Multe GDPR contro Google

La (CNIL), l'autorità francese per la protezione dei dati (DPA), ha imposto una multa di 50 milioni di euro ($57 milioni) a Google per aver violato i requisiti di trasparenza, informazione e consenso del GDPR nella distribuzione di annunci pubblicitari mirati. Il 21 gennaio 2019 è stata emessa la sanzione più grande mai comminata dal GDPR e la prima che ha coinvolto una società tecnologica statunitense.

L'indagine della CNIL è stata avviata dalle denunce di due gruppi di difesa, None of Your Business e La Quadrature du Net, presentate immediatamente alla data di entrata in vigore del GDPR, il 25 maggio 2018. Le denunce riguardavano il presunto "consenso forzato", in base al quale gli utenti di dispositivi mobili basati su Android dovevano accettare l'intera politica sulla privacy e i termini di servizio di Google prima di utilizzare il dispositivo Android. Google non dispone di una base legale per elaborare i dati personali degli utenti in relazione alla personalizzazione degli annunci.

Perché una multa da 50 milioni di euro?

La CNIL si è basata su quattro fattori per emettere la sua multa di 50 milioni di euro.

1. Natura delle violazioni relative alla liceità (art. 6) e alla trasparenza (artt. 12 e 13), entrambi principi fondamentali del GDPR ed elencati come quelli che fanno scattare la soglia sanzionatoria più alta (del 4% del Fisco Internazionale) nel GDPR ( 83,5).
2. Perché le violazioni sono state continue e continuate anche dopo la data di entrata in vigore del GDPR.
3. Le finalità del trattamento, la loro portata e il numero di soggetti interessati.
   • L'indagine della CNIL si è concentrata sugli utenti che hanno creato un account Google durante la configurazione del proprio dispositivo Android e ha rilevato che si tratta di un numero molto elevato di individui.
   • Essi sostengono che, a causa della quota di mercato dominante di Android nel mercato francese degli smartphone e del numero di utenti di smartphone in Francia, il trattamento è vasto.
   • Considerato anche il numero dei servizi Google coinvolti (più di venti).
     • La varietà e il tipo di dati coinvolti
     • I molteplici processi tecnologici che consentono a Google di combinare e analizzare dati provenienti da vari servizi, applicazioni o fonti esterne.
     • Questi processi hanno innegabilmente un “effetto moltiplicatore” sulla conoscenza che l’azienda ha dei propri utenti.
     • L'azienda dispone dei mezzi per combinazioni potenzialmente illimitate che consentono un utilizzo massiccio e intrusivo dei dati dei consumatori.
4. Osservando le violazioni dal punto di vista del modello economico di Google,
   • Il trattamento dei dati dell'utente per scopi pubblicitari tramite Android.
   • Vantaggi che Google ottiene da tale trattamento,
   • La CNIL ha ritenuto che Google debba essere particolarmente cauto riguardo alle proprie responsabilità ai sensi del GDPR.

La CNIL non spiega come sia arrivata alla cifra di 50 milioni di euro, ma indica che queste violazioni sarebbero soggette alla sanzione massima 4% del GDPR. La multa si basava sul fatturato globale di Google del 2017 pari a 96 miliardi di euro. È chiaro che la CNIL non ha imposto la sanzione massima. Tuttavia, oltre a dire che la multa di 50 milioni di euro era “giustificata”. La CNIL non fornisce alcuna motivazione in merito a questo importo iniziale o al modo in cui i fattori sopra menzionati hanno influenzato l'importo.

Decisioni e multe del 2018

Questo caso contro Google rappresenta la prima azione esecutiva pubblicata dalla CNIL, esplicitamente ai sensi del GDPR e la sanzione più grande che abbia mai imposto. Si evidenzia inoltre il controllo della CNIL sull'informazione e sul consenso nella pubblicità online, che si è andato sviluppando negli ultimi mesi, come evidenziato da altre recenti decisioni della CNIL.

