Attività delle autorità garanti UE: provvedimenti e indicazioni in materia di protezione dati

L’avvento del GDPR ha innescato l’intensa attività delle autorità garanti UE chiamate ad irrogare le sanzioni previste dal Regolamento. Ecco alcune indicazioni utili a tutte le aziende in materia di protezione dati e per quel che riguarda le misure di sicurezza e i principi applicabili in merito al loro trattamento.

I mesi di giugno e luglio 2019 si stanno rivelando molto interessanti per quanto riguarda l’attività delle varie autorità garanti dell’UE, chiamate ad irrogare (o a preannunciare di farlo) le prime sanzioni previste dal GDPR, nonché a fornire alcune utili indicazioni in materia di protezione dei dati personali, in particolare per quanto riguarda le misure di sicurezze (art. 32 GDPR) e i principi applicabili al trattamento dei dati personali dei quali all’art. 5 GDPR.

Attività delle autorità garanti UE: il Regno Unito

L’Information Commissioner’s Office (“ICO”), l’autorità indipendente del Regno Unito istituita per difendere i diritti di informazione e la riservatezza dei dati personali, è una delle autorità più attive in tal senso.

Con l’Update report into adtech and real time bidding, emanato il 20 giugno a seguito di una consultazione con esperti del settore, ICO si è concentrata in particolare sulle modalità che le organizzazioni nel settore adtech operanti nel campo delle offerte in tempo reale (“RTF”) possono utilizzare per adeguarsi al GDPR e all’implementazione della normativa sulla privacy e sulle comunicazioni elettroniche (“PECR”).

Brevemente, l’ICO ha osservato che:

• molte informative privacy non sono sufficientemente chiare in quanto non fanno comprendere agli interessati cosa accadrà ai loro dati personali trattati nel contesto delle RTF;
• i player operanti nel settore RTF trattano dati particolari anche a fini di profilazione pertanto detti player dovranno concretamente adoperarsi per ottenere il consenso degli interessati a tal fine oppure interrompere completamente ogni elaborazione di questa tipologia di dati;
• il consenso è probabilmente l’unica base giuridica disponibile su cui basare il trattamento dei dati personali ai fini delle RTF. Ai sensi del PECR è richiesto il consenso prima del rilascio dei cookie. Inoltre, ai sensi del GDPR, detto consenso deve essere dato liberamente, specificatamente, nonché essere “informato” e non ambiguo. Tutto il funzionamento del settore adtech si basa sui cookies.

In pratica l’ICO ha dato una prima indicazione circa l’abuso del legittimo interesse nel settore adtech nonché si è espressa in maniera critica sulle piattaforme di raccolta del consenso presenti sui siti web ritenendole non sufficienti a realizzare la protezione dei dati personali degli interessati;

• molti player RTF, nonostante l’obbligo di eseguire i DPIA, non hanno ancora pienamente condiviso e compreso i principi sui quali si basa la necessità di condurre una DPIA.

British Airways

L’8 luglio l’ICO ha imposto alla compagnia aerea British Airways una multa di 183,39 milioni di sterline (circa 204 milioni di euro) per violazione del GDPR.

L’ammenda si riferisce a un incidente informatico iniziato nel giugno 2018 (poi notificato all’ICO da British Airways) quando la piattaforma online e l’app della compagnia aerea sono stati hackerati da un gruppo di pirati informatici che, dirottando il traffico di alcuni utenti del sito di British verso un sito fraudolento, avrebbero poi rubato i dati di 500mila clienti (nomi, numeri di telefono, indirizzi e informazioni di pagamento).

L’indagine dell’ICO ha rilevato che una varietà di informazioni è stata compromessa dalle pessime disposizioni sulla sicurezza dell’azienda, inclusi il login, la carta di pagamento e i dettagli della prenotazione del viaggio oltre a informazioni su nome e indirizzo.

British Airways ha collaborato con l’indagine condotta da ICO e ha poi apportato miglioramenti alle sue disposizioni in materia di sicurezza e ora avrà l’opportunità di presentare osservazioni all’Autorità in merito ai risultati e alle sanzioni proposte.

L’ICO, dal canto suo, valuterà attentamente tutte le dichiarazioni rese dalla compagnia aerea e da altre autorità competenti in materia di protezione dei dati prima di prendere la sua decisione finale.

Marriott International

L’indomani la decisione su British Airways, l’ICO ha emesso un altro avviso relativo alla sua intenzione di multare la società operante nel settore degli hotel di lusso Marriott International (cui fa capo l’insegna omonima unitamente a Le Meridien, Westin, Sheraton, Ritz Carlton e W Hotels), per 99,2 milioni di sterline sempre per violazione del GDPR.

La sanzione proposta è relativa ad un incidente informatico(notificato all’OIC da Marriott nel novembre 2018) che ha portato all’esposizione di diversi dati personali (nomi, indirizzi di residenza, email, numeri di telefono e del passaporto, data di nascita e anche numeri di carte di credito e relative date di scadenza) contenuti in circa 339 milioni di registrazioni di ospiti, di cui circa 30 milioni relativi a residenti in 31 paesi nello Spazio economico europeo (SEE) e 7 milioni di persone legate ai residenti nel Regno Unito.

Ad oggi si ritiene essere uno tra i data breach più estesi di sempre sia per numero di utenti coinvolti sia per la durata che si ritiene essere iniziata nel 2014 quando Starwood non apparteneva ancora al gruppo Marriott (ne è entrata a far parte solo nel 2016).

