Le News di CONSULENZE DIGITALI - Consulenti Digitali

Vai ai contenuti

Le sanzioni GDPR del 2019: le più rilevanti da gennaio a luglio

Consulenti Digitali
Pubblicato da in News Privacy Europea · 19 Agosto 2019
Uno degli aspetti più rilevanti del GDPR è rappresentato dal modello sanzionatorio descritto nell’art. 83 del Regolamento UE 2016/679[1]. L’articolo determina le condizioni generali per l’applicazione di sanzioni amministrative pecuniarie[2] da parte delle Autorità di controllo (Garanti) dell’Unione Europea[3].
Fonte iusinitinere.it
Nel 2019 si è concretizzato un naturale inasprimento delle sanzioni, determinato in parte dal termine di un periodo di tolleranza rispettato dai Garanti europei in merito all’adeguamento alla nuova normativa sulla protezione dei dati personali e all’applicazione delle sanzioni. In Italia per esempio l’art. 22, comma 13 del D.lgs. 101/2018[4] introduceva un periodo di otto mesi decorrente dall’entrata in vigore del decreto legislativo nel quale il Garante teneva in considerazione la fase di prima applicazione delle disposizioni sanzionatorie.
Il modo migliore per comprendere l’art. 83 del GDPR è considerare i casi applicativi. Quindi, è fondamentale approfondire i motivi che hanno giustificato la comminazione delle sanzioni amministrative pecuniarie nella prima metà del 2019, analizzando i provvedimenti dei Garanti privacy europei e i casi specifici. Si specifica che le sanzioni effettivamente comminate sono state più numerose rispetto a quelle descritte nel presente articolo, che presenta la selezione delle più rappresentative per ogni mese.
Gennaio
Una delle più alte sanzioni del 2019 è stata comminata dal Garante privacy francese (Commission nationale de l’informatique et des libertés – CNIL[5], in italiano Commissione nazionale per l’informatica e le libertà) nei confronti di Google LLC[6]. La sanzione di 50 milioni di euro è stata determinata dai reclami provenienti dall’associazione austriaca None Of Your Business[7] e dall’associazione francese La Quadrature du Net, che promuovono i diritti digitali e le libertà dei cittadini. Le denunce sono state presentate rispettivamente il 25 maggio 2018 e il 28 maggio 2018, immediatamente dopo l’inizio del periodo di piena applicazione del GDPR. Le contestazioni riguardavano principalmente la mancanza di una valida base giuridica per trattare i dati personali degli utenti, nello specifico per finalità di pubblicità mirata[8]. Durante la creazione di un account Google, utilizzando un dispositivo con il sistema operativo Android, l’utente non poteva comprendere in modo chiaro le finalità del trattamento, il periodo di conservazione dei propri dati e in generale tutte le informazioni di cui all’art. 13 del GDPR, perché le informazioni erano disseminate in diversi documenti con pulsanti e link che era necessario cliccare per poter avere ulteriori informazioni in merito al trattamento dei dati personali. Le informazioni rilevanti erano accessibili solo dopo diversi passaggi, talvolta persino cinque o sei azioni. Tutto ciò ha determinato una violazione dell’obbligo di trasparenza per come definito nell’art. 12 del GDPR e quindi anche del relativo art. 13. Inoltre, il consenso ottenuto per la specifica finalità di personalizzazione degli annunci pubblicitari non era ottenuto in modo valido: infatti, considerando anche la mancanza di trasparenza come descritta poco sopra, le informazioni relative alla finalità in esame erano ugualmente diluite in diversi documenti, non permettendo all’utente di valutare in modo corretto la portata del trattamento, anche in relazione al numero di servizi Google coinvolti (Youtube, Google search, Google maps, etc.). Da specificare che il box per il consenso relativo alla finalità di pubblicità mirata non solo era presentato come preselezionato, ma era anche posto nella sezione Altre opzioni, raggiungibile quindi solo dopo un’ulteriore azione da parte dell’utente. Il consenso in questo non caso non era specifico, informato e nemmeno inequivocabile, perciò non era considerabile come valido[9].
