Per non aver adeguatamente protetto e conservato i dati dei loro utenti come previsto dal GDPR, due società sono state sanzionate in Danimarca e in Francia. Le autorità nazionali dei due Paesi europei (Agenzia danese per la protezione dei dati e CNIL) hanno applicato multe per un totale di oltre 600.000 euro. Le violazioni riscontrate sono relative al regolamento europeo.

Il caso in Danimarca:

In Danimarca è finita nei guai la società di mobili IDDesign per la mancata cancellazione dei dati di circa 385.000 clienti. L’irregolarità era stata riscontrata nel corso di una verifica in materia di privacy presso la società. IDDesign aveva quindi spiegato all’autorità quali fossero gli strumenti usati per trattare i dati personali ma è emerso che solo alcuni negozi disponevano di un sistema recente, alcuni ne utilizzavano uno vecchio: questo strumento aveva raccolto i dati personali di circa 385.000 clienti e mai erano stati cancellati.

Si trattava di nomi, contatti, indirizzi.

La pratica viola il GDPR, in quanto il regolamento stabilisce che gli interessati non devono essere identificabili per un tempo superiore a quello necessario per svolgere le azioni per cui i dati vengono trattati. La società di mobili danese non aveva spiegato i termini per la cancellazione dei dati, trattandoli di fatto più a lungo di quanto consentito dalla normativa.

Da sottolineare, come precisa Pizzetti che “in alcuni casi si possono conservare i dati anche oltre il termine della finalità per cui vengono trattati perché, di fatto, possono esserci altre finalità, come quella fiscale facendo un esempio”.

Il caso in Francia:

Il CNIL, l’autorità per la privacy francese, ha multato per 400.000 euro la società Sergic che gestisce un sito internet di servizi immobiliari. L’azienda non avrebbe da una parte protetto in modo adeguato i dati degli utenti, dall’altra avrebbe conservato in modo inappropriato dati personali vecchi. La multa è stata comminata in seguito al reclamo di un cliente sporto al CNIL nell’agosto 2018: l’utente era riuscito ad avere accesso ai documenti di altri clienti, semplicemente modificando leggermente l’URL dalla sua area personale sul sito. Il CNIL dunque a settembre dello stesso anno ha svolto una verifica, attestando che i documenti degli utenti erano accessibili.

Si potevano vedere documenti come la carta d’identità, dati bancari, assegni familiari.

L’autorità ha poi scoperto che la società conosceva questa vulnerabilità già da marzo, ma non aveva fatto nulla per contrastarla finché non è intervenuto il CNIL: “La sanzione è pienamente condivisibile in termini di applicazione del GDPR, perché non è tollerata la mancanza di sicurezza”, commenta Pizzetti.

La lezione per le azioni e per il Garante italiano

Due episodi che portano insegnamenti sia alle aziende, ma anche all’autorità nazionale italiana:

“Le aziende possono iniziare a capire come il GDPR porti sanzioni anche consistenti, l’autorità invece che l’applicazione delle sanzioni in caso di violazioni non è rinunciabile” ha commentato Francesco Pizzetti, docente universitario di Diritto costituzionale ed ex Garante della privacy.