Multa di oltre 9,5 milioni Euro per violazioni al GDPR inflitta dal Garante tedesco ad un fornitore di servizi di telecomunicazioni ridotta del 90% in sede contenziosa
Non c’è dubbio che il Regolamento generale sulla protezione dei dati (GDPR) sia stato un enorme passo avanti verso un panorama giuridico armonizzato per la data privacy nell’Unione europea (UE) e nello Spazio economico europeo (SEE). Tuttavia, due anni e mezzo dopo l’introduzione del GDPR, le Autorità garanti negli Stati membri dell’UE stanno ancora dibattendo alcuni dei suoi aspetti per i quali non hanno adottato un approccio uniforme. Ciò è particolarmente vero per le sanzioni imposte ai titolari del trattamento per mancata conformità alle leggi sulla privacy dei dati.
In linea generale, il legislatore comunitario ha previsto, per tutti i casi di danno prodotto, all’interessato o a terzi, nello svolgimento delle attività connesse al trattamento, un principio di responsabilità civile ripartita tra titolare e responsabile del trattamento dei dati. In particolare, dall’art. 83 del Regolamento emerge il principio di proporzionalità della pena alla violazione, in considerazione della gravità del fatto commesso e della natura dolosa o colposa della trasgressione, nonché di eventuali reiterazioni del comportamento illecito e di collaborazione con l’organo competente a comminare le sanzioni.
Ogni Autorità Garante per la Protezione dei Dati Personali pertanto valuta le singole violazioni tenendo in conto, così come indicato al considerando 148 del Regolamento, affinché le sanzioni siano sempre effettive, proporzionate e dissuasive, la natura, la gravità, la durata della violazione, il carattere doloso o colposo della stessa e le categorie di dati personali interessate dalla violazione.
Come noto, l’art. 83 Gdpr distingue due gruppi di sanzioni amministrative, come schematizzato di seguito:
fino a 10 milioni di euro per le imprese: fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore | Violazioni di minore gravità commesse dai seguenti soggetti: – il titolare ed il responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43 Gdpr); – l’organismo di certificazione (Accredia); – l’organismo di controllo dei codici di condotta (art. 41 Gdpr). |
fino a 20 milioni di euro per le imprese: fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore | Violazioni di maggiore gravità: – dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; – dei diritti degli interessati a norma degli articoli da 12 a 22; – i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49; – qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; – l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 Gdpr. |
Nel marzo 2019 l’autorità olandese per la protezione dei dati era stata la prima nell’UE a elaborare una struttura documentata su come calcolare le sanzioni previste dal GDPR per futuri casi di trattamento illegale dei dati e violazioni degli obblighi di riservatezza dei dati, creando quattro diverse categorie di non conformità al GDPR. Sebbene abbia stabilito multe predefinite per le violazioni in ciascuna categoria, aveva anche impostato un intervallo da applicare a seconda delle caratteristiche specifiche di una violazione.
La prima categoria è riservata a violazioni “semplici” come l’insufficiente registrazione delle responsabilità dei responsabili o contitolari del trattamento e la mancata pubblicazione dei dati di contatto del Responsabile della protezione dei dati (DPO).
La seconda categoria è riservata al mancato rispetto di determinati requisiti per il trattamento, come la mancata conclusione di accordi sul trattamento dei dati con i responsabili del trattamento, la protezione insufficiente dei dati personali, la mancata conduzione di valutazioni d’impatto o non garantire l’indipendenza del DPO.
Esempi della terza categoria includono violazioni del requisito di trasparenza, mancata notifica di data breaches e mancata collaborazione con la DPA olandese.
La quarta categoria è riservata al trattamento illecito di categorie speciali di dati (compreso il numero di identificazione nazionale), profilazione illecita e non conforme a specifici ordini della DPA olandese.
È interessante notare che le categorie I e II non corrispondono a violazioni punibili con la sanzione GDPR inferiore (10 milioni di euro), né le categorie III e IV corrispondono esclusivamente a violazioni punibili con la sanzione GDPR di 20 milioni di euro.
Il Garante olandese si discosta dall’importo predefinito elencato se vi sono circostanze attenuanti o aggravanti, come la natura, la gravità e la durata della violazione, il numero delle persone interessate e l’entità dei danni. Ancora più importante, se l’importo è ritenuto non adeguato, l’autorità olandese per la protezione dei dati può ancora imporre la multa massima di 20 milioni di euro o il 4% dei ricavi.