Febbraio
Il Garante privacy bulgaro (Комисия за защита на личните данни – KZLD[10], in italiano Commissione per la protezione dei dati personali) ha inflitto una sanzione di 21.700 euro (equivalente a 53.000 lev bulgari) ad una società di telecomunicazioni per aver trattato i dati degli utenti senza un’adeguata base giuridica. I dipendenti della società hanno utilizzato i dati degli abbonati per ulteriori finalità senza il consenso degli stessi, violando l’art. 5, comma 1, lett. a) e l’art. 6 del GDPR. Nello specifico, la segnalazione al Garante privacy bulgaro è stata effettuata da un interessato che ha notato come il proprio contratto di telefonia mobile fosse stato modificato senza il suo consenso, passando da un’offerta in abbonamento (con addebito in carta di credito) ad un’offerta ricaricabile (prepagata)[11].
Marzo
La prima sanzione ai sensi del GDPR comminata dal Garante privacy polacco (Urząd Ochrony Danych Osobowych – UODO[12], in italiano Ufficio per la protezione dei dati personali) è stata di 219.538 euro (equivalenti a 943.000 mila zloty polacchi): il titolare sanzionato è stato una società, il cui nome non è stato reso noto, che non ha rispettato l’obbligo di informativa. Molti interessati, circa 6 milioni, non erano consapevoli del fatto che la società trattasse i loro dati personali e quindi non erano in grado di esercitare i loro diritti. La società nello specifico trattava dati personali provenienti da fonti pubbliche per finalità commerciali senza fornire l’informativa ai sensi dell’art. 14 del GDPR. Gli unici interessati che hanno ricevuto l’informativa sono stati coloro di cui la società aveva le e-mail a disposizione. Per giudicare l’importanza di questa violazione in relazione alla specifica finalità commerciale si pensi che dei 90 mila interessati che sono stati regolarmente informati, circa 12 mila hanno contestato il trattamento dei loro dati[13]. A causa degli alti costi per informare tutti gli altri interessati, la società ha evitato di conformarsi correttamente all’obbligo d’informativa, presentando le informazioni in merito solo sul loro sito web. Questa azione è stata considerata insufficiente da parte del Garante privacy polacco in quanto l’informativa non doveva essere necessariamente fornita agli interessati tramite l’invio di e-mail: infatti, la società disponeva dell’indirizzo di residenza e del numero di telefono degli interessati, tramite i quali sarebbe stato possibile comunicare le specifiche informazioni sul trattamento[14]. Inoltre, la società non ha preso alcuna contromisura per rimediare alla violazione; questo ha determinato l’inasprimento della sanzione.
Un’ulteriore sanzione di una certa rilevanza è stata invece inflitta dal Garante privacy norvegese (Datatilsynet – personvern og informasjonssikkerhet[15], in italiano Ispettorato dei dati – privacy e sicurezza delle informazioni): in questo caso il comune di Bergen ha ricevuto la sanzione di 170.000 euro (equivalenti a 1.6 milioni di corone norvegesi) per mancanza di misure di sicurezza adeguate a protezione del sistema informatico comunale, ma nello specifico delle credenziali di accesso degli studenti e dei dipendenti delle scuole primarie[16]. La mancanza di adeguate misure di sicurezza, in violazione degli artt. 5, comma 1, lett. f) e 32 del GDPR, rendeva possibile a chiunque l’accesso ai vari sistemi informatici delle scuole con la possibilità di accedere a diverse categorie di dati personali relativi a circa 35 mila utenti, di cui la maggior parte era costituita da minori[17]. Questo fatto ha costituito un aggravante in virtù della particolare categoria di interessati coinvolta, meritevole di una specifica protezione[18].
