lunedì 20 luglio 2020

Relazione annuale del Garante della protezione dei dati del 2019: focus sull’attività ispettiva e sanzionatoria

La relazione annuale del Garante della protezione dei dati costituisce un momento di sintesi di tutta l’attività svolta dall’Autorità, che è stata particolarmente complessa durante il primo anno successivo all’applicazione del GDPR.

Con la relazione del 2019 il Garante ha, tra le altre cose, evidenziato l’impatto che il GDPR ha avuto a livello ispettivo e sanzionatorio. L’attività di controllo ha beneficiato della consolidata collaborazione con la Guardia di Finanza, già oggetto di un protocollo di intesa che dovrebbe essere aggiornato nel corso del 2020, con un incremento delle risorse messe a disposizione dalla Guardia di Finanza presso l’Autorità.

Quali sono state le aree particolarmente attenzionate nell’ambito dell’attività ispettiva e sanzionatoria?

Dalla relazione si evince che l’attività di ispezione nel 2019 si è indirizzata, in particolare, nei confronti di società che trattano i dati per attività di marketing e profilazione degli interessati che aderiscono a carte di fidelizzazione, nei confronti di istituti bancari, delle società di food delivery, di società che trattano i dati personali mediante applicativi per la gestione delle segnalazioni di condotte illecite (cd. whistleblowing) e nei confronti di società private che trattano dati in ambito sanitario.

A seguito dei controlli ispettivi l’Autorità ha reso noto di aver adottato provvedimenti cautelari (blocco e divieto) per inibire i trattamenti illeciti di dati riscontrati, prescrivendo altresì le misure necessarie per rendere il trattamento conforme alla legge e successivamente verifiche sullo stato di attuazione di tali misure, al fine di prevenire futuri illeciti (attività preventiva).

In relazione alle istruttorie effettuate nel 2019 il Garante ha reso noto di aver trasmesso n. 9 segnalazioni di violazioni penali all’Autorità giudiziaria per inosservanza di un provvedimento del Garante, falsità nelle dichiarazioni al Garante; accesso abusivo ad un sistema informatico o telematico. E’ interessante rilevare che le 32 violazioni in relazione alle quali sono stati avviati procedimenti sanzionatori nel 2019 hanno riguardato casi di trattamento di dati senza il consenso degli interessati, diffusione di dati sui siti internet delle p.a., comunicazioni elettroniche indesiderate, omessa o inidonea informativa all’interessato, casi di omessa o incompleta notificazione di un data breach, casi di omessa adozione delle misure minime di sicurezza.

Relativamente alle suddette ordinanze-ingiunzione adottate dall’Autorità, quest’ultima ha voluto ricordare alcuni provvedimenti che ha definito significativi per la rilevanza economica delle sanzioni comminate e per il considerevole numero di interessati coinvolti, primo tra tutti il provvedimento adottato nei confronti di Facebook.

Con l’ordinanza-ingiunzione del 14 giugno 2019, n. 134 il Garante ha applicato a Facebook Ireland e Facebook in solido, una sanzione di un milione di euro per violazioni emerse nel corso dell’istruttoria relativa al caso Cambridge Analytica. Da tale istruttoria è emerso infatti che 57 utenti italiani avevano scaricato l’app Thisisyourdigitallife attraverso la funzione “Facebook Login” e che, in base alla possibilità consentita da questa funzione di condividere i dati degli “amici”, l’applicazione aveva poi acquisito i dati di ulteriori 214.077 utenti italiani, senza che questi l’avessero scaricata, fossero stati informati della cessione dei loro dati e avessero espresso il proprio consenso a questa cessione.

Con il secondo provvedimento dell’11 aprile 2019, n. 95, il Garante ha reso noto di aver comminato una sanzione di oltre due milioni di euro ad una società italiana che aveva svolto, tramite un call center operante in Albania, attività di telemarketing e teleselling per conto di una società del settore energetico senza aver reso alcuna informativa alle persone contattate e senza acquisire il consenso al trattamento dei dati personali per finalità di marketing. La sanzione – ha precisato l’Autorità - è stata definita cumulando ogni violazione contestata per singolo interessato e tenendo conto della gravità della condotta della società, posta in essere in un quadro di disinteresse e unilaterale semplificazione della disciplina nazionale in tema di informativa e consenso nei trattamenti per finalità promozionali.

Si evince, infine, dalla relazione, che nell’anno 2019 sono stati riscossi a carico dei soggetti nei cui confronti sono stati avviati procedimenti sanzionatori amministrativi complessivamente 2.972.363 euro. Si tratta di sanzioni pecuniarie sicuramente di particolare rilievo rispetto all’esperienza pregressa.