Forse non tutti sanno che, a differenza degli altri Paesi dell’Unione Europea, in Germania non c’è una sola Autorità Garante per la protezione dei dati personali, ma ne esistono addirittura 16. In pratica, in Germania ogni Land ha un suo diverso Garante della Privacy. In più esiste anche un’Autorità Garante federale, che supervisiona i trattamenti di dati personali nell’ambito dei servizi postali e delle telecomunicazioni.
La scorsa settimana, l’autorità garante di un Land, ovvero l’Autorità Garante per la Protezione dei Dati Personali del Baden-Württemberg (il Land tedesco situato a nord della Svizzera, del quale fanno parte Stoccarda, Friburgo, Mannheim e Karlsruhe) ha comminato la prima sanzione in Germania per una violazione delle disposizioni del GDPR.
Il caso
Durante l’estate del 2018, la società titolare del servizio Knuddels (una community online in cui gli utenti possono chattare e giocare) ha denunciato al Garante del Baden-Württemberg un data breach di dati personali di 330.000 utenti. Il data breach è stato causato da un attacco hacker. A seguito delle indagini, il Garante ha rilevato che l’azienda tedesca non aveva applicato alcune delle misure di sicurezza previste dall’art.32 del GDPR. In particolare, nei database dell’azienda erano conservate tutte le password degli utenti “in chiaro” (visibili) e non cifrate.
La multa comminata dal Garante è stata di 20.000 Euro, relativamente bassa se consideriamo l’entità della violazione e la platea di cittadini coinvolti. Tuttavia, il Garante del Baden-Württemberg ha spiegato che “l’obiettivo del Garante, non è competere per comminare le più alte multe possibili. Quello che realmente importa è il miglioramento del livello della protezione dei dati e la sicurezza dei dati degli utenti coinvolti”. In più, l’azienda coinvolta ha collaborato e cooperato in maniera proattiva e trasparente col Garante fin dalle prime fasi (per esempio: denunciando il data breach entro le 72 ore).
Le due lezioni che possiamo apprendere dalla vicenda:
1) Il GDPR non è materia per soli legali. Introdurre nella propria organizzazione le adeguate informative e i registri è molto importante. Tuttavia, tralasciare l’analisi dei rischi e l’adozione delle adeguate misure di sicurezza può essere molto rischioso per la vostra organizzazione. Più rischioso ancora per i soggetti interessati di cui trattate i dati.
2) Collaborare e cooperare con le Autorità Garanti in maniera trasparente e proattiva è fondamentale. Come spiegato dal Garante del Baden-Württemberg e spesso ribadito dal Garante italiano, le autorità prediligono un approccio gradualistico: prescrittivo, inibitorio e solo nei casi più gravi quello sanzionatorio. Pesanti sanzioni amministrative e in alcuni casi anche penali sono previste solo in caso di gravissime violazioni, azioni fraudolente, falsità delle dichiarazioni al garante e turbamenti o interruzioni degli aggiornamenti. In caso di data breach, segnalatelo proattivamente al Garante e non cercate di nascondere la polvere sotto il tappeto. Le conseguenze potrebbero essere più gravi di quello che pensate!