Aprile
Con il Provvedimento del 4 aprile 2019[19] il Garante privacy italiano (Garante per la protezione dei dati personali[20]) ha comminato la sanzione di 50 mila euro all’Associazione Rousseau per la mancanza di adeguate misure di sicurezza a protezione dei dati personali degli iscritti alla piattaforma Rousseau, in violazione quindi dell’art. 32 del GDPR. La sanzione, inflitta ancora nel periodo di tolleranza descritto nell’introduzione del presente articolo, ha rappresentato il culmine di diverse indagini effettuate dal Garante a partire dall’autunno del 2017[21]. Infatti, ad inizio agosto 2017 la piattaforma ha subito l’attacco da parte di un hacker, che ha diffuso sul web i dati personali di alcuni iscritti del Movimento 5 Stelle, partito strettamente legato all’Associazione Rousseau e che utilizza proprio l’omonima piattaforma per condurre operazioni di voto online. Nonostante tre provvedimenti del Garante, l’associazione non ha comunque implementato adeguate misure di sicurezza, compiendo solo piccoli passi avanti in materia di protezione dei dati. Il Garante ha quindi inflitto la sanzione in virtù della mancanza di un “completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute[22]”, configurando la violazione dell’obbligo di controllo sulla liceità dei trattamenti e di assicurare adeguate garanzie di riservatezza agli utenti della piattaforma, considerando anche la dimensione del database in oggetto nonché la tipologia di dati raccolti (relativi al sistema di voto online). Inoltre, sempre in violazione dell’art. 32, è stata accertata dal Garante la “condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi di gestione della piattaforma[23]”. In aggiunta alla sanzione il Garante ha ingiunto all’associazione la rimozione delle criticità riscontrate, esercitando il potere di cui all’art. 58, comma 2, lett. d)[24].
Maggio
Il Garante privacy francese[25] ha sanzionato SERGIC, società specializzata nell’acquisto, nella vendita, nell’affitto e nella gestione di proprietà immobiliari,per 400 mila euro in virtù della mancanza di adeguate misure di sicurezza, in violazione dell’art. 32 del GDPR, e per un eccessivo periodo di conservazione dei dati degli utenti, configurandosi la violazione del principio di limitazione della conservazione di cui all’art. 5, comma 1, lett. e) del GDPR[26]. In merito alla mancanza di misure di sicurezza, i dati personali degli utenti, tra cui i documenti trasmessi dai richiedenti affitto contenenti anche copie di carte di identità, erano accessibili online senza una procedura di autenticazione. La società non aveva implementato un sistema di autenticazione degli utenti che potesse garantire che le persone che accedevano ai documenti fossero le medesime che li avevano caricati[27].  Nonostante la vulnerabilità fosse conosciuta dalla società fin da marzo 2018, non è stata corretta fino a dopo sei mesi dalla scoperta della stessa, cioè a settembre dello stesso anno, senza peraltro implementare misure di sicurezza adeguate per limitare l’impatto sui diritti e le libertà delle persone fisiche[28]. Inoltre, la società conservava la documentazione inoltrata dagli utenti per un periodo di tempo superiore alle effettive necessità, mantenendo nei database una grande quantità di dati obsoleti e non aggiornati.
Giugno
Il Garante privacy danese (Datatilsynet[29], in italiano Ispettorato dei dati) ha sanzionato la società produttrice di mobili IDdesign per 200.850 euro (equivalenti a 1,5 milioni di corone danesi) per aver conservato i dati di un elevato numero di clienti per un periodo superiore al necessario. Nell’autunno del 2018 il Garante privacy danese ha effettuato un’ispezione presso la società, scoprendo che non erano stati definiti e rispettati specifici periodi di conservazione. Infatti, alcuni negozi di vendita al dettaglio della società utilizzavano un sistema informatico obsoleto, sostituito da un sistema nuovo solo in alcuni negozi della catena. Nei negozi forniti del vecchio sistema informatico erano conservati, senza essere stati mai cancellati, nomi, indirizzi, numeri di telefono, indirizzi e-mail e cronologia degli acquisti di circa 385 mila clienti[30]. Tutto ciò ha determinato la violazione del principio di limitazione della conservazione di cui all’art. 5, comma 1, lett. e), che infatti specifica che i dati debbano essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati[31]”.
Un’elevata sanzione, pari a 460 mila euro, è stata comminata dal Garante privacy olandese (Autoriteit Persoonsgegevens[32], in italiano Autorità per i dati personali) all’ospedale di Haga, situato a L’Aia, per un’insufficiente protezione dei file dei pazienti. La violazione dell’art. 32 del GDPR è stata rilevata quando è emerso che decine di membri del personale ospedaliero avevano controllato le cartelle cliniche di un noto personaggio olandese, star di un reality televisivo[33], senza necessità, in quanto non coinvolti nella terapia del paziente. Per spingere l’ospedale a migliorare la sicurezza dei file dei pazienti, il Garante olandese ha ingiunto all’ospedale l’implementazione di adeguate misure di sicurezza entro il 2 ottobre 2019. Se entro quella data l’ospedale non avrà adempiuto, dovrà pagare 100 mila euro ogni due settimane per un massimo di 300 mila euro[34].
