La prima sanzione del Garante privacy polacco

L’Autorità polacca per la protezione dei dati personali (UODO) ha sanzionato una società per aver omesso di informare circa sei milioni di persone riguardo al trattamento ai fini commerciali dei loro dati tratti da fonti accessibili al pubblico. Agli interessati è stato così precluso la possibilità di esercitare i diritti loro riconosciuti dal GDPR, tra cui in primis quello di opposizione. La vicenda è meritevole di attenzione poiché la multa di 943.000 zloty polacchi, pari a circa 220.000 euro, non è stata comminata per violazione di una normativa locale, nel caso di specie quella polacca, bensì per mancato rispetto del Regolamento europeo e, in particolare, dell’obbligo di informazione sancito all’art. 14 del testo.

A ben vedere, la società polacca ha adempiuto al predetto obbligo di informazione di cui all’art. 14 del GDPR solo nei confronti delle persone di cui aveva a disposizione gli indirizzi e-mail. Per tutti gli altri soggetti ha ritenuto di poter assolvere detto obbligo informativo tramite un’apposita clausola pubblicata sul proprio sito web. Tuttavia, tale modalità di procedere è stata ritenuta insufficiente dall’Autorità privacy polacca, poiché, la società, al fine di assolvere l’obbligo informativo cui era tenuta, avrebbe dovuto comunicare direttamente agli interessati i loro dati personali, la fonte degli stessi, lo scopo e il periodo del trattamento previsto, nonché i diritti loro spettanti ai sensi del GDPR.

A fronte della difesa svolta dalla società, il Garante polacco privacy nel proprio provvedimento specifica che le disposizioni del regolamento europeo non impongono al titolare del trattamento l’obbligo di inviare agli interessati le informazioni tramite raccomandata, modalità quest’ultima eccepita dalla società e ritenuta troppo onerosa dalla stessa. Nel caso in questione, continua il Garante privacy, la società aveva indirizzi postali e numeri di telefono e poteva quindi attivarsi per rispettare l’obbligo di fornire le informazioni alle persone.

In conclusione, l’UODO ha ritenuto molto grave la condotta punita, tantoché, il cospicuo ammontare della sanzione trova giustificazione non solo nel carattere intenzionale della violazione (la società difatti era a conoscenza dell’obbligo di fornire informazioni in modo diretto alle persone), ma anche nel comportamento per niente collaborativo tenuto successivamente dalla società per porre rimedio all’infrazione.

La prima sanzione del Garante privacy portoghese

Altra rilevante applicazione pratica delle sanzioni GDPR è rappresentata dal caso Hospitalar Barreiro Montijo, dove il Comissão Nacional de Protecção de Dados (CNPD) ha sanzionato per un importo complessivo di 400 mila euro una struttura ospedaliera.

Nell’aprile 2018, il CNDP eseguiva un’ispezione presso il Centro Hospitalar Barreiro Montijo del distretto di Setúbal in seguito alla segnalazione del sindacato dei medici, il quale contestava come il personale non sanitario avesse accesso ai sistemi informatici della struttura con i poteri propri dell’organico medico.

In sede ispettiva, il CNDP accertava un accesso indiscriminato e ingiustificato di quasi seicento dipendenti ai dati sanitari dei pazienti.Nel sistema venivano verificate infatti 985 utenze attive con profilo di autorizzazione riservato al personale medico, nonostante che detto organico contasse realmente solo 296 professionisti.

Accertata la grave violazione, l’Autorità per la tutela dei dati personali portoghese comminava due distinte sanzioni. L’una da trecentomila euro per il mancato rispetto della confidenzialità e per la mancata limitazione degli accessi ai dati dei soggetti ricoverati, e l’altra da centomila euro per non aver garantito “su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art. 32 GDPR).

Vi è di più. Nel corso dell’ispezione eseguita dall’Autorità garante per la privacy relativamente al sistema informatico e di gestione dell’ospedale venivano accertate ulteriori irregolarità. Veniva contestata l’assenza di una procedura di autenticazione degli utenti del sistema informatico e dei relativi profili di accesso, il non corretto utilizzo dei profili e dei codici di accesso previsti nei sistemi gestionali utilizzati dall’ospedale stesso e l’esistenza di molti profili di fatto inattivi collegati a utenti che avevano operato nella struttura ospedaliera in forza di contratti a termine e mai disattivati.

