GDPR: le prime sanzioni comminate dai Garanti della privacy europei

Le sanzioni in Italia

I primi provvedimenti del Garante privacy italiano. La sanzione all’Associazione Rousseau
Con provvedimento n. 83 del 4 aprile 2019, il Garante per la protezione dei dati personali ha comminato all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679, oltre ad ingiungere all’Associazione stessa gli adeguamenti necessari contenuti nel provvedimento.

Sul punto si rimanda al commento di Michele Iaselli:

Piattaforma Rousseau: dal Garante privacy sanzione di 50mila euro
Ancora un provvedimento del Garante privacy italiano. La sanzione inflitta al medico accusato di aver utilizzato dati di ex-pazienti per propaganda elettorale
Con provvedimento del 14 febbraio u.s. il Garante privacy italiano ha stabilito la sanzione di €. 16.000 ad un medico per trattamento illecito di dati personali. Nel caso di specie, è stata punita dal Garante privacy la condotta del professionista consistente nell’aver utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche del 4 marzo 2018, senza che gli interessati avessero espresso specifico consenso.

A seguito di apposita istruttoria, il Garante per la privacy ha ritenuto sussistente la responsabilità del medico sotto due distinti profili. Innanzitutto, il professionista non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy, realizzandosi così la violazione di quanto espressamente previsto all’art. 161. Questo adempimento è infatti obbligatorio in quanto i dati, nel caso di specie, non risultano raccolti dal medico direttamente presso gli interessati, ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro. Inoltre, il medico ha utilizzato i dati dei suoi ex-pazienti per finalità diverse da quelle di cura per le quali erano stati raccolti, senza aver acquisito per questo uno specifico e autonomo consenso, in aperta violazione del disposto di cui all’art. 162, comma 2.

Nel corso della propria attività difensiva, il medico ha eccepito di aver scritto ai suoi ex-pazienti per informarli della sua nuova sede di lavoro. Con l’occasione aveva contestualmente espresso il suo sostegno a un candidato alle elezioni, ritenendo comunque di rispettare le norme, consentendo ai destinatari di opporsi alla ricezione dei messaggi mediante un apposito link posto in calce alla mail.

Tuttavia, come affermato dal Garante della privacy nel provvedimento generale in materia di propaganda elettorale del 6 marzo 2014 “i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è riconducibile agli scopi legittimi per i quali i dati sono stati raccolti”. L’Autorità per il trattamento dei dati personali ha sottolineato inoltre come nonostante la sanzione sia stata comminata in virtù del vecchio Codice della privacy, i principi che la ispirano restano validi anche in base al nuovo Regolamento UE, come precisato nel recente provvedimento del 7 marzo 2019.

Conclusioni
A ben vedere, le prime sanzioni non sono tardate ad arrivare. Tuttavia, alla luce di quanto sopra delineato, le Autorità Nazionali per la tutela dei dati personali hanno agito in modo tale da assicurare il rispetto del GDPR senza però punire eccessivamente i titolari sanzionati al chiaro scopo di garantire una applicazione graduale e progressiva del Regolamento europeo e di orientare, a fini preventivi, titolari e responsabili verso una corretta applicazione del GDPR.

A questo punto occorre chiedersi che cosa devono fare le aziende italiane. Come si devono comportare in concreto? Quali sono gli spunti di riflessione che le stesse devono trarre da questi episodi? La risposta è la più semplice. Le aziende italiane devono celermente far tesoro di tali provvedimenti. Devono altresì sentire e far proprio il concetto di Accountability, ossia, in parole semplici, avere la consapevolezza della necessità dell’esistenza di una giustificazione in ogni scelta e decisione compiuta; avere altresì la giusta accortezza, accompagnata da un razionale senso di preoccupazione, nell’adeguarsi prima possibile alle migliori prassi operative e di sicurezza e nell’adottare i provvedimenti più idonei ed opportuni.

A tale riguardo, basti pensare alla vicenda austriaca, una problematica quella della cartellonistica informativa inerente alla video sorveglianza spesso sottovalutata dalle pmi e micro imprese italiane che, forse per mancanza di tempo o per la poca attenzione alla materia della privacy, non hanno mai adeguato le informative riguardanti le aree sottoposte a video sorveglianza, in alcuni casi omettendo l’esposizione di cartelli informativi nei luoghi dove vi è un sistema di video sorveglianza attivo.

Dalla sanzione all’azienda tedesca si evince invece che le autorità garanti per la privacy non infliggeranno sanzioni per la mera avvenuta violazione ai sistemi che custodiscono dati personali, se non a seguito di un accertamento dal quale emergano gravi criticità a livello di sicurezza informatica, come il grosso errore di conservare la password di un account in chiaro all’interno delle memorie informatiche aziendali, senza l’utilizzo di sistemi di cifratura. Le aziende italiane dovrebbero essere ogni giorno più consapevoli e attente; anche l’adozione di una politica per la gestione del data breach (incidente informatico) non accompagnata da un sistema per identificare gli attacchi informatici e per capire che sta avvenendo un attacco informatico che potrebbe a sua volta scaturire un data breach, è una cattiva abitudine assai ricorrente e gradualmente da eliminare.

Dalla vicenda portoghese si traggono molti spunti di riflessione in ordine all’attuale stato dei sistemi informativi delle aziende sanitarie, private e pubbliche. Nel nostro territorio esistono strutture che sono al passo con i tempi e con la normativa, entrambi in continua evoluzione, ma esistono molte realtà in cui la situazione è la medesima della struttura ospedaliera portoghese perché la revisione delle politiche di accesso al dato e l’attuazione di queste politiche all’interno del sistema informativo aziendale è ancora in fase iniziale, perché ci sono sistemi e software oramai datati, data protection officer condiviso su più aziende che non riesce a star dietro alle esigenze della singola azienda ospedaliera.

Ancora. Dal mega provvedimento sanzionatorio inflitto a Google dal Garante privacy francese, le aziende italiane devono prendere consapevolezza e coscienza della natura sovranazionale del GDPR. Il provvedimento deve rappresentare un monito per tutte le aziende italiane che trattano dati personali di utenti residenti nei diversi Stati membri. Basti pensare ai fornitori di servizi, ai negozi online, e alle imprese che hanno scambi commerciali rilevanti con altri Paesi; tutti questi soggetti sono già chiamati a prestare la massima attenzione alle disposizioni previste dal GDPR.

Infine, non ci si può esimere dall’ammonire sul peso che avrà il provvedimento del Garante privacy italiano ben al di là del caso specifico che ha coinvolto la piattaforma Rousseau. La politica, infatti, come ogni altro aspetto e settore della nostra vita sono già da tempo oggetto di un processo di datificazione a tutti noi noto, e questo farà del Garante per la protezione dei dati personali, ogni giorno di più, un’Autorità importantissima per la tutela della democrazia, così come dell’economia e del progresso in generale.

(Fonte: www.altalex.com)