Questa multa arriva un mese dopo che la DPA italiana ha multato Facebook di 10 milioni di euro per aver ingannato i propri utenti sulle pratiche relative ai dati. L'autorità di vigilanza ha affermato che Facebook ha erroneamente sottolineato la natura gratuita del servizio senza informare gli utenti del fatto che i loro dati sarebbero stati utilizzati per generare un profitto per l'azienda.

Google non è stata la prima multa GDPR, ma solo la più grande fino ad oggi.

La prima sanzione è stata emessa in Austria nell’ottobre 2018, sebbene non sia strettamente correlata al trattamento dei dati personali. Un negozio di scommesse ha ricevuto una multa di 4.800 euro per una telecamera di sicurezza che riprendeva parte del marciapiede esterno poiché il monitoraggio su larga scala degli spazi pubblici non è consentito dal GDPR.

Alla fine di ottobre, il Commissione nazionale per la protezione dei dati (Commissione nazionale per la protezione dei dati) in Portogallo ha inflitto tre multe all'Hospital do Barreiro: si tratta delle prime multe relative al trattamento e alla conservazione dei dati personali. Due sanzioni da 150.000 euro e un'altra da 100.000 euro. Per un costo totale per l'ospedale di 400mila euro. Le prime due multe da 150.000 euro riguardavano la violazione del principio di integrità e riservatezza dei dati e la violazione del principio di minimizzazione dei dati, che in teoria impedisce l'accesso indiscriminato ai dati. 985 medici avevano account attivi sul sistema che dava loro accesso ai file clinici, mentre l'ospedale aveva solo 296 medici attivi alla data dell'ispezione.

La terza sanzione riguardava l'incapacità dell'Ospedale in qualità di titolare del trattamento di garantire la riservatezza e l'integrità dei dati dei propri clienti e pazienti.

A metà novembre, un social network tedesco, Knuddels.de, ha ricevuto 20.000€ multa dopo un attacco informatico che ha causato la fuga di 808.000 indirizzi e-mail, insieme a oltre 1,8 milioni di nomi utente e password. Queste informazioni sono state poi pubblicate online senza crittografia. Il social network ha reagito dicendo che, una volta scoperta la fuga di notizie, ha immediatamente migliorato le proprie misure di sicurezza.

Dopo l'incidente, si è scoperto che il sito non aveva alcun tipo di protezione sulle sue informazioni sensibili. Secondo LfDI Baden-Württemberg, l’agenzia tedesca per la protezione dei dati che si occupa di questo caso, uno dei motivi per cui il sito web ha ricevuto una multa “relativamente bassa” è che ha agito con trasparenza e implementato rapidamente miglioramenti della sicurezza.

Sanzioni più alte previste nel 2019

Le sanzioni economiche finora sono chiaramente prudenti rispetto alle massime sanzioni possibili consentite, ma con la recente ondata di fughe di dati di alto profilo da parte di Marriott, British Airways, E Quora non passerà molto tempo prima che comincino ad apparire multe più grandi e più severe.

Come evitare le sanzioni GDPR?

Cosa puoi fare per evitare una multa di milioni di euro o dollari? La cosa più importante da tenere a mente è che prevenire è meglio che curare. Avendo appropriato protezione dalla fuga di dati in vigore per i dati personali gestiti dalla tua azienda, puoi evitare sanzioni e multe.

• Inizia determinando se l'archiviazione online o su Prim è la soluzione giusta per le tue esigenze

• Controllare chi ha accesso ad esso

• Tieni presente che se usi Sincronizza e condividi invece di a soluzione di condivisione file su cloud privato, hai appena raddoppiato la quantità di dati che hai e hai anche raddoppiato # di posizioni che devi difendere. Inoltre uno di questi luoghi su cui non hai alcun controllo.

• La complessità riduce la sicurezza. Più una soluzione è complessa, meno verrà utilizzata.