{"id":4180,"date":"2018-12-15T17:24:52","date_gmt":"2018-12-15T16:24:52","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=4180"},"modified":"2018-12-15T17:24:52","modified_gmt":"2018-12-15T16:24:52","slug":"first-gdpr-sanctions-are-underway-the-german-case","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2018\/12\/15\/first-gdpr-sanctions-are-underway-the-german-case\/","title":{"rendered":"Arrivano le prime sanzioni per le violazioni del GDPR: il caso tedesco"},"content":{"rendered":"

Il 22 novembre 2018 il Garante per la Privacy dello stato di Baden W\u00fcrttenberg (Landesbeauftragte F\u00fcr Den\u00a0<\/em>Datenschutz Und Die Informationsfreiheit \u2013 LfDI<\/em>) ha reso noto, con comunicato stampa disponibile\u00a0qui<\/a>\u00a0in lingua originale, di aver condannato il sito Knuddels.de al pagamento di una\u00a0sanzione di 20 mila euro per aver violato l\u2019art. 32 del GDPR<\/strong>.<\/p>\n

Knuddels \u00e8 un sito di chat online che ha visto il suo picco di popolarit\u00e0 negli anni 2000, prima dell\u2019arrivo di Facebook. Knuddels (letteralmente \u201ccoccole\u201d), nel mese di settembre, ha subito il\u00a0leak<\/em>\u00a0di quasi 2 milioni di username\/password e di pi\u00f9 di 800 mila e-mail, oltre ad indirizzi di residenza degli utenti<\/strong>\u00a0ed altri tipi di dati. La causa di questo imponente\u00a0data breach\u00a0<\/em>\u00e8 stata individuata dagli inquirenti nella mancanza di misure di sicurezza adeguate alla protezione dei dati: i dati degli utenti (circa 330.000 quelli interessati), infatti, erano conservati in chiaro e sono stati diffusi dagli hackers responsabili dell\u2019attacco sui siti di file hosting\/sharing Mega e Pastebin. Una volta scoperto l\u2019accesso abusivo, Knuddels ha prontamente informato i suoi utenti e il LfDI dell\u2019accaduto ed ha implementato la sua infrastruttura IT per innalzare il livello di sicurezza.<\/p>\n

Secondo il\u00a0privacy<\/em>\u00a0watchdog\u00a0<\/em>tedesco,\u00a0la mancanza di misure che proteggessero i dati degli utenti di Knuddels ha comportato la violazione dell\u2019art. 32 GDPR, ossia la norma relativa alla sicurezza del trattamento dei dati<\/strong>\u00a0(qui<\/a>\u00a0un approfondimento sulle sanzioni della nuova disciplina privacy).<\/p>\n

Nel decidere l\u2019ammontare della multa ha avuto un ruolo chiave il comportamento collaborativo di Knuddels durante la spiacevole vicenda. In sostanza il LfDI ha usato, contemporaneamente, il bastone e la carota: ha s\u00ec sanzionato Knuddels, ma allo stesso tempo lo ha premiato con una sanzione\u00a0light<\/em>. Infatti, il Garante ha affermato che “chi impara dai danni e collabora con trasparenza al miglioramento della protezione dei dati pu\u00f2 uscire rafforzato da un attacco di hacker<\/em>” [Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gest\u00e4rkt hervorgehen]<\/em>.<\/p>\n

Si tratta della\u00a0prima sanzione erogata in Germania in applicazione del GDPR<\/strong>, ed in quanto tale manda sicuramente un messaggio positivo in tutta Europa per quanto riguarda l\u2019applicazione in concreto delle sanzioni del GDPR. Rimangono dei dubbi per\u00f2 riguardo al potere dissuasivo di una sanzione dall\u2019importo relativamente basso, considerando che il GDPR prevede (art. 83 n. 4) come tetto massimo per le sanzioni amministrative per questo tipo di violazioni 10 milioni di euro o, per i gruppi di imprese, fino al 2% del fatturato mondiale totale annuo (se superiore).<\/p>\n

Dall\u2019altra parte, trasmette un messaggio differente:\u00a0collaborazione e trasparenza \u201cripagano\u201d<\/strong>. E questo potrebbe dimostrarsi uno strumento molto pi\u00f9 persuasivo della minaccia di sanzioni severe.<\/p>\n

Fino ad ora, gli unici altri due casi di sanzioni di questo tipo in Europa erano stati solamente due. Il primo caso riguardava l\u2019ospedale portoghese di Barreiro<\/strong>, che \u00e8 stato multato 400 mila euro dal\u00a0Comiss\u00e3o Nacional de Prote\u00e7\u00e3o de Dados<\/em>\u00a0(CNPD), il Garante per la protezione dei dati personali portoghese, perch\u00e9\u00a0personale non autorizzato e non sanitario aveva accesso alle cartelle cliniche dei pazienti senza il loro consenso<\/strong>. In questo caso il CNPD, nonostante il Portogallo non abbia ancora implementato il GDPR a livello nazionale, ha comunque basato la sanzione su di esso e sui suoi principi cardine. In particolare, si tratta di tre sanzioni differenti: due sanzioni da 150 mila euro per aver violato i principi di integrit\u00e0, riservatezza e di minimizzazione dei dati, ed una di 100 mila euro per non aver mantenuto un livello di sicurezza adeguato nel trattamento dei dati.<\/p>\n

Il secondo caso, invece, \u00e8 stato quello dell\u2019Autorit\u00e0 Garante della Privacy austriaca (Datenschutzbeh\u00f6rde<\/em>), che ha condannato un imprenditore al pagamento di 4,800 euro per aver installato delle telecamere di videosorveglianza fuori dal suo esercizio commerciale che riprendevano parte del marciapiede, in violazione dei principi base del trattamento dei dati.<\/p>\n

Rimane solo da aspettare e vedere se le altre autorit\u00e0 garanti, tra le quali quella italiana, seguiranno l\u2019esempio tedesco e se applicheranno allo stesso modo le sanzioni del GDPR.<\/p>\n

 <\/p>\n

avv. Silvia Stefanelli<\/em><\/p>\n

dott.ssa Alice Giannini<\/em><\/p>\n

<\/p>","protected":false},"excerpt":{"rendered":"

Il 22 novembre 2018 il Garante per la Privacy dello stato di Baden W\u00fcrttenberg (Landesbeauftragte F\u00fcr Den\u00a0Datenschutz Und Die Informationsfreiheit \u2013 LfDI) ha reso noto, con comunicato stampa disponibile\u00a0qui\u00a0in lingua originale, di aver condannato il sito Knuddels.de al pagamento di una\u00a0sanzione di 20 mila euro per aver violato l\u2019art. 32 del GDPR. Knuddels \u00e8 un\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":156,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,8],"tags":[18,438,490,202,60,488,489,491],"class_list":["post-4180","post","type-post","status-publish","format-standard","hentry","category-data-breach","category-sanctions","tag-data-breach","tag-data-protection-authority","tag-data-security","tag-garante-privacy","tag-gdpr","tag-gdpr-sanctions","tag-sanzioni-gdpr","tag-sicurezza-dati"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/4180","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/156"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=4180"}],"version-history":[{"count":5,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/4180\/revisions"}],"predecessor-version":[{"id":4187,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/4180\/revisions\/4187"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=4180"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=4180"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=4180"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}