Articoli

Il Garante svedese sanziona Google con una multa da 7 milioni di Euro per violazione del diritto all’oblio

Avv. Vincenzo Colarocco

Il Garante privacy svedese ha avviato due istruttorie, rispettivamente nel 2017 e nel 2018, volte a verificare la compliance di Google in relazione alla gestione delle richieste provenienti dagli utenti interessati per l’esercizio del diritto all’oblio. All’esito di tali istruttorie, il Garante ha ritenuto violate le disposizioni del GDPR (in particolare, dell’art. 17) ed ha dunque comminato una sanzione di 7 milioni di Euro al motore di ricerca. Anzitutto il Garante ha rilevato che il delisting richiesto non era stato completamente posto in essere in due specifici casi e ha dunque aperto una nuova indagine di follow-up conclusasi con la rilevazione di una pratica non ammessa. Da quanto emerso, infatti, quando Google, in accoglimento della richiesta dell’interessato, rimuove un risultato dalle ricerche ne dà notizia al titolare del sito web su cui tale notizia è stata pubblicata: ciò permette ai titolari di ripubblicare la pagina web in questione su un altro indirizzo web che, dunque, ri-apparirà poi in una ricerca sul motore di Google, con ogni conseguente pregiudizio per il diritto espressamente riconosciuto dalla normativa comunitaria.

Un data breach da 1,2 miliardi di dati personali

Avv. Vincenzo Colarocco

Un archivio contenente 1,2 miliardi di informazioni personali (si tratterebbe di un volume di 4 terabytes) è stato rinvenuto presso un server non protetto. Nello specifico, le informazioni comprenderebbero anche account di social media, indirizzi e-mail e numeri di telefono. Pur non potendo allo stato individuare le dinamiche di tale trasferimento non autorizzato di dati, ciò che in prima battuta emerge – secondo quanto dichiarato da Vinny Troia, Ceo di Night Lion Security – è che la maggior parte di tali dati sarebbero stati raccolti su un server Google Cloud da una società chiamata People Data Labs. L’amministratore delegato della predetta società ha ammesso che alcuni dati sarebbero di titolarità della sua azienda, ma non tutti, puntualizzando di aver adottato adeguate misure di sicurezza tecniche ed organizzative per la tutela dei dati, nonché di essersi dotati di esperti informatici con l’apposito compito di trovare dataset vulnerabili per bloccare i dati prima che vengano scoperti da malintenzionati. La peculiarità del breach, rilevata dallo stesso Vinny Troia, sta proprio nel fatto che i dati coinvolti siano, oltre ad e-mail, nomi e numeri di telefono, i relativi profili di Facebook, Twitter, LinkedIn e Github degli interessati: informazioni di particolare appetibilità per hacker ed altri criminali dediti al commercio illecito di dati. La vicenda pone nuovamente al centro dell’attenzione e del confronto il tema del livello di sicurezza da prescrivere ai soggetti fornitori in occasione dell’apposita nomina a responsabile esterno, anche nel caso in cui tali soggetti si rappresentino come aziende multinazionali dal prevalente potere contrattuale. Come noto, tali soggetti difficilmente consentono ai loro clienti, titolari del trattamento, di negoziare sulle misure di sicurezza, in questo modo risultando questi ultimi praticamente obbligati all’accettazione delle procedure così come da essi predisposte, con totale affidamento, specie tenuto conto della difficoltà per gli stessi di rinvenire valide alternative sul mercato. Questa vicenda ha fornito l’ulteriore dimostrazione che anche i sistemi dei giganti della rete possono essere suscettibili di violazione. Un tema di non poco momento, quello della posizione dominante di alcuni provider, in relazione al quale sarebbe auspicabile ottenere la posizione del Garante per la protezione dei dati personali.

Data retention: quanto mi costi?

Avv. Vincenzo Colarocco

Il 30 ottobre 2019, il commissario di Berlino per la protezione dei dati e la libertà di informazione ha erogato una sanzione di circa 14,5 milione di euro per violazione del principio di data retention.

In particolare, l’autorità ha individuato un utilizzo ultroneo e non giustificato di dati personali da parte della società immobiliare, la quale impediva la cancellazione degli stessi dai propri archivi agli inquilini, nonostante non fossero più strumentali per il perseguimento delle originarie finalità di raccolta. Tra i dati coinvolti, informazioni sulle vicende personali e finanziarie degli inquilini, come buste paga, moduli di auto-divulgazione, estratti da contratti di lavoro e di formazione, dati fiscali, dati di previdenza sociale e di assicurazione sanitaria ed estratti conto bancari. In realtà la non conformità dei sistemi di archiviazione della Deutsche Wohnen SE era già stata segnalata dall’autorità a seguito di un audit nel giugno 2017 ed anche in occasione del successivo audit del marzo 2019 era stata rilevata l’inefficienza delle procedure di conservazione e cancellazione dei dati.

La violazione contestata è quella dell’articolo 25 del GDPR, nonché dei principi generali di trattamento stabiliti nell’articolo 5 dello stesso. L’articolo 25, paragrafo 1, infatti, prevede che, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento metta in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati (“privacy by design e by default”). All’art. 5, lett. e), invece, il Regolamento prescrive che i dati vengano conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere, infatti, conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate.

Tra i fattori aggravanti, la creazione ad opera della stessa Deutsche Wohnen SE della struttura dell’archivio in questione ed il lungo periodo di conservazione non autorizzata, mentre tra quelli attenuanti l’adozione di azioni di rimedio e la collaborazione con l’autorità. Sono state, inoltre, comminate diverse multe minori tra i 6.000 e i 17.000 euro per casi specifici di archiviazione non autorizzata.

La sanzione amministrativa non è ancora definitiva dal momento che la Deutsche Wohnen SE ha annunciato che contesterà l’ammenda in tribunale.