L’indagine dell’ICO ha rilevato che Marriott non avrebbe effettuato una due diligence adeguata quando ha comprato Starwood e che avrebbe dovuto fare di più per proteggere i suoi sistemi.

Il Commissario ICO Elizabeth Denham ha infatti espressamente dichiarato che “Il GDPR chiarisce che le organizzazioni devono essere responsabili dei dati personali in loro possesso. Ciò può includere lo svolgimento di un’adeguata due diligence quando si effettua un’acquisizione aziendale e la messa in atto di adeguate misure di responsabilità per valutare non solo quali dati personali sono stati acquisiti, ma anche come è protetto.” Il Commissario ha ribadito inoltre che “I dati personali hanno un valore reale, quindi le organizzazioni hanno il dovere legale di garantirne la sicurezza, proprio come farebbero con qualsiasi altra risorsa. […]”.

Marriott ha collaborato con l’indagine ICO apportando miglioramenti alle sue disposizioni in materia di sicurezza dal momento che il data breach è venuto alla luce.

La corposa entità delle sanzioni emessa e annunciata dall’ICO per British Airways e per Marriott International è la logica conseguenza dell’avvento del GDPR.

La precedente normativa prevedeva infatti un massimale di 500.000 sterline, che poi risulta essere la richiesta di risarcimento rivolta a Facebook per il famoso caso di Cambridge Analytica.

Attività delle autorità garanti UE: la Francia

Oltralpe, il CNIL, in seguito ad un’attività di indagine iniziata da un reclamo di un utente, ha sanzionato per 400.000 euro una società di servizi immobiliari denominata Sergic per violazione degli artt. 32 e 5 par 1 lett. e) del GDPR i quali prescrivono l’adozione di adeguate misure di sicurezza e la conservazione dei dati personali per periodi di tempo non superiori a quanto necessario per il conseguimento delle finalità per cui detti dati vengono trattati.

Dal sito di Sergic gli utenti possono fornire dati personali propri e dei componenti del proprio nucleo famigliare, compilando un apposito form e inserendo (tramite upload) i documenti necessari (quali certificati relativi allo stato di salute, certificati di morte, di matrimonio e sentenze di divorzio, documenti fiscali, reddituali ed estratti conto, ricevute di canone di affitto, carte di identità, certificati della previdenza sociale e documenti relativi alla percezione di pensioni di invalidità o di assegni familiari) per la creazione di un proprio fascicolo personale.

Tali fascicoli personali erano poi liberamente accessibili da chiunque, modificando in maniera alquanto semplice il numero contenuto nell’indirizzo URL, anche per via della mancata adozione di una efficace procedura di autenticazione dell’utente.

In particolare il CNIL:

• ha rilevato che la violazione dei dati, direttamente collegata ad un elementare difetto di progettazione del sito, integra una mancata adozione di misure di sicurezza adeguate ai sensi dell’art. 32 GDPR.
• ha tenuto conto di varie circostanze nell’irrogare la sanzione quali la vulnerabilità dei sistemi di sicurezza, la sensibilità e l’ingente mole dei dati oggetto dei trattamenti nonché la non azione da parte della società che conosceva la violazione già dai primi mesi del 2018;
• in relazione alla contestazione relativa al periodo di conservazione dei dati, ha ritenuto contrario al disposto di cui all’art.5 par 1 lett. e) GDPR il fatto che la Sergic abbia conservato la totalità dei dati degli interessati ai quali non era stata accordata la locazione degli immobili.

È stato rilevato infatti che, ai sensi del principio di minimizzazione del trattamento, il periodo di conservazione dei dati non deve essere superiore a quanto strettamente necessario al perseguimento delle finalità per cui gli stessi sono stati raccolti e poi trattati.

In pratica, i dati degli interessati in questione avrebbero dovuto essere cancellati subito dopo la decisione di non accordare la locazione agli interessati non ritenuti idonei.

Sul punto il CNIL ha avuto modo di precisare dettagliatamente che, ove vi fosse stata la necessità di conservare i dati per un periodo più lungo al fine di consentire alla Società di eventualmente difendersi in sede giudiziaria oppure di adempiere a un obbligo di legge, detti dati avrebbero dovuto come minimo essere archiviati in un’“archivio intermedio”, accessibile solamente a persone autorizzate al trattamento di tali dati in virtù delle specifiche mansioni ricoperte all’interno della Società (ad esempio dipendenti del servizio legale interno.

Attività delle autorità garanti UE: la Romania

Il garante dei dati personali della Romania ha sanzionato Unicredit Bank per circa 130.000 euro, per non aver garantito un’adeguata protezione ai dati delle persone fisiche violando due articoli e un considerando del GDPR.

Unicredit non avrebbe efficacemente applicato le misure organizzative e tecniche per garantire un’ottimale protezione dei dati. Una verifica di novembre 2018 avrebbe messo in luce che alcuni dati (numero di identificazione personale e l’indirizzo) di chi effettuava pagamenti con transazioni online venissero poi divulgati al beneficiario della transazione attraverso l’estratto conto.

Il garante della Romania precisando che ai sensi dell’articolo 5, paragrafo 1, lettera c), del GDPR “il responsabile del trattamento aveva l’obbligo di trattare i dati limitatamente a quanto necessario in relazione agli scopi per i quali sono trattati.”, ha rilevato che la suddetta situazione ha portato a una violazione anche dell’articolo 5 del GDPR in quanto l’operatore non ha curando adeguatamente la minimizzazione dei dati.

In pratica dovevano trattare i dati limitatamente in relazione agli scopi per cui erano stati inizialmente trattati.