Il dibattito precedente l’entrata in vigore del GDPR, ha visto tra gli argomenti più discussi quello relativo alle sanzioni, faraoniche: fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Bene, oggi a distanza di mesi siamo a commentare la comminazione della prima ammenda da parte dell’autorità tedesca. In ordine è la terza resa pubblica in Europa, dopo i precedenti di Austria (€ 4.800 per informazioni insufficienti sulla videosorveglianza su larga scala) e Portogallo (€ 400.000 per una politica inadeguata di accesso ai dati).
Cos’è successo?
In Germania, Knuddels.de, piattaforma chat, è inciampata in quello che dovrebbe essere l’incubo per eccellenza di ogni organizzazione che tratta un elevato numero di dati personali, uno spinoso e scomodissimo Data Breach.
Nel caso di specie però, le attese sono state leggermente tradite. L’autorità per la protezione dei dati del Land di Baden-Wurttemberg, ha applicato una sanzione piuttosto blanda. Scopriamo il perché.
Un Data Breach consistente
Il fatto risale allo scorso luglio quando Knuddels ha assistito alla compromissione di circa 808.000 account di posta elettronica e di quasi due milioni di account del servizio di chat. Una violazione non da poco e potenzialmente dannosa per tutti i soggetti interessati coinvolti.
Infatti, i nomi degli utenti e le relative password di accesso sono finiti in pasto a diversi database esposti in rete, divenendo, in mancanza di opportune misure di cifratura, leggibili e usufruibili da parte di tutti.
Sanzione “light”: solo 20.000 euro
Come già abbiamo anticipato, l’autorità tedesca per la protezione dei dati ha usato molta clemenza. Non ha potuto esimersi dal sanzionare la piattaforma di messaggistica, ma lo ha fatto con discrezione, senza raggiungere i numeri da capogiro previsti dal Regolamento Europeo in tema di sanzioni.
La multa ha raggiunto la soglia dei 20.000 euro grazie all’approccio con cui la società ha affrontato il caso e agito per limitare i danni potenziali per le persone fisiche coinvolte nella violazione.
La Knuddels.de non solo ha collaborato in maniera trasparente con l’autorità tedesca, ma è intervenuta tempestivamente chiedendo ai propri utenti, dopo la comunicazione della violazione, di cambiare le password e, infine, applicando ulteriori misure di sicurezza per la protezione dei dati personali trattati.
Non dimentichiamo che la collaborazione con l’autorità di controllo è un elemento che viene tenuto in considerazione nella gradualità dell’applicazione delle sanzioni. Nel caso concreto l’autorità tedesca (LFDI) ha aderito a questo principio considerando favorevolmente la volontà dell'azienda nell’implementare le linee guida e le raccomandazioni suggerite.
Le norme violate
20.000 euro di sanzione: che vuoi che siano? Immaginiamo non sia questo l’atteggiamento con cui società simili hanno accolto la notizia. Ma il rischio c’è ed è presente.
La leggerezza dell’azienda tedesca nel trattamento in questione, infatti, non ha riguardato un aspetto marginale dell’applicazione del GDPR, ma uno dei capisaldi.
L’art. 32 dedicato alle misure di sicurezza del trattamento.
Nell’articolo si legge una prescrizione molto chiara nei confronti del responsabile e del titolare del trattamento: l’obbligo di applicare misure di sicurezza capaci di garantire un livello di protezione adeguato al rischio come, per esempio la pseudominizzazione e la cifratura dei dati personali e identificativi.
E nel caso concreto non è stato così. L’archiviazione in chiaro di dati personali lo dimostra senza la necessità di proporre ulteriori argomentazioni.
Banale dirlo ma fondamentale ripeterlo, soprattutto alla luce di quanto accaduto in Germania. L’applicazione dell’art. 32 è un crocevia fondamentale per la conformità al GDPR.
Pertanto se senti il bisogno di confrontarti su questo delicato punto non esitare a contattarci. Noi ci siamo.