Nell’ottobre 2019 la Conferenza delle Autorità tedesche per la protezione dei dati (Datenschutzkonferenz) ha introdotto una diversa struttura in cinque fasi[1], che sostanzialmente parte anch’essa dalle dimensioni dell’azienda e fatturato medio annuo, prima di prendere in considerazione la gravità dell’infrazione, inclusi eventuali fattori attenuanti.
In particolare,
- l’impresa viene inizialmente assegnata a una categoria di dimensioni, successivamente
- verrà determinato il fatturato medio annuo della rispettiva sottocategoria della categoria di dimensioni, quindi
- viene calcolato un valore di base economico,
- questo valore di base verrà moltiplicato per un fattore che dipende dalla gravità dell’atto e
- il valore determinato al punto 4.sarà successivamente adeguato in base alle circostanze relative al trasgressore e ad altre, non ancora incluse.
Questo metodo garantisce una forma di commisurazione delle sanzioni comprensibile, trasparente ed equa per il singolo caso.
Sulla base di questo concept, le DPA tedesche hanno imposto alcune ammende notevoli ai titolari del trattamento dei dati.
Una di queste sanzioni è stata recentemente soggetta a revisione presso il Tribunale regionale di Bonn, con una riduzione dell’ammenda di circa il 90%.
In questo caso, il Commissario federale per la protezione dei Dati e la libertà di Informazione (BfDI) aveva inflitto un’ammenda di EUR 9.550.000 al fornitore di servizi di telecomunicazioni ‘1 & 1 Telecom GmbH’, poiché l’azienda non aveva predisposto misure tecniche e organizzative (art 32 GDPR) adeguate per impedire a persone non autorizzate di ottenere informazioni sui clienti tramite i suoi call center della hotline del servizio di assistenza clienti[2].
A questo proposito, il commissario federale Ulrich Kelber aveva affermato: “La protezione dei dati è la protezione dei diritti fondamentali. Le ammende inflitte sono un chiaro segno che rafforzeremo questa protezione dei diritti fondamentali. Il regolamento generale europeo sulla protezione dei dati (GDPR) ci offre l’opportunità di punire in modo decisivo una protezione insufficiente dei dati personali. Applichiamo questi poteri tenendo conto della proporzionalità richiesta”[3].
Nel caso di ‘1 & 1 Telecom GmbH’, la BfDI aveva appurato che le persone che chiamavano la hotline del servizio clienti della società potevano ottenere ampie informazioni su dati personali con facilità: nella fattispecie, un operatore del call center aveva rilasciato informazioni personali (numero di cellulare) a una persona che aveva chiamato affermando falsamente di essere la moglie di uno dei clienti e in seguito aveva utilizzato il numero di cellulare per assoggettare il cliente a stalking. Gli unici fattori di autenticazione richiesti dall’operatore del call center erano stati il nome e la data di nascita del cliente ‘1 & 1’ in questione.
La BfDI aveva ritenuto che questa procedura di autenticazione fosse in violazione dell’articolo 32 del GDPR che obbliga l’azienda ad adottare misure tecniche e organizzative adeguate per proteggere sistematicamente il trattamento dei dati personali.
Dopo che la BfDI aveva criticato l’insufficiente protezione dei dati, ‘1 & 1 Telecom GmbH’ si era dimostrata comprensiva e altamente collaborativa. Come primo passo, la procedura di autenticazione era stata rafforzata richiedendo ulteriori informazioni, poi, a seguito della consultazione con la BfDI, la società aveva provveduto a introdurre una nuova procedura di autenticazione che era stata notevolmente migliorata in termini di tecnologia e protezione dei dati[4].
“Nonostante tali misure, era necessario infliggere un’ammenda. Tra le altre cose, l’infrazione non era limitata a un numero limitato di clienti, ma rappresentava un rischio per l’intera base di clienti. Tuttavia, il BfDI era rimasto nella fascia più bassa delle possibili ammende poiché ‘1 & 1 Telecom GmbH’ si era dimostrata molto collaborativa durante l’intera procedura”[5].
Nella vicenda si è verificata una chiara violazione della protezione dei dati perché il fornitore di servizi di telecomunicazione non aveva protetto i dati dei propri clienti nell’ambito della comunicazione tramite il cosiddetto call center con una procedura di autenticazione sufficientemente sicura. In questo modo, i chiamanti non autorizzati sono stati in grado di utilizzare dati facilmente reperibili (nome e data di nascita) per accedere ad altri dati del cliente, come ad es. il nuovo numero di telefono.
Il tribunale regionale di Bonn, pur confermando il parere del commissario federale secondo cui il trattamento dei dati personali era illegale, ha stabilito una riduzione significativa dell’importo della sanzione riducendolo a 0,9 milioni di euro, ovvero una riduzione di ben il 90 per cento[6].
