati in chiaro e sono stati diffusi dagli hackers responsabili dell’attacco sui siti di file hosting/sharing Mega e Pastebin. Una volta scoperto l’accesso abusivo, Knuddels ha prontamente informato i suoi utenti e il LfDI dell’accaduto ed ha implementato la sua infrastruttura IT per innalzare il livello di sicurezza.

Secondo il privacy watchdog tedesco, la mancanza di misure che proteggessero i dati degli utenti di Knuddels ha comportato la violazione dell’art. 32 GDPR, ossia la norma relativa alla sicurezza del trattamento dei dati (qui un approfondimento sulle sanzioni della nuova disciplina privacy).

Nel decidere l’ammontare della multa ha avuto un ruolo chiave il comportamento collaborativo di Knuddels durante la spiacevole vicenda. In sostanza il LfDI ha usato, contemporaneamente, il bastone e la carota: ha sì sanzionato Knuddels, ma allo stesso tempo lo ha premiato con una sanzione light. Infatti, il Garante ha affermato che “chi impara dai danni e collabora con trasparenza al miglioramento della protezione dei dati può uscire rafforzato da un attacco di hacker” [Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen].

Si tratta della prima sanzione erogata in Germania in applicazione del GDPR, ed in quanto tale manda sicuramente un messaggio positivo in tutta Europa per quanto riguarda l’applicazione in concreto delle sanzioni del GDPR. Rimangono dei dubbi però riguardo al potere dissuasivo di una sanzione dall’importo relativamente basso, considerando che il GDPR prevede (art. 83 n. 4) come tetto massimo per le sanzioni amministrative per questo tipo di violazioni 10 milioni di euro o, per i gruppi di imprese, fino al 2% del fatturato mondiale totale annuo (se superiore).

Dall’altra parte, trasmette un messaggio differente: collaborazione e trasparenza “ripagano”. E questo potrebbe dimostrarsi uno strumento molto più persuasivo della minaccia di sanzioni severe.

Fino ad ora, gli unici altri due casi di sanzioni di questo tipo in Europa erano stati solamente due. Il primo caso riguardava l’ospedale portoghese di Barreiro, che è stato multato 400 mila euro dal Comissão Nacional de Proteção de Dados (CNPD), il Garante per la protezione dei dati personali portoghese, perché personale non autorizzato e non sanitario aveva accesso alle cartelle cliniche dei pazienti senza il loro consenso. In questo caso il CNPD, nonostante il Portogallo non abbia ancora implementato il GDPR a livello nazionale, ha comunque basato la sanzione su di esso e sui suoi principi cardine. In particolare, si tratta di tre sanzioni differenti: due sanzioni da 150 mila euro per aver violato i principi di integrità, riservatezza e di minimizzazione dei dati, ed una di 100 mila euro per non aver mantenuto un livello di sicurezza adeguato nel trattamento dei dati.

Il secondo caso, invece, è stato quello dell’Autorità Garante della Privacy austriaca (Datenschutzbehörde), che ha condannato un imprenditore al pagamento di 4,800 euro per aver installato delle telecamere di videosorveglianza fuori dal suo esercizio commerciale che riprendevano parte del marciapiede, in violazione dei principi base del trattamento dei dati.

Rimane solo da aspettare e vedere se le altre autorità garanti, tra le quali quella italiana, seguiranno l’esempio tedesco e se applicheranno allo stesso modo le sanzioni del GDPR.

 

avv. Silvia Stefanelli

dott.ssa Alice Giannini

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.