Il GDPR è ormai in vigore da Maggio 2018. Vediamo cos’è cambiato

Cos’è successo?

Il 25 Maggio 2019 il GDPR (General Data Protection Regulation), o più comunemente chiamato Regolamento Europeo per la protezione dei dati personali, ha compiuto il suo primo anno di età.

Anche se realmente risulta essere più vecchio, in quanto è entrato in vigore il 24 Maggio 2016. La commissione Europea, aveva ritenuto opportuno dare 2 anni di tempo ai singoli Stati membri dell’Unione per recepire le nuove disposizioni e adattarsi di conseguenza, ma ora, “il tempo dei giochi è terminato”.

Cos’è accaduto in Italia dopo un anno di GDPR?

In Italia, il periodo di recepimento è stato un po’ più lungo di 2 anni…

L’autorità Garante della privacy ha concesso un periodo di “elasticità” più ampio, infatti nei primi 7 mesi, ha adottato un atteggiamento più morbido nei confronti dei trasgressori, ma ora non ci sono più scuse per coloro che non hanno adempito ai loro doveri.

L’autorità aveva concesso quindi una sorta di “periodo di prova” per lasciare che tutti si adattassero per poi agire con più solerzia, dedicandosi nel frattempo ai casi di infrazione della tutela dei dati personali più gravi.

Il Regolamento UE/2016 ha avuto il merito di aumentare la consapevolezza dei singoli individui sui propri diritti e sui rischi a cui sono sottoposti i loro dati personali, e questa consapevolezza ha fatto sì che nell’ultimo anno siano cresciute le segnalazioni di reclamo e di violazione dei dati tanto che già dopo un solo semestre erano già più di 90 mila i reclami.

Tale aspetto, considerando terminata anche la proroga concessa dal Garante, farà sicuramente cambiare le carte in tavola.

Ovviamente il consiglio è quello di mettersi a norma con il Regolamento.
…e tu sei a norma con la Privacy aziendale? Scopri QuiPrivacy!

Di seguito un elenco dei provvedimenti sanzionatori comminati a seguito della piena applicatività del Regolamento UE 2016/679.

Italia: Garante impone sanzione di 1 milione di euro a Facebook per il caso Cambridge Analytica

28 Giugno 2019
Il Garante italiano ha imposto a Facebook una sanzione di 1 milione di euro per il caso Cambridge Analytica. La sanzione, essendo basata su illeciti del 2016, è stata comminata sulla base del vecchio Codice Privacy e in seguito al provvedimento di gennaio 2019, in cui l’Autorità aveva vietato a Facebook di continuare a trattare illecitamente i dati degli utenti italiani.

Italia: il Garante sanziona un medico che utilizzava i dati dei pazienti per fini elettorali

14 febbraio 2019
Il Garante italiano ha ingiunto a un medico di pagare una sanzione di € 16.000 per aver utilizzato i dati di circa 3.500 ex-pazienti al fine di inviare loro comunicazioni scritte in cui li invitava a votare uno dei candidati delle elezioni del 4 marzo 2018. La responsabilità del professionista si configura sotto due aspetti: innanzitutto non aveva reso alcuna informativa nè al momento della registrazione dei dati, nè alla prima comunicazione (come da precedente Codice Privacy), inoltre aveva utilizzato i dati dei pazienti per finalità diverse da quelle di cura, per cui non aveva richiesto specifico consenso. 

Italia: il ‘NO’ del Garante alle raccolte punti che obbligano a rilasciare il consenso

12 Giugno 2019
Il Garante italiano è intervenuto per limitare l’attività promozionale di Pampers che, attraverso un form online sul proprio sito, di fatto obbligava gli utenti interessati a partecipare alla raccolta punti, a ricevere comunicazioni commerciali sul proprio indirizzo email. I soggetti infatti non potevano esprimere un consenso libero e specifico per le singole finalità di trattamento che la società intendeva svolgere, e non ricevevano adeguate informazioni rispetto alle finalità e alle modalità di trattamento dei loro dati per finalità promozionali.