La Corte ha tenuto in considerazione che il trattamento illecito (rilascio del numero di cellulare) era relativo a un singolo evento, che non riguardava dati sensibili o un volume elevato di dati. La colpa del fornitore di servizi di telecomunicazione è stata valutata come bassa. “Per quanto riguarda la pratica di autenticazione praticata negli anni, che non era stata contestata fino all’emissione della sanzione, è mancata la consapevolezza del problema. Inoltre, si dovrebbe tenere conto del fatto che si tratta solo di una violazione minore della protezione dei dati. Ciò non avrebbe potuto portare al rilascio massiccio di dati a persone non autorizzate”[7].
È interessante notare che in pratica la Corte ha stabilito che le determinazioni delle sanzioni previste dal GDPR basate esclusivamente sul fatturato annuale di un’impresa non sono appropriate. Tuttavia, la Corte ha anche rilevato che la responsabilità di un’impresa per le violazioni del GDPR non richiede che uno specifico rappresentante o responsabile di tale impresa abbia commesso la violazione del GDPR. In tal modo, la Corte ha lasciato prevalere le regole del GDPR e ha deciso di non applicare i principi di base della legge tedesca sui reati amministrativi, come sottolineato nello stesso comunicato.
Sebbene il testo completo della sentenza della Corte non sia ancora disponibile ed entrambe le parti, cioè sia il Commissario federale che il fornitore di servizi di telecomunicazioni, possano ancora presentare ricorso contro la sentenza, questo caso mostra che la materia delle sanzioni per violazioni al GDPR
- è ben lontana dall’essere consolidata e
- non è stato ancora raggiunto un approccio paneuropeo.
In definitiva, per le Law Firm, la sentenza dimostra che, in caso di appello contro le ammende inflitte dalle DPA, in generale potrebbero sussistere non poche probabilità di successo.
D’altronde, non va dimenticato che il principio di proporzionalità trae origine proprio dalla giurisprudenza costituzionale e amministrativa tedesca[8] e successivamente è stato fatto proprio dalla Corte di Giustizia UE soprattutto in materia di sanzioni, di aiuti di Stato, di deroghe alle regole della concorrenza, assurgendo così a principio generale dell’ordinamento comunitario.
Note
[1] Cfr.il “Concept of the independent data protection authorities of the Federation and the Länder for the admeasurement of fines in proceedings against undertakings” pubblicato dalla Conference of the independent data protection authorities of the Federation and the Länder il 14 ottobre 2019, in https://www.datenschutzkonferenz-online.de/media/dskb/20191126_dsk_fining_concept_en.pdf.
[2] Cfr. EDPB News, “BfDI imposes Fines on Telecommunications Service Providers” – Wednesday, 18 December, 2019 in https://edpb.europa.eu/news/national-news/2019/bfdi-imposes-fines-telecommunications-service-providers_it.
[3] Ibidem.
[4] Ibidem.
[5] Ibidem.
[6] Cfr. Comunicato stampa – Bonn, 11/11/2020 – Sentenza nel procedimento di ammenda contro un fornitore di servizi di telecomunicazioni (Urteil im Bußgeldverfahren gegen einen Telekommunikationsdienstleister) in https://www.lg-bonn.nrw.de/behoerde/presse/zt_aktuell_020/Aktuelle-Pressemitteilung/index.php.
[7] Ibidem.
[8] Si veda ad es. Francesco Nicotra, “Una misura dell’esercizio del potere amministrativo: il principio di proporzionalità dell’azione amministrativa. Nota a Consiglio di Stato, IV Sezione, 26 febbraio 2015, n. 964”, 18 Settembre 2015 in https://www.filodiritto.com/una-misura-dellesercizio-del-potere-amministrativo-il-principio-di-proporzionalita-dellazione-amministrativa.
Articolo a cura di Sergio Guida
Da economista aziendale, ha maturato esperienze direzionali in gruppi industriali diversi per settori, dimensioni e caratteristiche. Specializzato in pianificazione strategica e controllo di gestione, finanza, risk e project management, sistemi di gestione e rendicontazione integrativi (sociale, ambientale e intangible assets), è stato relatore in convegni e seminari e pubblica articoli di economia, finanza, digital transformation, data governance, public health, compliance & regulatory affairs.
Ha seguito percorsi multidisciplinari su Design Thinking, Human-Computer Interaction, Data protection & Privacy, Digital Health & Therapeutics. Business angel, segue con attenzione il mondo delle Startup.