https://images.wired.it/wp-content/uploads/2019/06/14190823/gdpr.jpg
(foto: youngvet via Getty Images)

Le 7 multe più strane per aver violato la privacy e il Gdpr

by

Non ci sono solo i casi eclatanti delle sanzioni elevate contro i colossi del tech. Ecco alcune storie a due anni dall'entrata in vigore del Regolamento Ue sui dati personali

La scuola zelante, il dipendente sbadato, il farmacista negligente: uniteli alle tecnologie sempre più diffuse, che in ogni attività quotidiana tracciano una scia di dati personali e avrete la tempesta perfetta per la privacy di cittadini e lavoratori.

Il 25 maggio segna il secondo compleanno del Regolamento generale europeo per la protezione dei dati (Gdpr), che dal 2018 governa questo ambito vastissimo del diritto nell’Unione europea, con lo scopo di restituire ai soggetti interessati il controllo sulle proprie informazioni, registrate su qualsiasi supporto. Una dimensione trasversale che, al di là dei casi di cronaca che coinvolgono i colossi economici, richiede buone pratiche in ogni settore, dalla politica al marketing, dall’istruzione alla salute. Ecco sette casi, avvenuti in questi due anni, che raccontano come il Gdpr regoli in modo effettivo la vita nei Paesi dello spazio economico europeo che l’adottano.

1. Polonia

A lezione di tech siete i primi della classe, ma attenzione a essere troppo zelanti: si rischia una multa. È accaduto a una scuola elementare di Danzica che, per verificare il pagamento della retta per la mensa scolastica aveva installato nientemeno che un lettore biometrico di impronte digitali degli alunni all’ingresso del refettorio.

La soluzione era stata adottata con il consenso scritto dei genitori sin dall’1 aprile 2015 e nell’anno scolastico 2019/20 ha coinvolto 680 bambini. Solo quattro quelli che accedevano all’area pranzo con una tessera elettronica o semplicemente comunicando il proprio nome e numero di contratto. Peccato che questi fossero costretti a entrare per ultimi, aspettando in fondo alla coda che gli altri entrassero per primi, usando lo scanner biometrico.

Una diversificazione ingiustificata e iniqua, secondo l’Ufficio protezione dati personali polacco (Uodo), che ha valutato il trattamento biometrico come sprovvisto di basi legali, sproporzionato e non essenziale. La scuola disponeva di altri mezzi per identificare i bambini ammissibili alla mensa, che non interferissero nella loro privacy.

I dati biometrici non cambiano mai e la loro possibile perdita avrebbe messo a rischio diritti e libertà futuri dei bambini, che necessitano anche di una protezione maggiore. L’Autorità ha quindi imposto una multa di 20mila złoty (4.400 euro) e ordinato alla scuola di cancellare i dati ottenuti in questo modo, cessandone la raccolta.

Un caso simile si è verificato in una scuola nel nord della Svezia, che monitorava la frequenza degli studenti di una classe con il riconoscimento facciale. Benché fosse un test pilota limitato nel tempo, l’Autorità garante di Stoccolma ha comminato una multa di 200mila corone (20mila euro) al comune: per non essere stata consultata, per la mancata valutazione d’impatto e perché il consenso ottenuto non era una valida base legale, dato lo squilibrio fra titolare del trattamento e gli interessati.

https://images.wired.it/wp-content/uploads/2020/05/04135306/poland-3554613_1280-696x390.jpg
Vista aerea del centro di Danzica. Foto di Makalu da Pixabay

2. Regno Unito

Ben 500mila documenti sanitari lasciati in un cassonetto all’aperto, neppure chiuso a chiave. Così una farmacia di Londra conservava ricette mediche, prescrizioni con nomi, cognomi date di nascita e indirizzi di un numero indefinito di persone, in un contenitore nel retro dell’edificio, nel quartiere di Edgware. Il negozio, che rifornisce medicinali al pubblico e alle residenze assistenziali, era sotto controllo dell’agenzia regolatoria dei prodotti sanitari che, vista la situazione, aveva avvertito l’Information Commissioner Office (Ico). I documenti, datati fra giugno 2016 e 2018, non erano stati ben protetti ed erano anche danneggiati dagli agenti atmosferici (prima dell’uscita del Regno Unito dalla Ue).

