di Giulio Coraggio
Il Garante per il trattamento dei dati personali ha emesso una sanzione di € 11 milioni che è preoccupante per l’industria dell’Internet of Things, anche in previsione del prossimo inizio dell’efficacia del regolamento privacy europeo.
Il “track record” del Garante privacy
Il Garante italiano già deteneva il record della più alta sanzione emessa nell’Unione europea per la violazione della normativa privacy. Infatti, aveva emesso nel 2014 una sanzione di € 1 milione nei confronti di Google per la raccolta di immagini relative al servizio Google Street View tramite le ore auto. Nessun’altra autorità privacy europea era riuscita fino ad oggi ad emettere una simile sanzione.
La condotta contestata a 5 società coinvolte nel money transfer
Sembrerebbe che il Garante ci tenga a mantenere il proprio record. E infatti ha sanzionato una società inglese e 4 aziende italiane che raccoglievano e trasferivano somme di denaro in Cina a favore di imprenditori cinesi, in violazione non solo della normativa antiriciclaggio, ma anche delle leggi sulla protezione dei dati personali.
Tali società eludevano le leggi antiriciclaggio tramite trasferimenti di denaro frazionati in importi tali da essere al di sotto della soglia di rilevanza, attribuendole a migliaia di ignari individui i cui dati personali venivano trattati in violazione di legge.
Il precedente suona come un allarme per l’industria dell’Internet of Things
L’aspetto più interessante ai nostri fini è che la violazione contestata dal Garante a queste società è stato il trattamento dei dati senza il consenso degli interessati. Ciò vuol dire che, aldilà del piano criminale che era dietro la condotta delle società coinvolte, la contestazione della normativa sul trattamento dei dati personali è qualcosa che può essere facilmente compiuta da qualsiasi società che raccoglie ad esempio dati dei propri clienti tramite tecnologie IoT ad insaputa degli stessi o semplicemente senza un consenso conforme con i requisiti di legge.
Il Garante è stato infatti in grado di raggiungere l’enorme importo di € 11 milioni mediante l’emissione di una sanzione di € 10.000 per ciascun trattamento illecito dei dati personali delle 1.076 persone i cui dati erano stati usati per tali trasferimenti di fondi a loro insaputa, oltre a € 50.000 a causa della concomitanza di molteplici violazioni.
L’allarme sta per diventare anche più “rumoroso”
Le sanzioni sopra indicate potrebbero in futuro anche aumentare con l’inizio dell’efficacia del Regolamento privacy europeo (il GDPR). Detta normativa che si applicherà direttamente in tutta l’Unione europea aumenterà le sanzioni fino al 4% del fatturato mondiale o € 20 milioni, a seconda di quale importo è maggiore.
Inoltre, il GDPR introduce obblighi di gran lunga più onerosi per qualsiasi società, ed evidentemente tali obblighi impatteranno maggiormente le imprese che utilizzano le tecnologie dell’Internet of Things che per loro natura fanno affidamento sul trattamento di grandi quantità di dati personali raccolti tramite i sensori.
Le nuove sanzioni saranno applicabili da maggio 2018, ma vista la mole di cambiamenti che sono necessari per conformarsi agli obblighi del GDPR, alcune società già rischiano di non essere in grado di rispettare la scadenza.