Sanzioni GDPR, le maggiori degli ultimi dodici mesi - Riskmanagement

Privacy

Sanzioni GDPR, ecco le maggiori degli ultimi dodici mesi

Tra gennaio 2020 e gennaio 2021 le multe sono aumentate di quasi il 40%, arrivando a totalizzare 158,5 milioni di euro (191,5 milioni di dollari); le autorità di protezione dei dati hanno registrato 121.165 notifiche di violazione dei dati

15 Giu 2021

Alessandro Rubino

avvocato

Da quando il GDPR (General Data Protection Regulation) è entrato in vigore, nel maggio 2018, innumerevoli organizzazioni sono finite in prima pagina per le violazioni. Tra queste, British Airways, Marriot International Hotels, Austrian Post, Tim, ma anche enti pubblici come la Regione Lazio. Ecco un’analisi e la classifica delle sanzioni comminate per violazioni del GDPR.

L’aumento delle sanzioni GDPR

Tra gennaio 2020 e gennaio 2021:

  • le sanzioni per violazioni del GDPR sono aumentate di quasi il 40%;
  • le sanzioni previste dal GDPR hanno totalizzato 158,5 milioni di euro (191,5 milioni di dollari);
  • le autorità di protezione dei dati hanno registrato 121.165 notifiche di violazione dei dati (19% in più rispetto al precedente periodo di 12 mesi);

Secondo una ricerca di DLA Piper, nel mese di gennaio 2021 il numero di multe totali segnalate è arrivato a 332 milioni di dollari.

WHITEPAPER
Strategie e tecniche di difesa dagli attacchi: come cambia il Network Security
Sicurezza
Cybersecurity

C’è stato un aumento significativo delle notifiche di violazioni con una media di 331 notifiche al giorno. Le organizzazioni si stanno rendendo conto che le sanzioni GDPR sono serie e stanno facendo un forte sforzo per evitare multe per essere non compliance.

Quali sono le sanzioni del GDPR?

Ci sono due categorie di sanzioni GDPR a cui i regolatori aderiscono, anche se entrambe le categorie sono progettate per garantire che la non conformità sia un errore costoso per le aziende:

  • multe di livello inferiore

Una violazione del GDPR di livello inferiore può comportare multe fino a 11,03 milioni di dollari o il due per cento delle entrate annuali dell’azienda, qualunque sia il maggiore.

  • multe di livello superiore

Una violazione più grave può comportare una multa fino a 22,07 milioni di dollari o il 4 per cento delle entrate annuali dell’azienda, a seconda di quale sia il maggiore.

Queste sono multe pesanti che possono avere un impatto su un’organizzazione di qualsiasi dimensione se vengono trovate in violazione del GDPR.

Dieci criteri da considerare

Le sanzioni del GDPR sono determinate in base a diversi fattori e amministrate dal regolatore della protezione dei dati in ogni paese dell’UE. I dieci criteri che sono tipicamente utilizzati per valutare una violazione del GDPR e determinare l’importo di una multa includono:

  1. Gravità e natura

Questo criterio considera il quadro generale.

Prende in considerazione il numero di persone colpite, i danni subiti e quanto tempo ci è voluto per risolvere la violazione.

  • Intenzione

La violazione è stata intenzionale o il risultato di una negligenza?

  • Mitigazione

L’organizzazione in difetto ha fatto dei tentativi per alleviare il danno subito dalle persone colpite dalla violazione?

  • Misure precauzionali

L’organizzazione aveva delle misure di sicurezza, politiche sulla privacy o protezioni in atto per la conformità al GDPR? I regolatori guarderanno questo sia da un punto di vista organizzativo che tecnico.

  • Storia

L’organizzazione ha una storia di non compliance? Hanno avuto precedenti violazioni del GDPR e, se sì, qual è stata la gravità e la frequenza delle violazioni passate?

  • Cooperazione

L’organizzazione è stata collaborativa durante la scoperta e il rimedio della violazione del GDPR? O c’è stato attrito?

  • Categoria di dati

Che tipo di dati personali colpisce la violazione. Erano informazioni sensibili e qual era il livello di sensibilità?

  • Notifica

L’organizzazione ha segnalato proattivamente la violazione all’Autorità di vigilanza? O c’è stato un ritardo irragionevole?

  • Certificazione

Se l’organizzazione ha seguito o meno i codici di condotta approvati o è stata precedentemente certificata.

