Il Commissario Federale per la Protezione dei Dati e la Libertà di Informazione tedesco (“BfDI”) ha inflitto a “Vodafone GmbH” due diverse sanzioni amministrative pecuniarie per un totale di 45 milioni di euro. La società avrebbe violato, da un lato, le disposizioni circa il controllo della filiera del trattamento, con precipuo riferimento ai responsabili di cui all’art. 28; dall’altro, le norme in tema di adozione di misure di sicurezza.
I motivi delle sanzioni
Con la prima sanzione – pari a 15 milioni di euro – è stato contestata l’assenza di monitoraggio sulle agenzie partner operanti in qualità di responsabili di trattamento, le quali avevano usato i dati personali dei clienti senza raccogliere un preventivo consenso, sottoscrivendo contratti fittizi e cambiando le condizioni di quelli esistenti, in assenza di autorizzazione.
Con la seconda sanzione – pari a 30 milioni di euro – l’autorità tedesca ha riconosciuto la mancata applicazione di adeguate misure di sicurezza, con precipuo riferimento al processo di autenticazione sull’applicazione “My Vodafone”. Ciò aveva, dunque, consentito l’accesso non autorizzato a terzi soggetti ai profili e-SIM.
In seguito alle condotte contestate, il Commissario ha rilevato la violazione degli artt. 28 e 32 del GDPR: la prima norma menzionata impone, infatti, al titolare del trattamento di “ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” in modo che il trattamento soddisfi i requisiti della normativa “e garantisca la tutela dei diritti dell’interessato”. È compito del titolare – in ossequio al principio di “responsabilizzazione” – adottare meccanismi sistematici di verifica, ex ante ed ex post, del rispetto della normativa in materia di protezione dei dati personali da parte di tutti i soggetti coinvolti nella filiera dei trattamenti che lo riguardano, che possono essere ad esso riconducibili o che possono recargli vantaggi anche di carattere economico.
L’art. 32 del GDPR prescrive, invece, come noto, l’adozione di misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio: nel caso di specie, il processo di autenticazione implementato da Vodafone Gmbh si è rilevato “vulnerabile”, idoneo a consentire l’accesso indebito a soggetti terzi non autorizzati.
Secondo quanto rappresentato dall’autorità tedesca, la società ha già migliorato attivamente i propri processi e sistemi e, in alcuni casi, li ha persino sostituiti integralmente, per ridurre al minimo, se non eliminare del tutto, il ripetersi di episodi analoghi.
Ha, inoltre, rivisto i meccanismi di selezione e audit delle agenzie partner, identificando quelle che non presentano garanzie adeguate a tutelare i diritti degli interessati. Sarà compito del Commissario tedesco verificare l’efficacia operativa delle misure adottate da Vodafone Gmbh.
Conclusioni
Le sanzioni inflitte – specie per il significativo ammontare – hanno rappresentato un’ulteriore occasione per sensibilizzare gli operatori circa l’importanza di considerare l’osservanza alle norme del GDPR non come sterile imposizione, ma come un’opportunità di miglioramento dei propri processi e modelli organizzativi, in ottica di trasparenza, solidità e proattività. Il Commissario tedesco ha, difatti, sottolineato che la società ha collaborato attivamente e continuativamente durante l’intero procedimento, versando integralmente la somma oggetto di sanzione, ed impegnandosi per una maggiore protezione dei dati e dei diritti fondamentali degli interessati, considerandoli punto di riferimento per accrescere la fiducia dei clienti.
Avv. Rossella Bucca e Dott.ssa Silvia Mazzarella