“La negligenza nel conservare dati speciali non ha impedito perdite o danni accidentali. Ciò viene meno rispetto a quanto la legge e le persone si aspettano”, ha spiegato il direttore dell’Ico che ha multato la farmacia per 275mila sterline (quasi 315mila euro), considerando solo il periodo di validità della Gdpr e ordinando di migliorare la custodia dei dati nel giro tre mesi, pena ulteriore provvedimento.

https://images.wired.it/wp-content/uploads/2020/05/04140156/IMG_1851-2-696x390.jpg
Buckingham Palace a Londra, residenza dei sovrani del Regno Unito (foto Daniele Monaco)

3. Ungheria

Le informazioni politiche relative ai cittadini sono sempre sensibili, anche se si tratta di ex membri o non più simpatizzanti: è la lezione che il partito ungherese Democratic Coalition (Dk) ha imparato dall’autorità di controllo nazionale, che lo ha multato per 11 milioni di fiorini (35mila euro), in base agli articoli 33 e 34 della Gdpr.

Il database del partito era stato violato e pubblicato su un forum online, con tanto di nomi, indirizzi email, Id utente e password debolmente criptate. Il partito era stato persino informato dall’hacker, che aveva sfruttato una vulnerabilità Sql della pagina web, ma il Dk non aveva mai notificato il fatto all’Authority né ai 6mila soggetti interessati.

Le verifiche dell’ente di controllo ungherese per la privacy (Naih) sono scattate dopo la segnalazione di un cittadino. Per tutta la procedura il Dk si è ritenuto assolto dagli obblighi di notifica, spiegando che il database conteneva solo dati personali retrodatati, non aggiornati da anni.

Una questione irrilevante, secondo il Naih, perché la violazione riguardava persone reali che potevano essere ancora sostenitrici del partito, con l’aggravante che tali dati sensibili rivelassero le opinioni politiche. Inoltre, il Dk usava una tecnologia obsoleta per la codifica della password, con serio rischio per i diritti e libertà, visto che la disponibilità di tali informazioni avrebbe potuto portare ad altre violazioni di servizi online usati dai soggetti.

https://images.wired.it/wp-content/uploads/2020/05/04135500/DSCN0083-2-bis-696x390.jpg
Il parlamento di Budapest (foto Daniele Monaco)

4. Romania

Una rete di occhi elettronici in uffici, spogliatoi e mensa, installata senza avvisare i lavoratori, consultare i rappresentanti o il sindacato: ma l’azienda non vantava alcun interesse che potesse prevalere sui diritti dei soggetti filmati. Lo ha deciso l’Autorità di controllo romena che ha inflitto a una ditta di riparazione navale di Costanza una multa di 24mila lei (5mila euro) per aver ripreso i dipendenti con videocamere negli uffici e nei locali dove riponevano gli abiti negli armadietti (articoli 5.1c, 6 e 7 Gdpr) e una reprimenda per non averli informati (articoli 12 e 13).

Sulla base degli stessi articoli è scattata una seconda multa di pari importo, perché l’accesso ad alcune aree in azienda era consentito solo con le impronte digitali. La raccolta di dati biometrici veniva effettuata per uno scopo non adeguato o rilevante, senza che altre modalità meno intrusive si fossero già dimostrate inefficaci. L’autorità ha quindi imposto misure correttive per assicurare ai dipendenti un’informazione adeguata e l’aderenza del trattamento in base al principio di data minimisation. Una seconda reprimenda è scattata perché l’azienda aveva inviato alcune email d’affari usando l’identità di un ex dipendente senza che l’uomo ne venisse informato.

https://images.wired.it/wp-content/uploads/2020/05/04140400/bucharest-1280226_1280-696x390.jpg
Il parlamento romeno a Bucarest Foto di Erich Westendarp da Pixabay

5. Cipro 

Assenze brevi, frequenti e impreviste dal lavoro causano una maggiore disorganizzazione, rispetto a quelle più lunghe: ne erano convinti i manager di tre società di un gruppo turistico cipriota, che usavano un tool per classificare le assenze per malattia degli impiegati. Il sistema automatico restituiva dei profili sulla base del Bradford Factor, ma secondo il Commissario per la Protezione dei dati personali di Cipro ciò implicava il trattamento di dati speciali (articolo 9.1 Gdpr) nella misura in cui l’identità dei soggetti veniva rivelata in modo diretto o indiretto.

