2 maggio 2019
Data Protection Authority (DPA) danese: prime sanzioni in Danimarca dopo il GDPR
di Maria Alessandra Monanni
L'Autorità per la protezione dei dati danese ha comminato la sua prima sanzione per violazione del GDPR, nei confronti di una compagnia di taxi che non aveva cancellato i dati personali degli utenti nei tempi dovuti.
Il fatto
Il Garante aveva rilevato che la società di taxi danese, Taxa, aveva conservato i dati personali dei clienti oltre il limite di conservazione previsto, non adeguandosi così all'imprescindibile "principio di minimizzazione" dei dati del GDPR.
L'impresa Taxa dopo due anni di conservazione aveva provveduto a cancellare solamente nomi e cognomi dei rispettivi clienti interessati, mantenendo però illegittimamente i numeri di telefono degli stessi per i successivi tre anni.
Secondo il principio suddetto, i dati devono essere "adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati" (art. 5, par. 1, lett. c, del GDPR). Per cui il titolare del trattamento deve conservare i dati "in una forma che consenta l'identificazione degli interessati" (art. 5, par. 1, lett. e, del GDPR) per il periodo di tempo necessario a conseguire le legittime finalità.
Una volta raggiunto lo scopo del trattamento, i dati identificativi dei soggetti interessati devono essere cancellati o resi anonimi.
In linea con la procedura, la società Taxa aveva dichiarato che, al termine dei due anni dalla registrazione, aveva provveduto ad anonimizzare i dati.
Di fatto però, da una valutazione, il Garante danese aveva riscontrato che la misura tecnica di sicurezza - quale è il "principio di anonimizzazione" - non era stata applicata adeguatamente. Questo perché all'interno del database erano rimaste conservate le utenze telefoniche, le quali rimandano comunque al soggetto interessato.
Dal canto suo la società Taxa sosteneva che le utenze telefoniche erano parte integrante essenziale del proprio database per cui erano impossibilitati a cancellarle nei medesimi tempi impiegati per eliminare i precedenti nomi e cognomi.
L’Autorità danese non era in alcun modo concorde nel ritenere che una siffatta difficoltà informatica potesse giustificare una simile violazione in termini di riservatezza. Ciò perché la peculiarità di questa tecnica dovrebbe rendere impossibile l'identificazione del soggetto interessato e quindi l'accesso ai rispettivi dati personali.
Misure di sicurezza: principio di anonimizzazione
Come sappiamo, il GDPR definisce i fondamenti normativi a garanzia della sicurezza e protezione dei dati personali, consentendo a titolari e responsabili del trattamento di agire con una certa discrezionalità in relazione alla scelta di adeguate "misure tecniche di sicurezza".
Una scelta che crea un disorientamento interpretativo in termini di applicazione del GDPR e dei limiti entro cui si può agire, a motivo della coesistenza di tre distinte "misure tecniche di sicurezza" applicate ai dati personali:
Tecnica della "anonimizzazione" - essa fa sì che, eliminando la connessione esistente tra il dato personale e il soggetto interessato, quest'ultimo non possa essere identificato in alcun modo.
Se i dati personali sono stati anonimizzati correttamente, non sarà più possibile tornare indietro e classificare gli stessi come dati personali. Si assume così che possa essere un processo irreversibile, ove il dato non rientrerà nell'ambito applicativo del GDPR. Come da disciplina del Considerando 26, in cui si sancisce che "i principi di protezione dei dati non dovrebbero applicarsi ad informazioni anonime, vale a dire informazioni che non si riferiscono ad una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato".
2) Tecnica della "pseudonimizzazione" - disciplinata nell'art. 4, punto 5, del GDPR - secondo la quale "i dati personali non possono più essere attribuiti ad un interessato specifico senza l'utilizzo di informazioni aggiuntive". Proprio in virtù di queste informazioni aggiuntive, necessariamente conservate in un database separato e protetto rispetto a quelle originali, è possibile risalire alla persona fisica, identificandola. Tale processo è reversibile. Questa tecnica di sicurezza rappresenta, insieme alla seguente, la giusta misura atta a "garantire un livello di sicurezza adeguato al rischio" (art. 32, comma 1, lett.a, del GDPR)
3) La tecnica della "cifratura" o "crittografia" - introdotta insieme alla precedente nell’art. 32 del GDPR - attraverso uno specifico algoritmo, rende illeggibili i dati personali a chiunque non sia autorizzato al loro accesso. Solo con una "chiave di decriptazione" sarà possibile leggerli. Si tratta di un processo reversibile a cui quindi è applicabile la normativa del GDPR.
La sanzione
Il Garante danese ha dichiarato la non conformità al GDPR della condotta della società Taxa, comminandole di conseguenza una multa di 1,2 milioni di corone, importo equivalente a circa 160.700 euro.
