sanzioni

L’autorità per la protezione dei dati personali portoghese (CNPD) ha ordinato all’istituto di statistica nazionale (INE) di sospendere ore tutti i trasferimenti di dati personali negli Stati Uniti e in qualunque altra nazione al di fuori dello spazio economico europeo in mancanza di adeguati livelli di protezione, dando 12 ore di tempo per cessare tali trasferimento.

INE trasferisce diversi dati personali di cittadini portoghesi negli USA nell’utilizzo del servizio di Cloudflare a supporto delle valutazione di soddisfazione degli utenti.

In seguito a diversi reclami, l’autorità portoghese ha effettuato delle indagini sui trasferimenti di dati da parte di INE verso paesi terzi, concludendo che Cloudflare Inc. è direttamente sottoposta alle leggi di sorveglianza nordamericane in materia di sicurezza nazionale, in particolare la FISA 702. Tali leggi impongono alle compagnie come Cloudflare di dare accesso illimitato alle autorità pubbliche USA senza informare gli interessati.

Nel motivare il provvedimento, il CNPD fa riferimento alla sentenza della Corte di Giustizia UE (cosiddetta “Schrems II”) e mette in evidenza come il solo ricorso a clausole contrattuali standard (SCC) approvate dalla Commissione, in mancanza di adeguate garanzie che rendano la protezione dei dati equivalente a quella previsa all’interno dell’EEA (European Economic Area) non sia sufficiente per giustificare i trasferimenti. Si tratta del secondo provvedimento dopo quello dell’autorità di controllo bavarese che, a marzo, ha sostanzialmente imposto di cessare l’utilizzo del tool Mailchimp a Fogs Magazin Munich (qui la notizia) con motivazioni simili.

(fonte: EDPB)

In data 11 marzo 2021, l’autorità di controllo spagnola (AEPD) ha sanzionato Vodafone España per varie violazioni collegate a campagne di marketing effettuate via SMS, telefonate o e-mail da parte di Vodafone o di società che agivano per conto di Vodafone senza avere ricevuto il consenso degli interessati. Nei loro reclami (191), gli interessati in diverse occasioni hanno detto di essere stati contattati anche se i loro dati di contatto erano presenti nelle “Robinson list” (gli elenchi di persone che non desiderano ricevere contatti fini pubblicitari.

Come fattori aggravanti, l’AEPD nelle motivazioni della sanzione spiega che Vodafone España ha ricevuto oltre 50 sanzioni dal gennaio 2018 al febbraio 2020 e che l’autorità ha ricevuto 162 reclami in meno di due anni. L’autorità spagnola ritiene che la società non abbia adottato “misure tecniche e organizzative o altri mezzi per verificare, nemmeno con metodi statistici, la legittimità del trattamento dei dati, la loro fonte, il loro filtraggio preventivo verso le operazioni di marketing o l’esclusione degli stessi dovuta alla presenza nelle “Robinson list”, nemmeno per mezzo di quegli enti ai quali ha commissionato il trattamento, e non è in grado di garantire il diritto di opposizione al trattamento”. Concludendo, l’AEPD afferma come Vodafone España non possegga un “monitoraggio reale e continuo” dei trattamenti, limitandosi lo stesso ad un “mero controllo formale iniziale”.

La sanzione “privacy” è composta come segue:

• € 4 milioni per violazione dell’art. 28 del GDPR (rapporti con il responsabile del trattamento) e dell’art. 24 (responsabilità del titolare del trattamento)
• € 2 milioni per violazione dell’art. 44 del GDPR (principio generale per il trasferimento di dati verso un paese terzo o un’organizzazione internazionale)
• € 150.000 per violazione dell’art. 21 LSSI (LEY 34/2002, de 11 de Julio, DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO)
• € 2 milioni per violazione degli art. 41 (1) b) LGT, Art. 21 GDPR (diritto di opposizione al trattamento) e Art. 23 della Ley Orgánica 3/2018 de Protección de Datos Personales

(fonte: www.spainsnews.com)