Il Garante privacy rumeno (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal[35], in italiano Autorità nazionale di controllo per l’elaborazione dei dati personali) ha inflitto una sanzione di 130 mila euro(equivalenti a 613.912 lei rumeni) a Unicredit Bank S.A. La banca non ha implementato le appropriate misure di sicurezza tecniche ed organizzative, determinando una violazione del principio di protezione dei dati fin dalla progettazione (art. 25 del GDPR) e del principio di minimizzazione dei dati (art. 5, comma 1, lett. c) del GDPR). Infatti, queste violazioni hanno portato alla divulgazione di dati, tra cui l’indirizzo di chi effettuava un pagamento online, contenuti nei documenti con i dettagli delle transazioni e resi disponibili online ai destinatari dei pagamenti, per un totale di 337.042 interessati coinvolti nel periodo intercorrente tra il 25 maggio e il 10 dicembre 2018[36].
Luglio
Il Garante privacy inglese (Information Commissioner’s Office – ICO[37]) ha intenzione di sanzionare la compagnia aerea British Airways per 204.6 milioni di euro (equivalenti a 183.39 milioni di sterline). La sanzione, riconducibile alla violazione dell’art. 32 del GDPR, è relativa ad un incidente di sicurezza notificato all’ICO a settembre 2018. L’incidente ha comportato la parziale deviazione del traffico degli utenti del sito della società verso un sito fraudolento, attraverso cui gli hacker hanno ottenuto i dati personali, tra cui credenziali di accesso, numeri di carte di pagamento, dettagli di prenotazioni, indirizzi, etc., di circa 500 mila clienti. British Airways ha comunque collaborato all’inchiesta dell’ICO e ha apportato miglioramenti alle proprie soluzioni di sicurezza da quando questi eventi sono venuti alla luce. Inoltre, da specificare che in questo caso il Garante privacy inglese ha operato come Autorità di controllo capofila, secondo il principio dello sportello unico[38], per conto di altre autorità di controllo di alcuni Stati europei[39]. Ciò spiega il fatto che la sanzione non sia stata ancora inflitta: infatti, secondo il meccanismo dello sportello unico, i Garanti privacy degli Stati membri i cui residenti sono stati colpiti dall’incidente hanno la possibilità di commentare la decisione dell’Autorità di controllo capofila. In questo modo il Garante inglese potrà esaminare attentamente le dichiarazioni fatte dalla società e dalle altre Autorità di protezione dei dati interessate prima di prendere la decisione finale.
Questo stesso procedimento è applicabile ad un’altra sanzione, pari a 110.390.200 euro (equivalenti a 99 milioni di sterline) che l’ICO ha intenzione di infliggere alla catena di hotel Marriott International. In tal caso la sanzione si riferisce ad un incidente informatico notificato all’ICO a novembre 2018. Sono stati esposti i dati contenuti in circa 339 milioni di registri informatici degli ospiti a livello globale, di cui circa 30 milioni relativi a residenti in 31 paesi dello Spazio Economico Europeo (SEE) e circa 7 milioni legati ai residenti nel Regno Unito[40]. Si ritiene che la vulnerabilità sia iniziata quando i sistemi della catena alberghiera Starwood sono stati compromessi nel 2014. Siccome Marriott ha acquisito Starwood nel 2016, la vulnerabilità si è estesa all’intero gruppo ed è stata scoperta solo nel 2018. L’ICO ha rilevato una violazione dell’art. 32 del GDPR in quanto Marriott avrebbe dovuto gestire l’acquisizione di Starwood in modo più diligente, adottando specifiche misure di sicurezza per valutare non solo quali dati sono stati raccolti ma anche come venivano protetti dalla società acquisita[41]. L’ICO, come per la precedente decisione relativa a British Airways, in qualità di Autorità di controllo capofila esaminerà le dichiarazioni di Marriott e delle autorità di controllo interessate prima di giungere alla decisione definitiva.