Precedentemente alla normativa europea sulla protezione dei dati, non si sarebbe mai raggiunta una sanzione di tale entità, ma secondo la "politica delle sanzioni" stabilita con il GDPR, per le imprese, le sanzioni amministrative possono raggiungere il 4% del "fatturato mondiale totale annuo" (art. 83 del GDPR).
Perciò l'importo conteggiato per Taxa equivale a circa il 2,8% del suo fatturato annuale: una sanzione decisamente salata per l'azienda ma proporzionata, a parere dell’Autorità, alla mole di dati dei clienti conservati a lungo, senza alcuna necessità.
L’applicazione di questa sanzione, in termini oltremodo importanti, è il primo avvertimento rivolto alle imprese in Danimarca, per cui occorrerà capire se i Tribunali danesi saranno d’accordo a conformarsi alla nuova struttura sanzionatoria irrogata dal Garante.
Le "prime multe" e la "politica sulle sanzioni GDPR"
La multa decisa dall'Autorità danese rappresenta una delle prime sanzioni che i Garanti dell’Unione Europea hanno deciso di imporre per violazione del GDPR.
Infatti, precedentemente il Garante polacco aveva già provveduto a sanzionare una società di marketing digitale per violazione dell'art.14 del GDPR. La stessa aveva elaborato i dati personali di soggetti interessati, senza aver preventivamente adempiuto all’obbligo di fornire agli stessi l’informativa sul trattamento, negando loro di poter esercitare i propri diritti e libertà fondamentali. La multa comminata è stata di circa 220.000 euro.
Allo stesso tempo, l'Autorità per la protezione dei dati olandese, il 14 marzo 2019, ha pubblicato - prima tra le Autorità di vigilanza dell'Unione Europea- la sua "politica sulle sanzioni" che integrasse quanto previsto nell’art.83 relativamente alle "condizioni generali per infliggere sanzioni amministrative pecuniarie". Essa è stata elaborata con lo scopo di creare una specifica struttura di calcolo delle sanzioni amministrative, da applicare in caso di violazione degli obblighi normativi del GDPR.
Il massimale previsto di multa applicabile per chi viola il GDPR è pari al 4% del fatturato annuale della società a livello mondiale (art.83 del GDPR), a seconda del tipo di inadempienza. Rispetto a ciò l'Autorità olandese ha provveduto a classificare le violazioni del GDPR in quattro categorie di sanzioni determinabili "in funzione delle circostanze di ogni singolo caso", a seconda della "natura, gravità e durata della violazione (…) nonché del numero di interessati lesi dal danno e il livello del danno da essi subito".
Ogni categoria prevede un intervallo di importi che devono essere applicati in base alla specifica violazione.
- I categoria (tra € 0 e € 200.000) include le violazioni di minore gravità, quali ad esempio l'inosservanza del diritto di rettifica o del diritto alla cancellazione (artt. 16 e 17 del GDPR).
- II categoria (tra € 120.000 e € 500.000) e III categoria (tra € 300.000 e € 725.000) includono la maggior parte delle violazioni, quali ad esempio:
- violazione art.5 del GDPR, relativo all'inosservanza dei "principi applicabili al trattamento dei dati personali";
- violazione art.6 del GDPR, relativo all’obbligo di "liceità del trattamento";
- violazione art.12 del GDPR, relativo alla mancanza di adeguata trasparenza per l’esercizio dei diritti dell’interessato.
- IV categoria (tra € 450.000 e € 1 milione), include invece le violazioni più gravi, quali ad esempio quelle inerenti all’elaborazione di particolari tipologie di dati, come i dati criminali o il trattamento automatizzato proprio della profilazione (art. 4, punto 4 e art. 22 del GDPR).
L'obiettivo di questa politica è di garantire maggiore trasparenza sulle modalità di applicazione delle sanzioni da parte dell'Autorità olandese. Ma, sebbene questa politica abbia dato in linea generale una struttura al calcolo delle sanzioni, non ha previsto comunque indicazioni dettagliate sull'approccio sanzionatorio che deve essere assunto per infliggere le multe.
La "morale" per le aziende, soprattutto in Italia
In conclusione, a livello europeo le tanto temute sanzioni per violazione del GDPR hanno raggiunto le prime aziende: i fatti in Polonia e Danimarca, ma anche in Germania e Portogallo, ne sono la testimonianza. Si attesta così il continuo impegno dei Garanti degli Stati membri di proseguire nello scopo di protezione e sicurezza dei dati personali dei cittadini contro le violazioni dei loro diritti.
È importante anche per le piccole e medie imprese, in particolare quelle italiane, non prendere sottogamba l’adeguamento al GDPR sia in termini di aggiornamento della policy aziendale e dei sistemi informativi (spesso obsoleti), oltre a garantire un’implementazione tecnologica specifica che sia in grado di per sé di identificare e sostenere anche i possibili attacchi informatici che, in conseguenza, possono comportare una violazione dei dati personali.
Dott.ssa Maria Alessandra Monanni
Legal Specialist in Proprietà Intellettuale
Copywriter e Blogger