  • Fattori aggravanti/attenuanti

Questo criterio riguarda qualsiasi altra questione derivante dalle circostanze del caso, compresi i benefici finanziari ottenuti o le perdite evitate come risultato della violazione.

Le maggiori sanzioni GDPR nel 2020-2021

Questa è la lista aggiornata e attuale delle maggiori sanzioni GDPR comminate fino ad ora, ma l’aggiornamento è costante, indicando la continua attività da parte delle autorità di protezione dei dati.

1. Google: 50 milioni di euro (56,6 milioni di dollari)

La multa di Google è tecnicamente del 2019, l’azienda ha fatto ricorso contro di essa.

Nel marzo 2020, i giudici della massima corte francese per il diritto amministrativo hanno respinto l’appello di Google e confermato la multa da capogiro.

Come la violazione (o le violazioni) avrebbero potuto essere evitate: Google avrebbe dovuto fornire maggiori informazioni agli utenti nelle politiche di consenso e avrebbe dovuto garantire loro un maggiore controllo su come i loro dati personali vengono elaborati.

2. H&M: 35 milioni di euro (41 milioni di dollari)

Il 5 ottobre 2020 l’autorità per la protezione dei dati di Amburgo, in Germania, ha multato H&M con 35.258.707,95 euro – la seconda sanzione più grande GDPR mai imposta.

Le violazioni del GDPR di H&M hanno coinvolto il “monitoraggio di diverse centinaia di dipendenti”. Dopo che i dipendenti hanno preso le ferie o il congedo per malattia, erano tenuti a partecipare a delle riunioni di lavoro. Alcune di queste riunioni erano registrate e accessibili a più di 50 manager di H&M.

Come la violazione (o le violazioni) avrebbero potuto essere evitate: i dettagli della decisione non sono stati pubblicati, ma la gravità della violazione di H&M è chiara.

H&M sembra aver violato il principio di minimizzazione dei dati del GDPR – non trattare le informazioni personali, in particolare i dati sensibili sulla salute e le convinzioni delle persone, a meno che non sia necessario per uno scopo specifico.

H&M avrebbe anche dovuto mettere dei severi controlli di accesso ai dati, e l’azienda non avrebbe dovuto usare questi dati per prendere decisioni sull’impiego delle persone.

3. TIM: 27,8 milioni di euro (31,5 milioni di dollari)

Il 15 gennaio 2020 l’operatore TIM (o Telecom Italia) è stato sanzionato con una sanzione da 27,8 milioni di euro per il GDPR dal Garante, l’autorità italiana per la protezione dei dati, per una serie di infrazioni e violazioni che si sono accumulate negli ultimi anni.

Le infrazioni di TIM includono una serie di azioni illegali, la maggior parte delle quali derivano da una strategia di marketing troppo aggressiva. Milioni di individui sono stati bombardati con chiamate promozionali e comunicazioni non richieste, alcuni dei quali erano su liste di non contatto ed esclusione.

Come la violazione (o le violazioni) avrebbero potuto essere evitate: TIM avrebbe dovuto gestire con più attenzione le liste degli interessati e creare opt-in specifici per le diverse attività di marketing.

4. British Airways: 22 milioni di euro (26 milioni di dollari)

A ottobre, l’ICO ha inflitto a British Airways una multa di 26 milioni di dollari per una violazione che ha avuto luogo nel 2018.

I sistemi di British Airway sono stati compromessi. La violazione ha interessato 400mila clienti e gli hacker hanno messo le mani su dettagli di accesso, informazioni sulle carte di pagamento e PI come nomi e indirizzi dei viaggiatori.

Come la violazione avrebbe potuto essere evitata: secondo l’ICO, l’attacco era evitabile, ma B.A. non aveva misure di sicurezza sufficienti per proteggere i suoi sistemi, reti e dati. In effetti, non avevano nemmeno le basi come l’autenticazione multi-fattore in atto al momento della violazione. In futuro, la compagnia aerea dovrebbe adottare un approccio di sicurezza data-first, investire in soluzioni di sicurezza e assicurarsi di avere politiche e procedure rigorose sulla privacy dei dati.

5. Marriott: 20,4 milioni di euro (23,8 milioni di dollari)

383 milioni di record di ospiti (30 milioni di residenti nell’UE) sono stati esposti dopo che il database delle prenotazioni degli ospiti della catena alberghiera è stato compromesso. Sono stati esposti nomi degli ospiti, indirizzi, numeri di passaporto e informazioni sulle carte di pagamento.