Conclusioni
Le sanzioni descritte, alcune effettivamente comminate mentre altre ancora in fase di definizione (si vedano le sanzioni di luglio dell’ICO), rappresentano un segnale forte nei confronti dei Titolari del trattamento ed un ottimo parametro di valutazione dello stato della protezione dei dati in Europa. Infatti, si consideri, a titolo esemplificativo, l’importanza che riveste la ricorrenza della violazione dell’art. 32, che si concretizza nella mancanza di adeguate misure di sicurezza. Conoscere la ricorrenza di questo aspetto può spingere le istituzioni europee a sviluppare linee guida o anche servizi più strutturati in materia di misure di sicurezza, che sostengano l’operato dei Titolari del trattamento, spesso non sufficientemente sensibilizzati sulla materia. È auspicabile quindi che l’applicazione delle sanzioni serva da guida a tutti i Titolari, non solo quelli sanzionati, in modo da realizzare un’applicazione più coerente e concreta dei principi di protezione dei dati personali, così da raggiungere una comprensione piena e completa del concetto di accountability (responsabilizzazione).
[1] Regolamento (UE) n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, art. 83, https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=EN
[2] Tenendo conto delle diverse variabili di valutazione definite nel comma 2 dell’art. 83 del GDPR, le sanzioni vengono applicate secondo due modalità, a seconda della gravità delle violazioni:
  • per le violazioni di minore entità (art. 83, comma 4): se il 2% del fatturato mondiale annuo di una società è inferiore a 10 milioni, la sanzione massima applicabile sarà di 10 milioni di euro. Se invece il 2% del fatturato mondiale annuo è superiore a 10 milioni, il massimale per l’applicazione della sanzione sarà proprio il 2% del fatturato.
    Esempio: ad una società che abbia un fatturato mondiale annuo di 100 milioni di euro si applicherà la sanzione massima di 10 milioni di euro, perché il 2% del fatturato corrisponde a 2 milioni di euro, cifra inferiore alla predetta sanzione massima. Invece una società con il fatturato mondiale annuo pari a 1 miliardo di euro potrà subire una sanzione di massimo 20 milioni di euro, cioè il 2% del fatturato mondiale annuo.
  • per le violazioni di maggiore entità (art. 83, comma 5): si applica lo stesso criterio appena descritto con la differenza che la soglia massima si alza a 20 milioni di euro o il 4% del fatturato mondiale annuo.
[3] S. Cedrola, La disciplina delle sanzioni previste dal GDPR, 5 marzo 2018, https://www.iusinitinere.it/disciplina-sanzioni-previste-dal-gdpr-8445
[4] D.lgs. 101/2018 recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, art. 22, https://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg
[5] Il sito ufficiale dello CNIL: https://www.cnil.fr/professionnel
[6] La sigla LLC indica una specifica forma societaria degli Stati Uniti e rappresenta l’equivalente della società a responsabilità limitata in Italia.
[7] L’associazione è stata fondata da Max Schrems, avvocato e attivista privacy, conosciuto per essersi rivolto al Garante privacy irlandese nel 2013 per invitarlo ad agire nei confronti di Facebook Inc., con sede in California. Nello specifico, Schrems chiedeva il diniego in merito all’operazione di trasferimento dei dati personali dall’Irlanda agli Stati Uniti, anche in seguito alle rivelazioni di Edward Snowden relative alle attività portate avanti dai servizi di intelligence statunitensi (NSA). Per approfondire: H. Kuchler, Max Schrems: the man who took on Facebook – and won, 5 aprile 2018, https://www.ft.com/content/86d1ce50-3799-11e8-8eee-e06bde01c544
[8] CNIL – Commission nationale de l’informatique et des libertés, The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC, 21 gennaio 2019, https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc
[9] Ibid.
[10] Il sito ufficiale del KZLD: https://www.cpdp.bg/
[11] Комисия за защита на личните данни – KZLDhttps://www.cpdp.bg/?p=element_view&aid=2180
[12] Il sito ufficiale dell’UODO: https://uodo.gov.pl/
[13] UODO – Urząd Ochrony Danych Osobowych, The first fine imposed by the President of the Personal Data Protection Office, https://uodo.gov.pl/en/553/1009
[14] Ibid.