Il Bradford Factor è un valore (B) che si ottiene moltiplicando il numero totale di giorni di assenza (D) per il numero di permessi richiesti (S) al quadrato (B = S² x D), in un dato periodo (es: 52 settimane). Una sola domanda per 10 giorni consecutivi di assenza ha quindi un fattore B=10 di gran lunga inferiore, rispetto a 5 istanze da 2 giorni ciascuna (B=50).

Il datore di lavoro aveva diritto di controllare la frequenza delle assenze e la validità dei certificati di malattia, ma ciò non avrebbe dovuto condurre a una malagestione. Al tempo stesso l’Autorità ha osservato che i suoi interessi non prevalevano su diritti e libertà dei dipendenti e che la mitigazione del rischio non era adeguata. Inoltre, nessuna eccezione (motivi vitali, di interesse pubblico, medicina preventiva e altri previsti nell’articolo 9.2) gli avrebbe consentito di trattare i dati di salute dei dipendenti. L’Autorità ha quindi comminato 82mila euro di multa divisa fra la società di handling aeroportuale (70mila euro), l’agenzia turistica (10mila) e l’agenzia di vendita biglietti aerei (2mila euro) coinvolte e imposto di cancellare tutti i dati raccolti, interrompendo il trattamento.

6. Danimarca

Oltre al danno del furto di un computer anche la beffa della multa per violazione della Gdpr? Sì, se il pc è quello di un dipendente comunale e il dispositivo non è protetto da alcuna crittografia. Il computer, rubato dall’auto dell’impiegato, conteneva informazioni su 1600 lavoratori dell’amministrazione locale, inclusi dati sensibili e personali. L’Agenzia danese per la protezione dei dati ha denunciato il municipio di Hørsholm alla polizia, chiedendo una multa di 50mila corone (circa 6.700 euro). Un episodio simile è accaduto nella vicina località di Gladsaxe, il pc questa volta conteneva i dati personali, anche sensibili, di 20.620 cittadini (sono 70mila in totale).

Un cittadino non può scegliere di sottrarsi al trattamento delle sue informazioni da parte del Comune, che ha un’alta responsabilità nell’evitare che vengono rivelate”, ha affermato Frederik Viksøe Siegumfeldt, capo dell’unità di controllo dell’Agenzia, che per il comune di Gladsaxe ha chiesto una multa di 100mila corone. Il furto dei due computer era stato notificato, ma la denuncia è scattata perché i Comuni non avevano adottato un adeguato livello di sicurezza, in base alla Gdpr. Siegumfeldt ha definito “molto imprudente” il fatto che i pc non avessero codici di protezione.

https://images.wired.it/wp-content/uploads/2020/05/04140504/mermaid-2447688_1280-696x390.jpg
La statua della Sirenetta a Copenhagen Foto di Kurt Wiedwald da Pixabay

 

7. Lettonia

Un ex cliente chiede di cancellare i propri dati e numero di telefono dal database, ma lui continua a chiamarlo: multato il retailer di un ecommerce per 7mila euro. Il direttore dell’Ispettorato per i dati (Dsi) della Lettonia ha imposto la pena pecuniaria a un ecommerce per non conformità con i diritti di cancellazione dei soggetti (art. 17 Gdpr) e per non aver cooperato con l’autorità di controllo (articolo 58.2c, g, Gdpr). La multa è stata decisa in base alla gravità e la durata dell’infrazione, il grado di cooperazione, il numero dei soggetti e il fatturato dell’anno precedente del retailer.

Un episodio analogo ma più esteso è avvenuto in Danimarca, dove una compagnia di arredamento, pur cooperando con l’Authorithy, è stata sanzionata per non aver cancellato i dati di 385mila clienti. Nomi, numeri di telefono, email e storia d’acquisto erano stati conservati molto più a lungo di quanto avrebbe consentito la finalità della raccolta, come dispone la Gdpr. Non sapendo nemmeno determinare una data di scadenza degli stessi, l’azienda è stata quindi multata per oltre 200mila euro.

https://images.wired.it/wp-content/uploads/2020/05/04140610/riga-2935039_1280-696x390.jpg
Vista notturna dei sobborghi di Riga Foto di Aleksejs Bergmanis da Pixabay