Italia: società di telemarketing riceve sanzione di 2 milioni di euro

11 aprile 2019
Una società che svolge attività di telemarketing e teleselling tramite “call center” per conto di più committenti ha ricevuto una sanzione di € 2.018.000 a seguito della segnalazione di alcuni interessati. La società si avvaleva di un’azienda albanese per contattare telefonicamente i potenziali clienti al fine di far loro sottoscrivere contratto per la fornitura di energia elettrica e gas. Il Garante ha sottolineato la mancata somminsitrazione di debita informativa agli interessati, il fatto che il loro consenso non fosse stato documentato per iscritto, e la non-designazione della società come responsabile del trattamento, che è risultata così essere di fatto titolare autonomo.

Italia: il Garante sanziona la piattaforma Rousseau

4 aprile 2019
Il Garante italiano per la protezione dei dati ha emesso un provvedimento sanzionatorio di 50.000 euro nei confronti della c.d. “piattaforma Rousseau”, evidenziando ancora significative carenze nei suoi sistemi di sicurezza, nonostante le operazioni di miglioramento del sito intraprese. Il Garante richiede che vengano messe in atto specifiche modifiche tecnico-informatiche, e che venga effettuata una rigorosa valutazione d’impatto sulla protezione dei dati “specificamente riferita alle funzionalità di e-voting attribuite alla piattaforma”.

………………………………………….
Belgio: multa di € 10.000 per uso sproporzionato della carta d’identità elettronica in cambio di una carta fedeltà

19 Settembre 2019
L’Autorità belga ha imposto una sanzione di € 10.000 a un commerciante che aveva richiesto la lettura della carta d’identità elettronica come unico mezzo per l’emissione di una carta fedeltà. Il documento di identità infatti contiene dati in misura molto maggiore rispetto a quelli necessari per la creazione della carta, e il loro trattamento risulterebbe sproporzionato rispetto al fine. Si tratta quindi di una violazione del principio di minimizzazione, e dell’assenza di un consenso valido, in quanto l’utente non aveva una reale alternativa. Infatti, gli utenti che non avessero voluto utilizzare a questo scopo la propria carta d’identità, non avrebbero avuto accesso agli sconti dedicati ai clienti in possesso di fidelity card.

………………………………………….
Polonia: il Garante impone la sanzione GDPR più alta di sempre per maxi data breach

19 Settembre 2019
Il Garante polacco per la protezione dei dati ha annunciato la multa più alta finora emessa per violazioni del GDPR: circa 645.000 euro (2,8 milioni di PLN) nei confronti del rivenditore online Morele.net, il quale aveva subito un massiccio data breach che aveva interessato oltre 2,2 milioni di utenti. Il retailer ha ricevuto la sanzione per non aver posto in essere le necessarie misure di sicurezza per tutelare i dati dei clienti.

………………………………………….
UK: multata una società che effettuava chiamate commerciali senza il consenso degli interessati

18 Settembre 2019
L’ICO ha emesso una sanzione pecuniaria di 150.000 dollari nei confronti di Superior Style Home Improvements Ltd per aver effettuato chiamate commerciali per un periodo di 11 mesi a persone i cui numeri sono stati registrati presso il servizio di preferenze telefoniche (TPS) e che non avevano dato il loro consenso a riceverle. 

………………………………………….
Lettonia: il Garante sanziona un rivenditore online

3 Settembre 2019
Il Garante lettone (Data State Inspectorate, DSI) ha imposto una sanzione di 7.000 euro a un rivenditore online per la non conformità al GDPR per quanto riguarda il diritto di cancellazione dei dati del soggetto interessato (l’azienda avrebbe ignorato le ripetute richieste di un utente di cancellare i propri dati), e per la non cooperazione con l’autorità di controllo. Nello stabilire la sanzione, l’Autorità ha tenuto in considerazione anche la gravità della violazione, il numero dei soggetti interessati e il fatturato del precedente anno.

………………………………………….
Bulgaria: sanzione di 2,6 milioni all’ Agenzia delle Entrate per violazione dei dati di 4 milioni di contribuenti

2 Settembre 2019
Il presidente del Garante bulgaro, Ventsislav Karadjov, ha reso noto che imporrà una sanzione di circa 2,6 milioni di euro all’Agenzia delle Entrate, la quale ha subito un data breach che ha impattato 4,1 milioni di contribuenti. L’Autorità ha tenuto in conto le responsabilità dell’Agenzia nel denunciare la violazione e contattare le persone interessate, oltre all’elevato numero di dati in questione. L’Agenzia si è difesa affermando che l’accesso non autorizzato ai dati e la loro estrazione hanno avuto luogo nonostante le misure di sicurezza adottate e che presenterà ricorso.