Come la violazione (o le violazioni) avrebbero potuto essere evitate: l’ICO ha scoperto che Marriott non ha eseguito un’adeguata due diligence dopo l’acquisizione di Starwood. Avrebbero dovuto fare di più per salvaguardare i loro sistemi con una strategia di prevenzione della perdita di dati (DLP) più forte e utilizzare metodi di de-identificazione.

L’hack ha avuto origine nel sistema di prenotazione del gruppo Starwood nel 2014. Mentre Marriott ha acquisito Starwood nel 2016, la violazione non è stata rilevata fino a settembre 2018.

6. Wind: 17 milioni di euro (20 milioni di dollari)

Il 13 luglio, il Garante italiano, l’autorità italiana per la protezione dei dati ha imposto una multa di 16.729.600 euro alla società di telecomunicazioni Wind a causa delle sue attività illegali di marketing diretto.

L’azione esecutiva è iniziata dopo che il regolatore italiano ha ricevuto denunce sulle comunicazioni di marketing di Wind Tre.

Wind ha spammato gli italiani con annunci pubblicitari, senza il loro consenso, e ha fornito dettagli di contatto errati, lasciando i consumatori incapaci di annullare l’iscrizione.

Il regolatore ha anche scoperto che le applicazioni mobili di Wind costringevano gli utenti ad accettare il marketing diretto e il tracciamento della posizione e che i suoi partner commerciali avevano intrapreso attività illegali di raccolta dati.

Come le violazioni avrebbero potuto essere evitate: Wind avrebbe dovuto stabilire una base legale valida prima di utilizzare i dati di contatto delle persone per scopi di marketing diretto. Questo probabilmente avrebbe comportato l’ottenimento del consenso dei consumatori – a meno che non potesse dimostrare che l’invio di materiale di marketing era nei suoi “legittimi interessi”.

Per qualsiasi motivo si invii del marketing diretto, è necessario assicurarsi che i consumatori abbiano un modo semplice per annullare l’iscrizione. E dovete sempre assicurarvi che la politica sulla privacy della vostra azienda sia accurata e aggiornata.

7. Facebook: da 7 milioni di euro per pratiche di dati “ingannevoli” in Italia

Facebook è stato nuovamente multato dall’autorità italiana per la concorrenza – questa volta la sanzione è di 7 milioni di euro per non aver rispettato un precedente ordine relativo a come informa gli utenti sugli usi commerciali che fa dei loro dati.

L’AGCM ha iniziato a indagare su alcune pratiche commerciali di Facebook nel 2018, comprese le informazioni fornite agli utenti al momento dell’iscrizione e la mancanza di un opt-out per la pubblicità. Più tardi lo stesso anno ha continuato a multare Facebook per 10 milioni di euro per due violazioni del codice del consumo del paese.

Ma l’azione dell’organo di controllo non si è fermata lì. Ha continuato ad avviare ulteriori procedimenti contro Facebook nel 2020 – dicendo che il gigante tecnologico continuava a non informare gli utenti “con chiarezza e immediatezza” su come monetizza i loro dati.

8. Ministero dello sviluppo economico – sanzione del Garante privacy alla Regione Lazio

Il 14 gennaio 2021 l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha sanzionato la Regione Lazio ordinando il pagamento di 75mila euro per mancata nomina del fornitore come responsabile del trattamento dei dati ai sensi dell’articolo 28 GDPR e violazione del principio di accountability (Registro della decisione n. 9 del 14 gennaio 2021)

ll Garante ha deciso di definire la sanzione pari a 75mila euro per la violazione del principio di accountability (art. 5, comma 2, lettera a del GDPR) e per la mancata designazione della società A quale responsabile del trattamento dei dati ai sensi dell’art. 28 GDPR.

La sanzione amministrativa è stata irrogata alla luce degli elementi previsti dall’art. 85, comma 2, del GDPR, in relazione ai quali il Garante ha rilevato in particolare che: la Regione Lazio non ha designato la società A quale responsabile del trattamento dei dati, e non ha fornito adeguate istruzioni quali dettagli su oggetto, durata, natura e finalità del trattamento, tipologia dei dati personali e categorie di interessati, nonché gli obblighi e i diritti del titolare del trattamento e le adeguate misure di sicurezza da adottare; il trattamento illecito dei dati personali ha avuto una durata particolarmente lunga, in quanto la Regione Lazio ha consentito alla società A di effettuare trattamenti dal 1999 al gennaio 2019, senza un’adeguata base giuridica.

