Nel caso di siti web non conformi, che possono portare ad una violazione del GDPR, sono previste delle sanzioni da parte del Garante della Privacy.
Non si scherza più con i dati personali, né si può più gestire con leggerezza l’invio di e-mail e comunicazioni.
È quanto, fortunatamente, ribadiscono sanzioni e sentenze all’ordine del giorno, a tutela di consumatori che ricorrono al Garante. Ma qual è la procedura per richiederne l’intervento, a norma di legge?
Siti web non conformi: quali sono le sanzioni del Garante della Privacy
Principalmente si richiede l’intervento del Garante nei casi di violazione dei dati personali, in termini tecnici definita data breach. Questa violazione di sicurezza, accidentalmente o in modo illecito, comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Ne costituiscono possibili esempi
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità; la divulgazione non autorizzata dei dati personali.
Se ci accorgiamo quindi di ricevere email insistenti, essere contattati da chi ha i nostri dati, ma noi non li abbiamo mai forniti, dobbiamo innanzitutto contattare il titolare del trattamento dei nostri dati e segnalare che ci sta accadendo qualcosa di sgradito e non corretto.
Il titolare, a sua volta, se accerta di aver subito manomissioni o violazioni delle proprie banche dati, se possibile entro 72 ore dalla segnalazione, deve prontamente notificare la violazione al Garante per la protezione dei dati personali.
Inoltre, se la violazione subita comporta un rischio elevato per i diritti delle persone interessate, il titolare ha l’obbligo di inviarne comunicazione, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. Già dal 2021 la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità all’indirizzo https://servizi.gpdp.it/databreach/s/
Violazione GDPR in siti non conformi: il recente pronunciamento del Garante della Privacy
Nello specifico, un recente pronunciamento del Garante ha visto l’imposizione di una multa di 30mila euro ad una società di e-commerce che aveva trascurato la sicurezza e l’aggiornamento dei propri sistemi gestionali e web, permettendo così la perdita di sicurezza di dati personali di alcuni utenti.
ll Garante per la protezione dei dati personali aveva ricevuto un reclamo da un cittadino invaso di e-mail commerciali indesiderate da parte di una società che non aveva nemmeno risposto alla sua richiesta di spiegazioni ed esclusione dalla mailing list. A seguito di ulteriori contatti ed indagini tecniche il Garante ha appurato che il sito web utilizzasse una versione del CMS assolutamente obsoleta e soggetta a numerose vulnerabilità anche di gravità elevata, inoltre anche il sistema di gestione dei dati raccolti tramite il sito web usato per attività di e-commerce , si è rilevato sistema obsoleto e molto vulnerabile mettendo a rischio potenziale una grossa mole di dati da quelli anagrafici a quelli di contatto e di pagamento.
Secondo il Garante, le vulnerabilità presenti avrebbero potuto consentire a terzi di usare la piattaforma di e-commerce della società per svolgere attività illecite, come ad esempio l’invio di email di phishing, con conseguenti elevati rischi per i diritti e le libertà delle persone fisiche. Nonostante ciò, la società non ha preso contezza del predetto rischio e si è limitata a registrare solo la deindicizzazione del sito suo web dai motori di ricerca e lo spostamento dei suoi indirizzi in black list.
Non avendo avuto alcun effetto richieste di chiarimenti e di cambiamenti sostanziali ai sistemi e ritenendo il Garante che la società non avesse fornito sufficienti chiarimenti in merito alle vicende sollevate dal cittadino che aveva presentato reclamo, il Garante ha ritenuto di ingiungere alla società l’adozione di misure tecniche, relative alla gestione dei dati contenuti nel sito web, che siano considerate adeguate rispetto ai rischi esistenti, aggiungendovi anche una sanzione pecuniaria amministrativa di €. 30.000.
Non è poi andata così male all’azienda in oggetto, visto che la norma permetterebbe al Garante , oltre alla possibilità di prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) di deliberare sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Fonte: articolo di Rossella Angius