RGPD : la jurisprudence se précise !

GDPR: la giurisprudenza diventa più chiara!

GDPR: la giurisprudenza diventa più chiara! La CNIL si era già distinta infliggendo a Google, lo scorso gennaio, una multa record di 50 milioni di euro per non aver informato i propri clienti sull'utilizzo di Android, multa confermata a giugno dal Consiglio di Stato.

Oggi, l'Autorità francese per la protezione dei dati ha inflitto a Carrefour France e Carrefour Banque una multa rispettivamente di 2.250.000 e 800.000 euro.

Sebbene la CNIL abbia già adottato numerose misure repressive dall'entrata in vigore del GDPR, la deliberazione del 18 novembre ci fornisce qualche informazione in più sulla sua valutazione delle violazioni della legge e sulle ragioni che guidano le sue decisioni.

Fattori scatenanti di un'indagine

In generale, la CNIL avvia un'indagine a seguito della presentazione di una denuncia o di una segnalazione specifica, oppure di propria iniziativa nell'ambito delle sue missioni di monitoraggio.

In quest'ultimo caso, i controlli riguarderanno in modo più esteso i responsabili di un settore precedentemente individuato. 

La CNIL ha quindi definito nella sua strategia di controllo per il 2020 diverse priorità che saranno oggetto di verifiche più approfondite: i dati sanitari, la geolocalizzazione per i servizi locali, nonché i cookie e altri traccianti.

In questo caso, le due società Carrefour France e Carrefour Banque sono state oggetto di un'indagine a seguito della presentazione di 15 denunce alla CNIL tra giugno 2018 e aprile 2019.

Tali reclami riguardavano pratiche di prospezione commerciale e il mancato rispetto dei diritti di accesso e cancellazione dei dati.

La CNIL ha effettuato diversi controlli online presso le sedi delle aziende e ha avviato un'indagine formale alla fine di gennaio 2019.

La procedura contraddittoria ha dato luogo a diversi scambi di osservazioni tra la società e il relatore della CNIL, culminati nella deliberazione ufficiale del 18 novembre.

 

Motivi della decisione

La CNIL rileva il mancato rispetto di numerosi articoli del GDPR:

  • Obbligo di informazione degli interessati (articolo 13 del GDPR)

Le informazioni fornite ai singoli individui in merito al trattamento dei loro dati erano difficilmente accessibili, incomplete e sepolte in lunghi testi su altri argomenti.

La CNIL critica l’uso di termini troppo vaghi: L’uso, quasi sistematico (…), di termini come "questi trattamenti includono in particolare, per uno o più dei seguenti motivi" O “i tuoi dati potrebbero essere utilizzati” non consentono agli interessati di comprendere appieno il trattamento posto in essere.

  • Cookie (articolo 82 del Codice in materia di protezione dei dati personali)

Una volta arrivato sul sito web, a ogni visitatore venivano presentati 39 cookie prima ancora di avere la possibilità di accettarli o rifiutarli.

Tre di questi cookie appartenevano alla soluzione Google Analytics, con lo scopo di indirizzare la pubblicità agli utenti di Internet.

I dati dei visitatori del sito Carrefour.fr sono stati quindi raccolti in violazione dell'articolo 82 della legge sulla protezione dei dati.

Per maggiori informazioni sul monitoraggio degli utenti di Internet, il 1° ottobre la CNIL ha pubblicato un aggiornamento delle sue linee guida.

  • Periodo di conservazione dei dati (articolo 5.1.e del GDPR)

La CNIL ritiene che il periodo di conservazione dei dati dei clienti (4 anni) sia eccessivo: un cliente che non ha effettuato transazioni con l'azienda per diversi anni non dovrebbe più essere considerato un cliente attivo. 

La Commissione fa riferimento alla propria dottrina in materia, che raccomanda un periodo massimo di conservazione di tre anni: cita la vecchia norma semplificata n. 48 relativa ai file clienti-prospect e alle vendite online, e la sua recente bozza di quadro di riferimento relativa al trattamento dei dati personali attuato ai fini della gestione delle attività commerciali.

  • Esercizio dei diritti (art. 12 GDPR)

La procedura implementata da Carrefour France richiedeva ai richiedenti di fornire una prova d'identità nei casi in cui ciò non era necessario perché l'identità dei clienti era stata accertata.

Inoltre, in diversi casi i tempi di elaborazione delle richieste hanno superato i requisiti di legge.

  • Rispetto dei diritti (articoli 15, 17 e 21 del GDPR e L34-5 del Codice delle Poste e delle Comunicazioni Elettroniche)

La CNIL ha rilevato diversi casi di mancata risposta alle richieste di accesso, opposizione e cancellazione dei dati presentate dai ricorrenti.