[15] Il sito ufficiale del Datatilsynet – personvern og informasjonssikkerhet: https://www.datatilsynet.no/en/
[16] N. Bernardi, Dati personali di minori accessibili da chiunque, per il comune scatta la multa da 170 mila euro, 23 aprile 2019, https://nicolabernardi.nova100.ilsole24ore.com/2019/04/23/dati-personali-di-minori-accessibili-da-chiunque-per-il-comune-scatta-multa-da-170mila-euro/
[17] Datatilsynet, Administrative fine of 170.000 € imposed on Bergen Municipality, 12 aprile 2019, https://www.datatilsynet.no/en/about-privacy/reports-on-specific-subjects/administrative-fine-of-170.000–imposed-on-bergen-municipality/
[18] Il Considerando 38 specifica infatti che “I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”.
[19] Garante per la protezione dei dati personali, Provvedimento su data breach – 4 aprile 2019, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9101974
[20] Il sito ufficiale del Garante per la protezione dei dati personali: https://www.garanteprivacy.it/
[21] Per approfondire i passaggi che hanno condotto alla sanzione: D. Stefanello, Internet voting: le criticità in termini di sicurezza informatica e protezione dei dati personali, 25 marzo 2019, https://www.iusinitinere.it/internet-voting-le-criticita-in-termini-di-sicurezza-informatica-e-protezione-dei-dati-personali-18735
[22] V. supra n. 19, paragrafo 4.2.
[23] V. supra n. 19, paragrafo 4.2.
[24] V. supra n. 1, art. 58.
[25] V. supra n. 5.
[26] V. supra n. 1, artt. 32 e 5.
[27] Privacy.it, Dati non protetti, dal CNIL € 400.000 di multa a società immobiliare francese, 14 giugno 2019,
[28] CNIL – Commission nationale de l’informatique et des libertés, SERGIC: sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation, 6 giugno 2019, https://www.cnil.fr/en/node/114081
[29] Il sito ufficiale del Datatilsynet: https://www.datatilsynet.dk/
[30] EDPB – European Data Protection Board, Danish DPA set to fine furniture company, 11 giugno 2019, https://edpb.europa.eu/news/national-news/2019/danish-dpa-set-fine-furniture-company_it
[31] V. supra n. 1, art. 5, comma 1, lett. e).
[32] Il sito ufficiale dell’Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/
[33]Autoriteit Persoonsgegevens, Haga beboet voor onvoldoende interne beveiliging patiëntendossiers, 16 luglio 2019, https://autoriteitpersoonsgegevens.nl/nl/nieuws/haga-beboet-voor-onvoldoende-interne-beveiliging-pati%C3%ABntendossiers
[34] Ibid.
[35] Il sito ufficiale dell’Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal: https://www.dataprotection.ro/
[36] EDPB – European Data Protection Board, First fine by the Romanian Supervisory Authority, 26 giugno 2019, https://edpb.europa.eu/news/national-news/2019/first-fine-romanian-supervisory-authority_it
[37] Il sito ufficiale dell’ICO: https://ico.org.uk/
[38] Il principio dello sportello unico (one stop shop) è stato introdotto dal GDPR ed è un meccanismo utile per armonizzare le norme sulla protezione dei dati personali e l’applicazione di tali norme nel territorio dell’Unione Europea. Si stabilisce che i titolari del trattamento possono avere a che fare con un’unica Autorità di controllo, definita Autorità di controllo capofila, cioè quella del paese dove i Titolari hanno la sede principale. Questo principio si applica solo se un Titolare ha più sedi nel territorio dell’Unione Europea oppure se il trattamento incide su individui presenti in più di uno Stato membro. Se il trattamento invece incide solo su interessati locali, il principio non si applica e la competenza rimane dell’Autorità di controllo del paese di trattamento.
Per approfondire: B. Saetta, One stop shop (sportello unico), 2 maggio 2018, https://protezionedatipersonali.it/one-stop-shop-sportello-unico
[39] ICO – Information Commissioner’s Office, Intention to fine British Airways £183.39m under GDPR for data breach, 8 luglio 2019, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/
[40] EDPB – European Data Protection Board, ICO statement: Intention to fine Marriott International, Inc more than £99 million under GDPR for data breach, 9 luglio 2019, https://edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-marriott-international-inc-more-ps99-million_it



Torna ai contenuti