9. Google: 7 milioni di euro (7,9 milioni di dollari)

Il 2020 non è stato un buon anno per Google. A marzo, l’autorità svedese per la protezione dei dati della Svezia (SDPA) ha multato Google per aver dimenticato di rimuovere uno degli elenchi di risultati di ricerca in base alle norme europee sul “diritto all’oblio” ai sensi del GDPR, che la SDPA ha ordinato alla società di fare nel 2017.

Come la violazione (o le violazioni) avrebbero potuto essere evitate: Google avrebbe dovuto soddisfare i diritti degli interessati, in primo luogo il loro diritto all’oblio. Questo è anche noto come il diritto alla cancellazione. Come? Garantendo “un processo per rispondere alle richieste di cancellazione senza indebito ritardo ed entro un mese dal ricevimento”.

10. Iliad Italia: 800mila euro (976mila dollari)

Il 13 luglio, l’Autorità italiana per la protezione dei dati ha multato la società di telecomunicazioni Iliad Italia per 800mila euro per aver trattato i dati personali dei suoi utenti in modo illegale in numerosi modi.

Una problematica era la raccolta da parte di Iliad del consenso per le sue attività di marketing, che il regolatore ha scoperto essere stato “abbinato” con un riconoscimento dei termini e delle condizioni della società. Iliad ha anche omesso di memorizzare i dati di comunicazione dei suoi utenti in modo sicuro.

Come la violazione (o le violazioni) avrebbero potuto essere evitate: il consenso sotto il GDPR è definito in modo molto ristretto. Se hai intenzione di chiedere il consenso di una persona, devi renderlo specifico per una particolare attività. Non “raggruppare” le tue richieste di consenso – per esempio, chiedendo alle persone di accettare il marketing e di firmare un contratto usando una sola casella di spunta.

Iliad sembra non aver implementato adeguati controlli di accesso alle informazioni personali dei suoi utenti. È necessario garantire che le informazioni personali siano accessibili solo sulla base della “necessità di sapere”.

11. Caixabank: 6 milioni di euro (7,2 milioni di dollari)

Questa multa contro la società di servizi finanziari Caixabank è la più grande multa mai emessa dalla DPA spagnola (la AEPD).

L’AEPD ha finalizzato la sanzione di Caixabank il 13 gennaio 2021, battendo il precedente record di sanzione GDPR della Spagna, contro BBVA – emesso solo un mese prima. Questo suggerisce un significativo inasprimento dell’approccio da parte della DPA spagnola.

La prima questione, che rappresenta 4 milioni di euro della multa totale, riguardava il modo in cui Caixabank ha stabilito una “base legale” per utilizzare i dati personali dei consumatori ai sensi dell’articolo 6. In secondo luogo, Caixabank è stata multata di 2 milioni di euro per aver violato i requisiti di trasparenza del GDPR agli articoli 13 e 14.

Come la multa avrebbe potuto essere evitata: l’AEPD ha dichiarato che Caixabank ha fatto affidamento sulla base giuridica dei “legittimi interessi” senza un’adeguata giustificazione. Prima di fare affidamento sui “legittimi interessi”, è necessario condurre e documentare una “valutazione dei legittimi interessi”.

L’azienda ha anche omesso di ottenere il consenso dei consumatori in un modo conforme al GDPR. Se vi affidate al “consenso”, assicuratevi che soddisfi i rigorosi standard “opt in” del GDPR.

L’AEPD ha criticato la politica sulla privacy di Caixabank in quanto fornisce informazioni vaghe e incoerenti sulle sue pratiche di trattamento dei dati. Assicuratevi di usare un linguaggio chiaro nelle vostre informative sulla privacy e mantenetele coerenti tra i siti web e le piattaforme.

12. BBVA (banca): 5 milioni di euro (6 milioni di dollari)

Questa multa contro il gigante dei servizi finanziari BBVA (Banco Bilbao Vizcaya Argentaria) risale all’11 dicembre 2020.

La multa di BBVA è la seconda più grande che la DPA spagnola (la AEPD) abbia mai imposto, e condivide molte somiglianze con la più grande multa di sempre della AEPD, contro Caixabank, emessa il mese successivo.

Come la multa avrebbe potuto essere evitata: L’AEPD ha multato BBVA per 3 milioni di euro per aver inviato messaggi SMS senza ottenere il consenso dei consumatori. Nella maggior parte delle circostanze, è necessario assicurarsi di avere il consenso GDPR-valido per l’invio di messaggi di marketing diretto.

