Sanzioni per trasferimento iillecito di dati personali in Cina

L’Autorità privacy norvegese ha annunciato l’intenzione di voler comminare ad una società di pedaggio una sanzione pari a circa € 500.000 per l’illecito trasferimento di dati in Cina.

La Datatilsynet, l’autorità norvegese per la protezione dei dati personali, ha annunciato di aver notificato alla società di pedaggio norvegese, la decisione di multare la stessa per NOK 5.000.000 (circa € 500.000) per aver trasferito i dati personali degli automobilisti a un responsabile in Cina in violazione della disciplina sul trasferimento dei dati.

In particolare, in base alla ricostruzione pubblicata dall’Autorità, quest’ultima, tramite una notizia veicolata dell’emittente nazionale norvegese, è venuta a conoscenza del fatto che la società trasferiva informazioni relative ai passaggi in anelli di pedaggio ad un responsabile del trattamento con sede in Cina. È così stata avviata un’ispezione volta ad indagare in merito all’adempimento degli obblighi previsti dal Regolamento (UE) 2016/679 (GDPR) in via prodromica rispetto alle attività di trattamento dei dati personali, ossia: (i) la sottoscrizione di un accordo di trattamento dei dati ex articolo 28(3) del GDPR; (ii) lo svolgimento di una valutazione dei rischi ai sensi dell’articolo 32 del GDPR; e (iii) l’individuazione di una base giuridica per il trasferimento dei dati personali al di fuori del SEE, in conformità con gli articoli 44 e ss. del GDPR.

A seguito di tali attività l’Autorità ha rinvenuto che la società (i) non aveva sottoscritto un accordo di trattamento dei dati; (ii) non aveva effettuato alcuna valutazione dei rischi prima del trattamento manuale di oltre 12 milioni di immagini di targhe; e (iii) non disponeva di una base giuridica adeguata per il trasferimento dei dati personali degli automobilisti in Cina. Le indagini si sono concentrate sulle condizioni riferibili al periodo intercorrente tra settembre 2017 e ottobre 2019 e ciò significa che la Datatilsynet non ha valutato le altre questioni relative al trattamento dei dati personali da parte della società, ivi incluso il contenuto degli accordi stipulati, il contenuto della valutazione dei rischi e le ulteriori verifiche necessarie a seguito dall’emanazione della sentenza della Corte di giustizia europea nel caso Schrems II.

In considerazione di quanto precede, l’Autorità ha annunciato l’intenzione di voler comminare alla società una sanzione pari a circa € 500.000. Tale importo trova giustificazione nel fatto che dette violazioni sono sensibilmente gravi, riguardando strumenti essenziali per stabilire il quadro per il trattamento dei dati personali, identificare possibili debolezze in tale sistema e garantire il trattamento sicuro e riservato dei dati.

Ad ogni modo, essendo una comunicazione preliminare, la società ha la possibilità di sottoporre eventuali commenti prima dell’emanazione della decisione definitiva.

Su un simile argomento può essere interessante l’articolo “Cosa cambia con le nuove clausole contrattuali standard sui trasferimenti di dati personali?”.