Giunto il momento di determinare l’ammontare della sanzione, il Garante per la privacy portoghese (CNPD) prendeva in considerazione la tipologia di dati coinvolti ossia di tutte le informazioni relative alla salute di pazienti (dati considerati super sensibili), della durata nel tempo della violazione, del numero di interessati coinvolti, della gravità dei danni dagli stessi subìti, nonché della negligenza nell’adozione delle misure organizzative e tecniche da parte della struttura ospedaliera.

Con riguardo a quest’ultimo aspetto, il Garante per la privacy ha ritenuto la violazione dolosa, considerato che il titolare sanzionato aveva consapevolmente collegato i profili di accesso al sistema informativo con profili non corrispondenti. In questo senso, inoltre, la violazione è stata ritenuta ancora più grave a fronte dell’utilizzo di mezzi tecnici come i sistemi gestionali messi a disposizione dal Ministero della Salute, i quali di per sé erano in grado di garantire una corretta identificazione degli utenti e, quindi, una limitazione degli accessi ai dati. Viceversa, anche in tale caso, è stato valutato favorevolmente l’atteggiamento collaborativo del titolare del trattamento volto ad attenuare le conseguenze negative delle violazioni.

La sanzione comminata dal Garante privacy tedesco

Lo scorso 22 novembre 2018, il Garante per la protezione dei dati personali dello Stato di Baden –Württemberg (Landesbeauftragte Für Den Datenschutz Und Die Informationsfreiheit – LFDI) sanzionava il sito di chat online Knuddels.de (“Coccole”), popolare negli anni 2000 prima dell’avvento di Facebook, al pagamento della multa di circa ventimila euro.

La contestazione mossa dal Garante privacy tedesco ha come oggetto la violazione dell’art. 32 del GDPR, posto che, per carenza di misure adeguate di sicurezza, il sito subiva una perdita di circa due milioni diusername/password e di più di ottocentomila indirizzi e–mail, oltre a recapiti di residenza degli utenti ed altri tipi di dati. In sede di applicazione della multa, nel determinare l’ammontare della stessa, il Garante per la tutela dei dati personali tedesco valutava molto positivamente il comportamento collaborativo adottato da Knuddels,alleviando i rigori sanzionatori che la gravità oggettiva della sanzione avrebbe giustificato nel caso di specie. Accertata la violazione, Knuddelsinfatti provvedeva ad informare immediatamente dell’accaduto i suoi utenti e il Garante privacy (LFDI), apportando modifiche alla sua infrastruttura IT per accrescere il livello di sicurezza.

La sanzione comminata dal Garante privacy austriaco

In Austria, nel mese di ottobre 2018, l’Autorità Garante della Privacy austriaca (Datenschutzbehörde), ha erogato, a seguito di apposita ispezione, una sanzione da 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in modo non appropriato. Le telecamere erano direzionate su parte del marciapiede esterno al perimetro aziendale, tanto da riprendere i passanti in modo esorbitante, senza alcuna giustificata motivazione e senza idonea informativa rilasciata con apposita cartellonistica. Tutto ciò in violazione dei principi della privacypiù comuni, in quanto venivano ripresi i volti dei passanti senza che essi ne fossero debitamente informati.

GDPR DAY

Cedam srl e ASSINPRO (Assoc.Industriali BAT) sono liete di invitarVi al GDPR DAY.

Convegno: ad un anno dal GDPR,  come è cambiato l'approccio alla Privacy?

Future Center Viale Marconi, 39, BarlettaGiovedì 20 giugno 2019 – ore 16.30 

Premessa

In seguito all’introduzione del Regolamento UE 679/2016 abbiamo notato l’atteggiamento morbido adottato dal Garante che è terminato a distanza di un anno dalla sua introduzione avvenuta il 25/05/2018. Una specie di periodo di prova che ha lasciato un po’ di tempo a molti, soprattutto piccole e medie imprese, per capire come adattare il testo della norma alle operazioni aziendali di tutti i giorni.

Questo momento di calma ha permesso al Garante di concentrarsi sulle violazioni più gravi. La protezione dei dati non è infatti un punto di arrivo ma un percorso continuo, fatto di studio e soprattutto confronto.
Per quanto si possa conoscere alla lettera il testo del Gdpr, metterlo in pratica comporta abilità trasversali.

Bisogna conoscere come funziona la tecnologia che si usa in azienda e il suo stato dell’arte per offrire soluzioni alternative, si deve essere in grado di relazionarsi con i vari reparti dell’impresa, anche con chi è più lontano da questi concetti, non si deve mai smettere di studiare e confrontarsi sulle possibili soluzioni da adottare.