I restanti 2 milioni di euro della sanzione riguardano la politica sulla privacy di BBVA, che non ha spiegato correttamente come la banca ha raccolto e utilizzato i dati personali dei suoi clienti. Assicuratevi di includere tutte le informazioni necessarie ai sensi degli articoli 13 e 14 nella vostra politica sulla privacy.

13. Locatefamily.com

L’Autorità per i dati personali Olandese (AP) ha deciso di imporre una multa amministrativa di 525mila euro a Locatefamily.com, perché nel periodo dal 25 maggio 2018 ad oggi non ha rispettato l’obbligo di designare per iscritto un rappresentante nell’Unione Europea (UE). Locatefamily.com ha quindi violato l’articolo 27, paragrafo 1, in combinato disposto con l’articolo 3, paragrafo 2, del Regolamento Generale Regolamento sulla protezione dei dati (AVG).

14. E.D.P. Energia S.A.U.

La DPA spagnola (AEPD) ha imposto una multa di 1 milione 500mila euro a EDP Energía, S.A.U.. La decisione segue, in particolare, diversi reclami ricevuti per il trattamento dei dati personali senza consenso.

Come ha rilevato l’autorità di protezione dei dati, il responsabile del trattamento non aveva informato gli interessati in conformità con l’art. 13 GDPR al momento della raccolta dei loro dati.

Ciò ha comportato che gli interessati non siano stati informati dei loro diritti ai sensi dell’art. 15 GDPR – Art. 22 GDPR, e i dati di contatto del responsabile del trattamento (ad esempio il suo indirizzo) erano incompleti.

Inoltre, la pratica commerciale dell’azienda le permetteva di concludere contratti con i rappresentanti dei clienti invece che con i clienti direttamente. In questi casi, tuttavia, il responsabile del trattamento non ha verificato se esistesse effettivamente un’autorizzazione a rappresentare gli interessati. La DPA ritiene che il titolare del trattamento non abbia attuato una procedura per verificare l’autorizzazione dei presunti rappresentanti. La sanzione è composta proporzionalmente da 1 milione di euro per una violazione dell’art. 13 GDPR e 500mila euro per la violazione dell’art. 25 GDPR. 25 GDPR.

15. Comune di Enschede

La DPA olandese (AP) ha multato il comune di Enschede per 600mila euro. Nel 2017, il comune ha deciso di installare box di misurazione speciali per misurare la folla nel centro della città di Enschede.

I sensori nelle scatole di misurazione hanno rilevato i segnali Wi-fi dai telefoni cellulari dei passanti e li hanno registrati con un codice.

Sulla base dei codici registrati, è stato possibile calcolare quanto fosse affollato il centro della città.

Tuttavia, questo permetteva anche di tracciare da quale scatola di misurazione passasse un determinato cellulare, rendendo possibile tracciare il movimento dei passanti. Il comune afferma che non è mai stata sua intenzione tracciare i passanti. La DPA ritiene che il tracciamento wifi (anche se non intenzionale) costituisce una grave violazione del GDPR. La DPA conclude che il comune ha tracciato i suoi passanti senza una base giuridica effettiva e quindi ha violato l’art. 5 (1) a) GDPR e l’art. 6 (1) GDPR.

16. Equifax Ibérica, SL.

La DPA spagnola (AEPD) ha imposto una sanzione di 1 milione di euro a Equifax Ibérica, SL.

Un totale di 96 denunce sono state presentate all’AEPD contro il controllore perché aveva incluso i dati personali di persone associate a presunti debiti nell’archivio dei reclami giudiziari e degli enti pubblici (“FIJ”) senza il loro consenso.

In alcuni casi, questi dati non erano nemmeno corretti. Secondo l’autorità per la protezione dei dati, il trattamento dei dati personali degli interessati relativi all’archivio FIJ è stato illegale e ha violato diversi principi di protezione dei dati nel trattamento dei dati (liceità e trasparenza, limitazione delle finalità, minimizzazione dei dati e accuratezza). Inoltre, il responsabile del trattamento non aveva informato correttamente gli interessati sul trattamento dei loro dati, violando così il suo dovere di informarli.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA
R
Alessandro Rubino
avvocato
Argomenti trattati

Approfondimenti

D
data breach
D
data protection
G
GDPR

Articolo 1 di 5