………………………………………….
USA: YouTube verso multa da 200 milioni di dollari per violazione della normativa che tutela la privacy dei bambini

30 Agosto 2019
Google avrebbe accettato di pagare un somma di 200 milioni di dollari per chiudere il procedimento aperto dalla Federal Trade Commission contro YouTube, che ha violato le norme di tutela della privacy dei bambini, avendo raccolto i loro dati senza il consenso dei genitori, al fine di inviargli pubblicità estremamente mirata. Questa sanzione rappresenta l’importo massimo finora comminato in violazione del Children Online Privacy Protection Act, il quale vieta ai servizi online di raccogliere i dati personali dei bambini sotto 13 anni. 

………………………………………….
Bulgaria: multata banca per violazione dei dati di oltre 33.000 clienti

28 Agosto 2019
La banca bulgara DSK Bank ha ricevuto una sanzione di 1 milione di lev (più di 500.000 euro) per una violazione dei dati personali appartenenti a oltre 33.000 clienti. Trattavasi in nomi e cognomi, indirizzi, copie di documenti di identità e altre informazioni personali di persone che avevano richiesto dei prestiti alla banca. La sanzione è arrivata per la mancanza adozione di misure tecniche e organizzative adatte a proteggere la riservatezza dei dati personali dei propri clienti. 

………………………………………….
Svezia: prima multa del Garante a una scuola che utilizzava il riconoscimento facciale sugli alunni

21 Agosto 2019
La DPA svedese ha emesso la sua prima multa (200,000 SEK) a una scuola superiore che ha utilizzato il riconoscimento facciale per testare la partecipazione degli studenti alle lezioni. Il consiglio del liceo ha affermato di aver chiesto il consenso agli studenti per utilizzare i loro dati biometrici per il riconoscimento facciale, ma l’Autorità ha ritenuto che il consenso non fosse una base giuridica adeguata poiché gli studenti sono in una posizione di dipendenza rispetto al consiglio scolastico, e che inoltre ci fossero modi meno invasivi della privacy per rilevare le presenze scolastiche.

………………………………………….
Grecia: 150.000 euro di sanzione a un datore di lavoro che trattava i dati dei dipendenti in violazione del GDPR

30 Luglio 2019
L’Autorità ellenica per la Protezione dei dati ha recentemente comminato una sanzione da 150.000 euro a un datore di lavoro che trattava illecitamente i dati dei propri dipendenti. Infatti la scelta della base legale del trattamento (Articolo 5(1)) era inappropriata, e il trattamento stesso si è rivelato essere scorretto e non trasparente, dal momento che ai dipendenti veniva comunicato che i loro dati erano trattati sulla base del consenso, mentre erano trattati in forza di una base legale di cui essi non erano mai stati informati. Il datore di lavoro, inoltre, aveva violato il principio di accountability, trasferendo l’onere di provare la conformità ai soggetti interessati.

………………………………………….
Francia: la CNIL ha emanato una sanzione di € 180.000 nei confronti di una società di assicurazioni per non aver protetto adeguatamente i dati degli utenti del proprio sito Web

18 Luglio 2019
Nel giugno 2018, il CNIL ha ricevuto un rapporto da un cliente dell’azienda che indicava che, dal suo account, era stato in grado di accedere ai dati personali di altri clienti.
Un controllo online ha rivelato che gli account dei clienti dell’azienda erano accessibili tramite collegamenti ipertestuali referenziati su un motore di ricerca. I documenti e i dati dei clienti erano accessibili anche modificando i numeri alla fine degli URL visualizzati nel browser. Questi documenti includevano copie di patenti di guida, carte di registrazione, documenti di identità bancari e documenti per determinare se una persona fosse stata oggetto di un ritiro della patente o di un incidente.
Sulla base delle indagini condotte, la CNIL ha ritenuto che la società avesse violato l’obbligo di garantire i dati personali previsto dall’articolo 32 del GDPR, di conseguenza ha imposto una multa di 180.000 euro. In particolare, ha tenuto conto della gravità della violazione, a causa della natura dei dati e dei documenti in questione. Ha inoltre tenuto conto del numero di persone interessate, in quanto la mancanza di sicurezza ha influito sui conti di diverse migliaia di clienti e persone che avevano risolto il contratto con la società. La CNIL, tuttavia, ha tenuto conto della capacità di risposta dell’azienda nella correzione della mancanza di sicurezza e della sua cooperazione con i servizi della CNIL.

………………………………………….
UK: sanzione da oltre £99 milioni in arrivo per Marriott’s per data breach 

9 Luglio 2019
ICO ha notificato l’intenzione di sanzionare l’hotel Marriott £99,200,396 per il data breach notificato a novembre 2018, causato da un’insufficiente due diligence nelle misure di sicurezza a protezione dei dati dei clienti. I dati violati appartenevano a 339 milioni di ospiti provenienti da tutto il mondo, di cui circa 30 milioni appartenenenti a residenti nello spazio economico europeo, e 7 milioni di residenti nel Regno Unito.

………………………………………….
UK: maxi multa a British Airways per data breach

8 Luglio 2019
La British Airways è stata sanzionata dall’ICO (Garante britannico) per 138 milioni di sterline (204 milioni di euro) a seguito dell’attacco hacker, subito l’anno scorso, in cui erano state copiate le coordinate delle carte di credito di 380mila passeggeri. La multa rappresenta l’1,5% del fatturato globale della compagnia nel 2017. La società, dal canto suo, si dichiara stupita rispetto alla decisione dell’ICO in quanto ha fatto il possibile per rimediare prontamente all’accaduto.

………………………………………….
Romania: la prima multa a una banca per violazione del principio di minimizzazione

27 Giugno 2019
La prima sanzione imposta dal Garante rumeno ricade su banca Unicredit, per violazione dell’art. 25 (principio di protezione dei dati by design e by default) e del principio di minimizzazione, ed ammonta a 130.000 euro. La violazione riguarda il fatto che i beneficiari dei pagamenti potevano vedere tramite estratto conto alcuni dati dell’ordinante che andavano oltre quanto necessario, come ad esempio il loro indirizzo e il codice fiscale.

………………………………………….
UK: ICO sanziona compagnia che inviava agli utenti SMS commerciali senza il loro consenso

18 Giugno 2019
L’ICO ha imposto una sanzione di £100.000 alla compagnia di telecomunicazioni ‘EE Limited’, che aveva mandato nel 2018 oltre 2,5 milioni di sms di marketing diretto ai suoi clienti senza avere il loro consenso. La compagnia si è difesa affermando che si trattava di messaggi di servizio, ma l’ICO ha rilevato un chiaro contenuto promozionale di prodotti e servizi offerti dall’azienda, e ha ricordato che le aziende che inviano contenuti promozionali devono agire in conformità alle leggi applicabili, o rischiano multe fino a £500.000.

………………………………………….
Francia: azienda riceve 20.000 euro di sanzione per videosorveglianza sproporzionata dei dipendenti

18 Giugno 2019
La Commissione nazionale di informatica e libertà (CNIL) ha imposto una sanzione di 20.000 euro ad una società per aver istituito un sistema di videosorveglianza che poneva i suoi dipendenti sotto costante sorveglianza. L’azienda inoltre non aveva fornito adeguata informatica ai dipendenti, e non aveva implementato adegaute misure di sicurezza informatiche. L’azienda aveva già subito controlli negli anni precedenti, ma le violazioni erano continuate nonostante le raccomandazioni, da cui la decisione della sanzione.

………………………………………….
Spagna: la Liga riceve sanzione di 250.000 euro

12 Giugno 2019
La lega calcistica spagnola Liga è stata sanzionata con una multa di 250mila euro dal Garante spagnolo perché l’app ufficiale attivava il microfono ed il GPS degli smartphone sui quali era installata senza informare gli utenti. Ciò veniva fatto per verificare se il proprietario del telefono stesse guardando la partita in un locale dotato di abbonamento ufficiale o se utilizzava un canale di streaming pirata. La Liga ha fatto sapere che farà ricorso.

………………………………………….
Francia: azienda riceve 400.000 euro di sanzione per non aver protetto adeguatamente i dati degli utenti del proprio sito web

6 Giugno 2019
A seguito della denuncia di un individuo, la CNIL ha imposto una sanzione di 400.000 euro nei confronti di una società di gestione immobiliare, che ha protetto in modo insufficiente i dati degli utenti del suo sito web. Infatti, l’utente poteva accedere, dal proprio account personale sul sito, ai documenti salvati da altri utenti modificando leggermente l’URL visualizzato nel browser. Le violazioni contestate sono la non conformità ai requisiti di sicurezza previsti dall’articolo 32 del GDPR, e il fatto che i dati fossero conservati oltre i tempi necessari per l’espletamento delle attività di trattamento.

………………………………………….
Belgio: il Garante sanziona un sindaco per trattamento illecito a fini elettorali

29 Maggio 2019
L’autorità per la protezione dei dati del Belgio (DPA) ha annunciato l’imposizione di una sanzione di 2000 € ad un singolo per trattamento illecito dei dati. Il sindaco non avrebbe rispettato il principio di limitazione delle finalità di trattamento dei dati, in quanto aveva ottenuto dei dati (in questo caso indirizzi di posta elettronica) nell’ambito di un progetto di pianificazione urbana che aveva poi riutilizzato a fini di campagna elettorale. Nel quantificare la sanzione, il DPA ha tenuto in considerazione il numero limitato di persone colpite, la natura, la gravità e la durata dell’illecito. Si tratta della prima sanzione comminata dal DPA sulla base del GDPR.

………………………………………….
Lituania: azienda riceve sanzione per mancata notifica del data breach e trattamento eccedente le finalità

16 Maggio 2019
Sanzione amministrativa di € 61.500 imposta dall’autorità lituana alla società MisterTango per violazioni degli articoli 5, 32 e 33 del GDPR. La società, che fornisce servizi di pagamento a livello internazionale a privati e imprese, ha elaborato dati personali dei propri clienti in maniera eccedente rispetto alle finalità, e non rispettando i tempi di conservazione stabiliti. L’indagine dell’autorità di controllo, in particolare, si è svolta in seguito a una violazione della sicurezza nel servizio di avvio dei pagamenti, che ha portato alla divulgazione sul web di elenchi di pagamenti effettuati dai clienti e non è stata correttamente notificata all’autorità di vigilanza.

………………………………………….
UK: azienda riceve multa di £120,000 per aver inviato 3,5 milioni di sms di marketing diretto

7 Maggio 2019
Il Garante UK ha sanzionato un’azienda che, servendosi di terze parti, aveva inviato 3.560.211 sms di marketing diretto senza avere un consenso conforme. Hall and Hanley sostiene di aver ottenuto il consenso tramite la sottoscrizione degli utenti a quattro siti. Tuttavia, L’ICO fa notare che solo su due di questi era nominata la compagnia in questione, e che in ogni caso le persone erano obbligate a lasciare i propri dati per poter effettuare la registrazione ai siti, il che non è conforme alla legge.

………………………………………….
Polonia: l’Autorità garante ha sanzionato una società per non aver informato gli interessati sul trattamento dei loro dati

26 marzo 2019
L’autorità polacca per la protezione dei dati personali, ha inflitto a una società una sanzione da 943.000 zloty polacchi, pari a 220.000 euro, per aver violato le prescrizioni dell’articolo 14 del Regolamento non informando sei milioni di persone riguardo al trattamento dei propri dati.  Il responsabile del trattamento non aveva infatti informato gli interessati, precludendo loro la possibilità di esercitare i diritti previsti dal GDPR, tra cui quello di opposizione. Secondo l’UODO, la società era consapevole dell’obbligo di fornire informazioni direttamente alle persone, da cui l’ammontare della sanzione.

………………………………………….
UK: l’ICO sanziona sito che condivideva i dati personali di neomamme con agenzie di marketing

12 aprile 2019
Il sito per neo- e future mamme ‘Bounty’ è stato sanzionato dall’ICO per aver condiviso i loro dati personali con 39 organizzazioni, tra cui le agenzie di marketing Acxiom, Equifax, Indicia e Sky, per finalità di marketing diretto. Bounty ha condiviso 34 milioni di dati di natura particolarmente sensibile, appartenenti sia a neomamme, sia ai loro bambini, compresi sesso e data di nascita. Il Garante reputa la violazione particolarmente grave sia per il numero di dati condivisi, sia per il fatto che Bounty non è stato trasparente rispetto all’intenzione di utilizzarli e condividerli con terzi per finalità di marketing. Alla luce del fatto che la violazione si era verificata tra giugno e aprile 2018 quando era ancora in vigore il Data Protection Act, il Garante ha comminato una sanzione di 400.000 sterline, che sarebbe potuta essere molto più alta nel caso in cui si fosse verificata dopo il 25 maggio 2018.

………………………………………….
UK: l’ICO sanziona una casa produttrice di documentari per aver ripreso illecitamente le pazienti di una clinica

10 aprile 2019
Il Garante Britannico ha sanzionato con una multa di 120,000 £ la True Vision Products per aver ripreso illegittimamente con telecamere CCTV (provviste di microfono) le pazienti di una clinica che si occupa di maternità. La TVP era autorizzata dalla clinica ad effettuare videoriprese per realizzare un documentario sulle still birth, ossia le morti intrauterine  (ed in quanto tale è stata qualificata dall’ICO come titolare dei dati delle pazienti). L’ICO ha deciso di sanzionare la TVP per non aver informato adeguatamente le pazienti e non aver richiesto loro il consenso ad essere riprese. La TVP aveva infatti solamente affisso dei cartelli e lasciato dei flyer sopra i tavoli posti nella sala d’aspetto della clinica. In più, nel caso in cui una paziente avesse voluto revocare il suo consenso alle riprese, non vi era alcun modo di interrompere le riprese, se non tramite esplicita richieta di essere assistita in una stanza sprovvista di telecamere.

………………………………………….
UK: società pensionistica viene multata per aver inviato quasi 2 milioni di email di spam 

26 marzo 2019Una società pensionistica del Kent ha ricevuto una multa di £ 40.000 per aver inviato (tramite un soggetto terzo) quasi 2 milioni di email di marketing diretto senza il consenso degli interessati, tra il 31 ottobre 2016 e il 31 ottobre 2017. L’azienda avrebbe addirittura richiesto il parere di un consulente privacy e di un legale, che avrebbero dato il loro parere positivo alla campagna. L’ICO sottolinea che nonostante questo, la responsabilità di essere conformi alla legge rimane dell’azienda e che si sarebbero dovuti rivolgere direttamente all’Autorità garante per ricevere chiarimenti (in modo gratuito) sulla fattibilità e i rischi di questo tipo di campagna. In linea generale, ICO ribadisce che per legge non possono essere inviate mail a chi non abbia dato il consenso, e che ciò è vero anche per chi dovesse utilizzare terzi per fare marketing diretto.

………………………………………….
Danimarca: multa di 160.000 euro a una società per violazione del principio di minimizzazione

25 marzo 2019
Il Garante danese ha raccomandato una multa di 1.2 corone (circa 160.000 euro) nei confronti di una società di taxi che ha conservato alcuni dati dei propri clienti per un tempo superiore ai 2 anni indicati nella propria privacy policy. La società avrebbe infatti cancellato i nomi e gli indirizzi degli interessati, mantenendo tuttavia i loro numeri di telefoni per una presunta difficoltà di cancellare gli stessi dal sistema informatico. Il Garante non ha ritenuto la giustificazione valida e ha inoltre rilevato una anonimizzazione solo parziale dei dati; attraverso il numero di telefono era infatti ancora possibile risalire all’identità degli interessati. La sanzione è significativa in quanto ammonta al 2,8% del fatturato annuale dell’azienda in questione, dimostrando la volontà del Garante di avvicinarsi a quel 4% massimo contemplato dal GDPR.

………………………………………….
Norvegia: il Garante sanziona un comune per violazione dei requisiti GDPR

18 marzo 2019
Il Comune norvegese di Bergen è stato sanzionato dalla Norwegian Data Protection Authority per 1.600.000 NOK (circa 160.000 euro) per una falla nella piattaforma utilizzata, che ha reso accessibili a studenti e personale di una scuola file contenenti username e password appartenenenti a più di 35.000 studenti, e altri dati personali come indirizzi e numeri di previdenza sociale, violando così i requisiti di sicurezza previsti dal GDPR.