In linea con tali premesse, si è pensato di organizzare un Convegno sull’argomento, a cui invitare le Imprese del nostro territorio, affinché possano condividere le proprie esperienze.

Si affronterà anche la novità della Certificazione del Sistema di Gestione della Protezione dei Dati.

Agenda

Ore 16.30 | Registrazione dei partecipanti
Ore 17.00 | Apertura lavori

Benvenuto - Ruggiero Cristallo, Presidente ASSINPRO

Le Novità del GDPR per il  2019
Cosa è accaduto nel mondo della privacy negli ultimi 12 mesi, l’evoluzione normativa, le prime decisioni dei garanti europei e gli orientamenti sulle questioni più spinose

La certificazione in conformità al DPMS 44002:2016© - Massimiliano Angeli, Partner KHC Certification srl

Ore 18.30 | Interventi dei partecipanti

Ore 19:00 | Conclusioni

Moderatore dell’Incontro: Francesco Zagaria, Giornalista

La partecipazione al convegno è gratuita ed è rivolta a tutti coloro che vogliono approfondire questi temi.

Sei preoccupato per il Regolamento UE sulla Privacy (GDPR) ?

Sei preoccupato per il Regolamento UE sulla Privacy (GDPR) ?
Chiamaci e ti dimostriamo come affrontarlo nel migliore dei modi.
Ecco cosa ti proponiamo:
1 Check Up preliminare
2 Realizzazione di un Modello Organizzativo
3 Certificazione del Modello (Facoltativa)

▶️ la ns Soluzione http://advpage.net/1SDN8

Prove Tecniche di Ispezione in Azienda da parte del Garante

Ricordati che i "Dati Sensibili" non esistono più!
Si chiamano "Dati Particolari" dal 25.05.2018.
Dimostra di essere stato attento al Corso sul GDPR. 😉

IL GDPR non riguarda le Persone Giuridiche

Siamo stanchi di ripeterlo da oltre un anno:
ai dati delle persone giuridiche non si applicano i principi stabiliti dal regolamento europeo (GDPR).
I dati delle persone giuridiche possono essere non solo raccolti, ma anche trattati e quindi comunicati a terzi, senza necessità di una base giuridica, e quindi senza che la persona giuridica possa vantare alcun diritto sui suoi dati.
Perciò, la persona giuridica non può esercitare i normali diritti previsti per gli interessati, quali il diritto all'accesso, alla rettificazione o alla cancellazione.

Il GDPR è uno dei Core Business della Divisione Consulting della Cedam.

L'applicazione in azienda del Regolamento UE 679 / 2016 (GDPR) è uno dei Core Business della Divisione Consulting della Cedam.
Ci occupiamo di Protezione dei Dati sin dal 2003 dall'introduzione del D.Lgs.196. e in tutti questi anni abbiamo realizzato un nostro Sistema di Gestione per la Protezione dei Dati in Azienda, sviluppato dai nostri Consulenti di Management e dai colleghi informatici.
Inoltre, completiamo la nostra offerta in ambito Privacy con la certificazione DPMS 44002:2016©, valida ai sensi dell'art.42 del GDPR.

ATTENZIONE nell'affermare di "Rivedere i Processi Aziendali"

CHIARIMENTO:

Quando affermiamo che Il Regolamento Ue 679 / 2016 (GDPR) sulla Privacy ci costringe a rivedere i "Processi Aziendali", non alludiamo ai "Processi" che si svolgono in tribunale....

ma al sistema complesso che regola in azienda: Marketing, Commerciale, Logistica, Amministrazione e Finanza, che coinvolge le attività di tutti i collaboratori e comprende l'utilizzo ottimale delle nuove tecnologie.

La Divisione Consulting della Cedam, chiede scusa agli Imprenditori che avevano frainteso il significato del termine "Processi".

Repetita Iuvant

Ci siamo stancati di ripeterlo:

Ai dati delle persone giuridiche, non si applicano i principi stabiliti dal regolamento europeo 679 / 2016.

I dati delle persone giuridiche possono essere non solo raccolti, ma anche trattati e quindi comunicati a terzi, senza necessità di una base giuridica, e quindi senza che la persona giuridica possa vantare alcun diritto sui suoi dati. 

Infatti, la persona giuridica non potrà esercitare i normali diritti previsti per gli interessati, quali il diritto all'accesso, alla rettificazione o alla cancellazione, ecc...

Pronto il Kit Adeguamento Privacy per il 2019

Pronto in Cedam il Kit di adeguamento GDPR 2019. Per contatti:


☎️ 0883 346640 📧 privacy@cedam.it