  • Obbligo di trattare i dati in modo corretto (articolo 5 del GDPR)

Alcuni dati (indirizzo postale, numero di telefono, numero di figli) comunicati al momento della sottoscrizione online di una carta di credito Carrefour (Pass card) sono stati trasmessi al programma fedeltà Carrefour, in contraddizione con le informazioni fornite alle persone interessate.

  • Violazione della sicurezza (articolo 32 del GDPR)

La CNIL ha finalmente rilevato una vulnerabilità che consente l'accesso online alle fatture dei clienti e sottolinea che la misura adottata, ovvero l'aggiunta di una stringa di caratteri casuali, non è sufficiente da sola a superare tale vulnerabilità.

La CNIL sottolinea che l'ANSSI ha lanciato l'allarme su questa vulnerabilità legata agli indirizzi URL fin dal 2013.

Dopo la scoperta della vulnerabilità, sarebbe stato necessario implementare un sistema di pre-autenticazione obbligatorio.

Sforzi di conformità e sanzioni appropriate

Le aziende hanno collaborato con la CNIL durante la procedura e hanno adottato tutte le misure necessarie per rendere il trattamento dei loro dati conforme alla legge.

Sebbene la CNIL sottolinei questa cooperazione, sanziona comunque i responsabili, in ragione della gravità delle violazioni: si tratta di gravi mancanze che colpiscono un numero significativo di persone.

Tuttavia, siamo ancora lontani dalla sanzione massima che la CNIL avrebbe potuto imporre, pari a 4% di fatturato. 

Per calcolare questo fatturato, che serve da base per il calcolo della sanzione, la CNIL identifica innanzitutto l'impresa interessata.

Essa ritiene che, per valutare la nozione di impresa ai sensi degli articoli 101 e 102 del TFUE, sia opportuno prendere in considerazione il fatturato realizzato dalla società CARREFOUR FRANCE e dalle controllate da essa possedute e che hanno beneficiato del trattamento. 

Il fatturato di questa azienda (…) ammonta quindi a 14,9 miliardi di euro nel 2019.

La formazione ristretta della CNIL, tuttavia, tiene conto anche della specificità del modello economico della grande distribuzione, caratterizzato da un fatturato particolarmente elevato ma da margini bassi. 

Questi elementi hanno portato a decidere una multa di 2.250.000 euro nei confronti di Carrefour France e di 800.000 euro nei confronti di Carrefour Banque.

La gravità delle violazioni giustifica inoltre la pubblicità della decisione e costituisce un mezzo per informare i numerosi interessati.

Rimedi

La decisione della CNIL costituisce un atto di un'autorità amministrativa, suscettibile di ricorso dinanzi al Consiglio di Stato entro due mesi dalla sua notifica. 

E anche

Francia:

  • L'evento organizzato dalla CNIL il 23 novembre sul portabilità dei dati è disponibile online sul sito web dell'autorità.
  • Per sensibilizzare i comuni e gli enti intercomunali sui rischi – molto reali – degli attacchi informatici, l’ANSSI pubblica un guida ai problemi di sicurezza informaticaQuesta guida si propone di convincere i funzionari eletti a investire nello sviluppo della protezione dei loro sistemi informativi.

Europa:

  • L'autorità belga per la privacy ha concluso un accordo il 26 novembre memorandum d'intesa con DNS Belgio di sospendere i nomi di dominio “.be” dei siti che violano il GDPR.
  • Entro l'8 gennaio la Commissione europea deciderà in meritoGoogle acquisisce FitBit, un'acquisizione che solleva interrogativi in materia di protezione dei dati e concorrenza.
  • Il 12 novembre la Commissione europea ha pubblicato la sua bozza di clausole contrattuali standard, una bozza che rimarrà aperta ai commenti per quattro settimane.

Questa versione riveduta mira a porre rimedio alle conseguenze della ormai famosa sentenza Schrems II e a consentire trasferimenti di dati verso gli Stati Uniti nel rispetto della normativa europea.

Si rimanda inoltre alle raccomandazioni del Comitato europeo per la protezione dei dati sullo stesso argomento, adottate il 10 novembre.

  • La pubblicazione del nuovo regolamento europeo sui servizi digitali è prevista per l'inizio di dicembre.

L'obiettivo della Commissione è quello di regolamentare le “big tech” consentendo inoltre alle PMI/PMI di sviluppare i propri servizi, potenziare gli attori digitali e combattere la disinformazione online.

Internazionale:

  • La nuova legge canadese sulla protezione dei dati personali è stata resa più efficace, prevedendo sanzioni sostanziali per le violazioni dei suoi principi.
  • Stati Uniti: il Legge sulla privacy della California (“CPRA”) è stato adottato il 3 novembre.

Questo nuovo testo istituisce un'autorità di vigilanza, la California Privacy Protection Agency, con il potere di imporre sanzioni pecuniarie.

Si tratta della prima autorità di vigilanza in questo settore negli Stati Uniti.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.

 

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT