Abbiamo già visto l’importanza del Regolamento Generale sulla Protezione dei Dati (GDPR), ovvero il Regolamento Europeo 2016/679 che chiarisce come i dati personali degli utenti debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.
È necessario che gli utenti si sentano al sicuro soprattutto in questo delicato periodo storico, dove il digitale fa sempre più parte della quotidianità: dallo studio al passatempo, dal lavoro alla ricerca.
Nel merito, i dati personali nel contesto del GDPR sono informazioni relative a una persona vivente identificata o identificabile. Perciò, sono dati che, se raccolti insieme, possono portare alla sua identificazione.
Alcuni esempi includono:
- dati identificativi – nomi, dati genetici, biometrici o inerenti la salute;
- dati web – indirizzi IP, indirizzi email personali, opinioni politiche e orientamento sessuale.
Per questo è necessario che le modalità di trattamento dei dati personali da parte delle aziende pubbliche e private siano chiare e avvengano nel rispetto della normativa.
L’obiettivo del GDPR è proprio quello di rafforzare la protezione di questi dati, tutelando il diritto delle persone ad avere il controllo totale delle informazioni che le riguardano.
In merito alla gestione poco chiara della privacy e dei dati personali degli utenti, il Garante europeo per la protezione dei dati (GEPD) ha dovuto analizzare due casi importanti in questi primi mesi del 2021.
- Il futuro aggiornamento della privacy di WhatsApp, ormai posticipato a maggio.
- Il portale dei tamponi del Parlamento Europeo accusato di non rispettare il GDPR.
Il ruolo del GEPD è quello di garantire che le istituzioni e gli organi dell’UE, come anche WhatsApp e il Parlamento Europeo, rispettino il diritto dei cittadini al trattamento riservato dei dati personali.
Abbiamo già affrontato insieme il primo tema. Pertanto, oggi analizziamo come il portale del Parlamento Europeo sia finito nel mirino di alcuni europarlamentari.
Le denunce al portale del Parlamento Europeo
Secondo la prima denuncia a ottobre da parte di sei europarlamentari e un’altra nel mese di gennaio, il sito per la prenotazione dei tamponi per verificare la positività al Coronavirus avrebbe scambiato i dati personali degli utenti con terze parti che hanno sede negli Stati Uniti.
In altre parole, il sito avrebbe condiviso dati sensibili degli utenti con fornitori americani senza aver ottenuto l’esplicito consenso, quindi in maniera non conforme a quanto previsto dal GDPR.
Inoltre i banner sui cookie non darebbero una piena comprensione dell’uso dei dati delle persone che, dando il proprio consenso, non potevano pienamente comprendere cosa sarebbe successo ai loro dati.
I dati condivisi non sarebbero di natura sanitaria, ma si tratterebbe di oltre 150 risposte a richieste di dati provenienti da servizi di terze parti negli USA.
Tuttavia sappiamo come il trasferimento di dati personali sia soggetto a condizioni molto rigorose che, in questo caso, non sembrano essere state rispettate.
Vediamo perciò quali potrebbero essere le sanzioni previste per la violazione della privacy.
Le sanzioni del GDPR per la violazione della privacy
I soggetti che possono essere coinvolti nella violazione della privacy sono:
- il titolare del trattamento;
- il responsabile del trattamento;
- l’organo di certificazione.
Il GDPR non indica un importo minimo delle sanzioni, ma stabilisce dei criteri per cui la sanzione deve essere effettiva, dissuasiva e proporzionata.
L’importo della sanzione va infatti calcolato in base alla gravità del danno, alla combinazione di più violazioni, alle misure prese dal titolare o dal responsabile per attenuare il danno agli interessati e tanto altro.
È in funzione di questi criteri che l’autorità di controllo valuta caso per caso l’importo delle sanzioni amministrative e pecuniarie, sanzioni previste per la violazione del GDPR.
Sanzioni amministrative e pecuniarie
Il regolamento europeo suddivide le violazioni della privacy in due categorie.
La prima è la violazione di tipo meno grave che prevede un’ammenda fino a 10 milioni di euro, o una sanzione amministrativa fino al 2 % del fatturato dell’impresa.
Rientrano in questa categoria le violazioni relative alle modalità di esecuzione del trattamento dati prescritte dal GDPR.
La seconda riguarda le violazioni della privacy più gravi che prevedono una multa fino a 20 milioni di euro, o una sanzione amministrativa fino al 4% del fatturato dell’impresa.
Rientrano in questa categoria le violazioni ai principi generali stabiliti dal GDPR, come:
- l’assenza del consenso al trattamento;
- la violazione dei diritti dell’interessato;
- la mancanza o inidoneità dell’informativa sulla privacy;
- la violazione delle disposizioni circa il trasferimento dei dati a Paesi Terzi.
Pertanto, la condivisione dei dati sensibili degli utenti con fornitori americani senza aver ottenuto l’esplicito consenso potrebbe rientrare in questa seconda categoria.
In ogni caso, il trattamento dei dati da parte del portale verrà analizzato attentamente dal Garante europeo per poter valutare il rispetto del GDPR, ed eventualmente anche la gravità e l’importo delle sanzioni.
Avv. Ignazio Ballai
