Con due recenti provvedimenti, il Garante per la protezione dei dati personali ha irrogato due sanzioni nei confronti di due società – contitolari del trattamento – appartenenti a una nota multinazionaleCon due recenti provvedimenti, il Garante per la protezione dei dati personali ha irrogato due sanzioni pari a 2 milioni e 120 mila euro ciascuna nei confronti di due società – contitolari del trattamento – appartenenti a una nota multinazionale.
Il Garante si è attivato a seguito della notifica di data breach da parte della capogruppo statunitense e, a seguito di ispezioni, ha ravvisato diverse violazioni, ivi inclusa l’adozione di una informativa sul trattamento dei dati personali non idonea, una attività di profilazione senza consenso e la mancata notifica del trattamento per finalità di geolocalizzazione (così come previsto dalla normativa in vigore all’epoca dei fatti, previgente all’entrata in vigore del Regolamento (UE) 679/2016, “GDPR”).
La vicenda trae origine dall’annuncio, da parte della capogruppo americana, di aver subito un cyberattacco che aveva impattato circa 57 milioni di utenti di tutto il mondo, fra cui alcuni localizzati in Italia. Il data breach era avvenuto prima dell’entrata in vigore del GDPR ed era stato già sanzionato dalle autorità privacy inglese ed olandese sulla base delle rispettive normative nazionali.
Nel corso delle ispezioni effettuate presso la sede italiana del gruppo, volte ad accertare la portata nazionale del data breach, erano emerse le seguenti violazioni della normativa al tempo applicabile in Italia, già individuate all’interno del provvedimento del Garante del 13 dicembre 2018:
- adozione di informativa privacy non corretta e incompleta: tra le altre cose, l’informativa era priva dell’indicazione relativa alla contitolarità del trattamento della società olandese e della capogruppo americana. Inoltre, posto che la medesima informativa sul trattamento dei dati personali era predisposta nei confronti degli autisti e dei passeggeri, il testo forniva una rappresentazione indistinta dei trattamenti effettuati, delle relative finalità e modalità. In aggiunta, i riferimenti ai diritti dell’interessato apparivano generici e lacunosi, e non veniva specificato (i) se gli utenti fossero obbligati o meno a fornire i propri dati personali rispetto alle varie operazioni di trattamento e (ii) le conseguenze dell’eventuale rifiuto a fornirli;
- attività di profilazione in assenza di idonea base giuridica: il Garante ha rilevato che il gruppo ha trattato senza un idoneo consenso i dati dei passeggeri per finalità di profilazione sulla base di un indicatore di rischio frode;
- mancata notifica delle attività di trattamento per finalità di geolocalizzazione, così come previsto dalla disciplina applicabile al tempo dell’accertamento, e. ai sensi del’art. 37, comma 1, lett. a), del D. Lgs. 196/2003 (il “Codice Privacy”). Benché la notifica non sia più richiesta ai sensi del GDPR, il Codice Privacy dava particolare rilevanza a tale adempimento, che imponeva al titolare di comunicare al Garante una serie di informazioni relative al trattamento che intendeva iniziare, al fine di fornire ogni garanzia a tutela degli individui interessati da tale trattamento ad alto rischio.
Alla luce delle circostanze dell’accaduto e in forza del quadro normativo applicabile all’epoca degli accertamenti, il Garante ha irrogato due sanzioni pari a 2 milioni e 120 mila euro nei confronti di ciascuna delle due contitolari, tenendo conto delle seguenti circostanze:
- il numero consistente di interessati (circa 1.514.000 tra autisti e passeggeri, e circa 1.379.000 passeggeri in relazione alla mancata acquisizione del consenso);
- la modifica e aggiornamento dell’informativa privacy in considerazione dei nuovi adempimenti previsti dal GDPR;
- l’assenza di precedenti procedimenti sanzionatori nei confronti di entrambe le società del Gruppo.
La decisione ha generato notevoli perplessità tra gli esperti privacy. In particolare, non si comprende la ratio che ha portato il Garante ad irrogare due sanzioni separate per la medesima violazione a carico dei contitolari. E’ vero che la norma si basa sul regime in vigore prima del GDPR quando erano previste delle sanzioni specifiche per ciascuna violazione. Tuttavia, come di recente rimarcato dal EDPB nelle linee guida relative al calcolo delle sanzioni, l’unicità della condotta può dar vita ad un’unica sanzione.
Inoltre, è preoccupante che una sanzione relativa al regime in vigore prima dell’applicabilità del GDPR sia adottata a quasi 4 anni di distanza. Questo scenario infatti rischia di pregiudicare non solo la certezza del diritto, ma anche l’operatività delle aziende che devono creare una riserva di bilancio volta a coprire le eventuali sanzioni del Garante per un periodo così lungo.
Sul tema data breach, potrebbero interessarvi i seguenti contenuti “Il Garante sanziona una azienda per due data breach dovuti ad errore di un dipendente”, “Con Matteo Flora sulla comunicazione di un ransomware – 3 cose da NON FARE e 3 cose DA FARE”, “Obblighi privacy di un attacco ransomware spiegati con il legal design”.