Cosa è successo dall'introduzione del GDPR?

Il ²⁵ maggio 2018, quasi dieci mesi fa, il Regolamento Europeo generale sulla protezione dei dati è entrata in vigore. Dopo l'enorme clamore causato dall'introduzione, ci si potrebbe chiedere se il nuovo regolamento abbia avuto alcun effetto. In effetti sono successe molte cose, sono state comminate multe e diffide e sono state intentate molte querele.

Per darti una panoramica di dove vengono violati i problemi di protezione dei dati, abbiamo raccolto multe, cautele e azioni legali in sospeso basate sul GDPR.

Sanzioni inflitte in base al GDPR

Caso 1: furto di dati utente – Germania

La piattaforma di chat "Knuddels" è stata violata e le password, gli pseudonimi e gli indirizzi e-mail sono stati rubati poiché queste informazioni sono state archiviate non crittografate. L'archiviazione non crittografata dei dati è una protezione insufficiente dei dati personali. Ciò viola il principio di privacy by default e privacy by design richiesto dal GDPR.

La sanzione comminata in questo caso ammonta a 20.000 euro.
Fonte: furto di dati utente – Germania (tedesco)

Caso 2: Pubblicazione di dati sanitari – Germania

Probabilmente a causa di un errore involontario, i dati sanitari personali sono diventati accessibili online. (Non sono stati divulgati ulteriori dettagli su questo caso.) Anche in questo caso, il principio di privacy by default e privacy by design è stato violato perché sono state prese misure di protezione inadeguate.

La multa qui ammontava a 80.000 euro.
Fonte: Pubblicazione dati sanitari – Tedesco ( tedesco )

Caso 3: approvazione utente mancante/errata da parte di Google – Francia

La multa più alta fino ad oggi è stata inflitta a Google. Questa causa è stata intentata il giorno in cui il GDPR è entrato in vigore. In questo caso, la sanzione era basata sulla violazione del dovere di informazione e trasparenza e sulla mancanza di una base giuridica per utilizzare la pubblicità personalizzata.

In questo caso la sanzione comminata ammonta a 50.000.000 di euro.
Quelle: la mancanza di approvazione dell'utente da parte di Google
Comunicazione ufficiale della CNIL (Autorità francese per la protezione dei dati)

In totale, dall'entrata in vigore del GDPR, in Germania sono state comminate 41 sanzioni di importo compreso tra 15.000 e 100.000 euro . Le sanzioni sono state giustificate da una serie di fattori:

• misure tecniche e organizzative inadeguate sono state adottate da un hotel che non ha potuto escludere la possibilità che i dati della carta di credito o altri dati del cliente dal suo sistema di prenotazione potessero essere divulgati in caso di attacco estorsione di hacker,
• la pubblicazione di dati sanitari su Internet a causa di meccanismi di controllo interno inadeguati,
• errore umano: divulgazione di dati sanitari al paziente sbagliato da parte di un ospedale,
• registrazione di tutte le chiamate in uscita e in entrata a un corpo dei vigili del fuoco dello Stato di Brema,
• divulgazione di estratti conto a persone non autorizzate che utilizzano l'online banking,
• e-mail pubblicitarie inaccettabili ,
• copia non autorizzata dei dati dei clienti durante un attacco di hacker a un negozio online,
• uso non autorizzato della Dashcam ,
• una lista di distribuzione di posta elettronica aperta ,
• videosorveglianza non autorizzata di clienti e dipendenti.

In Europa, dall'entrata in vigore del GDPR sono state comminate 91 sanzioni .

Avvertenze e giudizi dall'entrata in vigore del GDPR

Caso 1: sito Web senza crittografia

Il tribunale distrettuale di Wurzburg ha vietato a un avvocato di utilizzare il suo sito Web senza crittografia e senza una dichiarazione sulla protezione dei dati sufficiente, minacciando una multa di 250.000 euro.
Fonte: sito web senza crittografia (tedesco)

Caso 2: utilizzo del pubblico personalizzato di Facebook

L'Ufficio statale bavarese per la protezione dei dati ha vietato a un negozio online di utilizzare il "pubblico personalizzato di Facebook". Il verdetto è stato confermato dal “Verwaltungsgericht” e dal “Verwaltungsgerichtshof”. Il motivo qui indicato era l'uso dei dati personali senza il consenso dei visitatori.

Fonte: utilizzo del pubblico personalizzato di Facebook (tedesco)

Cause in corso a causa del GDPR

• Instagram (Belgio): Motivo: Informazioni insufficienti e consenso forzato, mancante o insufficiente.
• WhatsApp (Amburgo): Motivo: Informazioni insufficienti e consenso forzato, mancante o insufficiente.
• Facebook (Austria): Motivo: Informazioni insufficienti e consenso forzato, mancante o insufficiente.
• Austria: la banca austriaca addebita 30 EUR per il recupero dei dati personali archiviati di un cliente per quel cliente. Il tribunale si è pronunciato a favore dell'attore, al che la banca ha impugnato la sentenza dinanzi a un tribunale superiore, il Tribunale amministrativo federale. Il motivo della decisione del tribunale in questo caso è stato il rifiuto di concedere il diritto alla libera divulgazione dei dati personali memorizzati.
• Corte di Giustizia Europea: Azione contro l'utilizzo dello US-EU Privacy Shield (esempio Facebook), in quanto i trasferimenti verso gli USA possono essere intercettati dalla NSA secondo la legge USA.
• Regno Unito e Irlanda: Google e IAB sono stati citati in giudizio per Real Time Bidding (RTB) negli annunci pubblicitari. Secondo l'attore, i sistemi RTB condividono ogni giorno centinaia di miliardi di punti dati personali con altri sistemi senza il consenso dell'utente. Vengono condivisi anche dati sensibili come “abuso, incesto o HIV”. Secondo l'attore, IAB sapeva in anticipo che il suo sistema non era conforme al GDPR. Google, invece, tenta di trasferire l'obbligo ai siti web che visualizzano gli annunci pubblicitari di ottenere il consenso dell'utente.

Fonti:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/?europe=true

Dall'entrata in vigore del GDPR, sono state segnalate oltre 59.000 fughe di dati alle autorità europee per la protezione dei dati. I paesi con il maggior numero di fughe di dati segnalate sono i Paesi Bassi con 15.400 fughe di dati, la Germania con 12.600 e la Gran Bretagna con 10.600. Cipro con 35 segnalazioni, Islanda con 25 e Liechtenstein con 15 sono i paesi con meno fughe di dati.

L'Ufficio statale bavarese per la supervisione della protezione dei dati (BayLDA) ha controllato 40 siti Web di aziende ad alta portata per verificare se sono conformi al GDPR per quanto riguarda il consenso e la documentazione dell'utente . Nessuno dei 40 siti web aziendali ha implementato correttamente un processo per ottenere il consenso dell'utente e le informazioni corrette dell'utente. Anche qui c'è la minaccia di azioni legali e cautele.

Come puoi vedere, negli ultimi dieci mesi sono successe molte cose nel campo della protezione dei dati. Il nuovo regolamento sulla protezione dei dati fornisce un'importante base giuridica per gli utenti per proteggere i propri dati personali. Le aziende sono pertanto invitate e ben consigliate a conformarsi ai nuovi requisiti in materia di protezione dei dati .

Tieni presente che il GDPR e i nuovi requisiti si applicano anche alle aziende svizzere che forniscono i loro servizi e prodotti ai cittadini dell'UE.