………………………………………….
USA: multa di $5,7 mil a TikTok per aver raccolto dati personali di minori sotto i 13 anni senza il consenso dei genitori

27 febbraio 2019
La Federal Trade Commission (Autorità statunitense per la protezione dei consumatori) ha stabilito che TikTok, social network di clip musicali, dovrà pagare una multa di $5,7 milioni per aver raccolto dati personali di minori sotto i 13 anni senza richiedere il consenso dei genitori. Il sito infatti richiedeva di inserire nome e cognome, username, indirizzo email, oltre a una breve biografia e una foto profilo. Oltre alla sanzione, TikTok dovrà anche rimuovere i video di tutti gli utilizzatori con meno di 13 anni d’età.

………………………………………….
Ungheria: prime sanzioni GDPR

15 febbraio 2019
L’Autorità Nazionale per la libertà d’informazione ungherese (NAIH) ha recentemente adottato due decisioni riguardanti la violazione delle regole di protezione dei dati. Le identità delle due compagnie non sono state rese note, ma una di esse sembra aver ricevuto una sanzione di EUR 3,135 (HUF 1.000.000), rappresentante il 6,5% del suo fatturato annuo, per aver violato il principio del diritto di accesso. Il secondo caso riguarda una banca che ha divulgato illecitamente dei dati in seguito a un errato inserimento, la quale non ha tuttavia ricevuto una sanzione.

………………………………………….
Francia: Il CNIL impone una sanzione di 50 mln euro a Google

21 gennaio 2019
Il Comitato ristretto della CNIL, Autorità Garante francese, ha imposto una sanzione pecuniaria di 50 milioni di euro nei confronti della società GOOGLE LLC, in conformità al regolamento generale sulla protezione dei dati (GDPR), per mancanza di trasparenza, informazioni inadeguate e mancanza di consenso valido in merito alla personalizzazione degli annunci.

………………………………………….
Francia: Sanzioni per mancata tutela della sicurezza dei dati

27 dicembre 2018
Ingenti sanzioni da € 250.000 per una compagnia telefonica francese che non ha rispettato l’obbligo di assicurare la sicurezza dei dati personali degli utenti del suo sito.

………………………………………….
Francia: Sanzioni per mancata tutela della sicurezza dei dati

27 dicembre 2018
Ingenti sanzioni da € 250.000 per una compagnia telefonica francese che non ha rispettato l’obbligo di assicurare la sicurezza dei dati personali degli utenti del suo sito.

………………………………………….
Germania: social network ‘Knuddels’ riceve sanzione per non aver implementato adeguate misure di sicurezza

22 novembre 2018
Il Garante per la Privacy dello stato di Baden Württenberg ha reso noto di aver condannato nel mese di settembre il social network Knuddels, al pagamento di € 20.000 per aver violato l’art. 32 del GDPR. Il sito infatti, non aveva implementato misure di sicurezza adeguate e ha così subito il leak di quasi 2 milioni di username/password e di più di 800 mila e-mail, oltre ad indirizzi di residenza degli utenti ed altri tipi di dati. La società ha prontamente informato l’Autorità e gli utenti, cosa che ha evitato che l’importo della sanzione fosse molto più alto.

………………………………………….
Portogallo: ospedale riceve multa di 400.000 euro per aver reso disponibili dati dei pazienti a personale non autorizzato

18 luglio 2018
Il centro ospedaliero Centro Hospitalar Barreiro Montijo ha ricevuto dal Garante portoghese una sanzione di € 400.000 per il trattamento dei dati sanitari dei pazienti, quindi dati particolari ai sensi dell’art. 9 del Reg. 679/2016. L’Autorità ha contestato diversi aspetti: violazione del principio di minimizzazione, a causa dell’accesso indiscriminato ai dati personali e particolari dei pazienti anche di personale non autorizzato, violazione del principio di riservatezza e integrità, e mancanza di misure tecniche e organizzative che consentissero un monitoraggio costante del flusso di trattamento dei dati.