Dopo un anno di applicazione del GDPR, è tempo di bilanci.

Il D. Lgs. n. 101/2018 (art. 22 comma 13) aveva previsto che “Per i primi otto mesi […] il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.

In questo periodo di prima applicazione – che in Italia è scaduto lo scorso 19 maggio – sia il Garante italiano che i Garanti degli altri Stati Europei hanno tenuto un atteggiamento cauto.

Pur tuttavia, non sono mancate le sanzioni, comunque applicabili in caso di violazione del Regolamento. Ecco i casi più rilevanti:

  • in Portogallo, il Garante ha accertato un accesso indiscriminato e ingiustificato a dati relativi alla salute di pazienti da parte del personale non sanitario. Considerata la natura dei dati e le violazioni rilevate, la sanzione è stata rilevante;
  • in Austria, il Garante ha applicato una sanzione ad una società per l’utilizzo del sistema di videosorveglianza in maniera inappropriata e difforme dai principi privacy cardine;
  • il Garante tedesco ha rilevato la mancata applicazione di misure tecniche ed organizzative adeguate a prevenire un illecito trattamento di dati da parte di una piattaforma on-line, che ha causato un vero e proprio data breach di nomi di utenti e password di accesso agli account. La piattaforma è stata, quindi, sanzionata;
  • in Polonia, il Garante ha applicato una sanzione ad una società per aver omesso di informare 6 milioni di utenti in merito al trattamento dei loro dati per finalità commerciali;
  • il Garante francese ha comminato a Google LLC una sanzione di ben 50 milioni di euro, come da nostra news del 24.01.2019;
  • in Italia, il Garante ha inflitto una sanzione all’Associazione Rousseau per aver rilevato alcune criticità nelle misure di sicurezza adottate nell’ambito della piattaforma web.