I proverbi sono tali perché con sapienza millenaria riescono a descrivere e trattare con saggezza i più disparati ambiti.
“Chi ben comincia è a metà dell’opera” però non si presta affatto alla condotta privacy in Croazia, che dopo un 2019 senza aver subito sanzioni legate alla mancata protezione dei dati, nel 2020 l’AZOP (autorità croata per la protezione dei dati) infligge un’ammenda di 20 milioni di € a una banca.
L’istituto creditizio ha violato l’art. 15 del GDPR, rifiutandosi di fornire informazioni sul trattamento ai 2.500 interessati (clienti e intervistati) della banca e non adottando le giuste misure di sicurezza per proteggere i diritti e la libertà degli interessati.
Dall’ottobre 2018 l’AZOP ha ricevuto numerose denunce da parte dei clienti della banca che si vedevano respingere le richieste di accesso ai propri dati personali.
La banca si è giustificata appellandosi al Consumer Credit Act e ad altri regolamenti specifici che escludeva l’obbligo di accesso a questi dati in quanto le operazioni riguardavano prestiti rimborsati.
Nonostante l’AZOP sia intervenuta con misure correttive ordinando alla Banca di fornire documentazione e copia dei dati personali a tutti i clienti richiedenti, la banca ha continuato a negare l’accesso a queste informazioni personali, non rispettando uno dei principali diritti in capo all’interessato garantiti dal GDPR.
Questo ha portato ad avviare una procedura d’ufficio, conclusa con un’ammenda amministrativa di 20 milioni di €.
A pesare sull’ammenda il numero elevato di interessati, (2500 tra clienti e intervistati) la durata (più di anno) e la consapevolezza di agire in violazione dell’obbligo compreso il mancato rispetto delle misure correttive.
Sanzioni privacy in Europa: Italia la più colpita, Lussemburgo e Irlanda ancora a zero
La Croazia non è la prima Nazione ad essere pesantemente sanzionata e con tutta probabilità non sarà l’ultima.
Federprivacy a inizio anno ha reso nota un’indagine statistica condotta in tutti i paesi dell’Unione Europea volta a rilevare le “sanzioni privacy 2019”.
Su un totale di 190 provvedimenti condotti dalle autorità di controllo in Europa, il garante italiano si è “aggiudicato” la palma di autorità più attiva - o viceversa, all’Italia è stata assegnata la maglia nera - con ben 30 provvedimenti, il 15% del totale europeo.
Completano il podio la Spagna con 28 sanzioni e l’autorità rumena con 20.
L’assenza di Irlanda e Lussemburgo, paesi che ospitano diverse sedi di multinazionali che trattano i big data non è passata inosservata.
“Il rapporto evidenzia un fenomeno di autorità di controllo a doppia velocità - commenta Nicola Bernardi, presidente di Federprivacy - mentre in Inghilterra le multe sono pesanti e puntali, in Irlanda non è stata inflitta alcuna sanzione. L’auspicio è non agevolare società come Facebook, Twitter, Amazon e Google”.
Il Garante Inglese, l’autorità con la mano più pesante.
Come anticipato da Bernardi, nel Regno Unito le 18 sanzioni comminate sono state tutt’altro che leggere.
Su un totale di 410 milioni di euro di sanzioni inflitte nel 2019 in Europa, ben 312 (il 76%) provengono dal Regno Unito, con una media di 17 milioni a multa.
Medaglia d’oro per UK in termini di importo delle sanzioni che distanzia la Francia, seconda classificata, di 160 milioni, mentre l’Austria terza è ferma a 18 milioni.
La quasi totalità dei 312 milioni (e quindi il 75% di tutte le multe inflitte in Europa) provengono dalle casse di British Airways e Marriot Hotel.
La Compagnia aerea ha versato 200 milioni di euro per aver subito il furto di dati su 380 mila carte di credito, mentre la catena alberghiera ha pagato 110 milioni di euro per essersi fatta rubare i dati di 383 milioni di clienti.
La natura delle sanzioni
Oltre alla provenienza e agli importi delle sanzioni, altre informazioni utili a fotografare il contesto attuale sono rappresentate dalla natura di queste sanzioni.
Quasi la metà (44%) riguardano i trattamenti illeciti di dati da parte di pubblica amministrazione, aziende e associazioni.
Una sanzione su cinque (18%) punisce misure di sicurezza inadeguate, stessa percentuale per l’inadeguatezza o l'omissione dell’informativa.
Completano il quadro il più generico mancato rispetto dei diritti degli interessati e incidenti informatici o altri data breach ( entrambi al 10%).
I soggetti più sanzionati sono la pubblica amministrazione (al 17%) e le aziende delle telecomunicazioni (14,7%).
