Provvedimento estremamente interessante da parte dell’Autorità Garante della protezione dei dati personali francese (“CNIL”). Si tratta di un provvedimento sanzionatorio ai danni di una piattaforma statunitense di VoIP, messaggistica istantanea e distribuzione digitale.

La società, alla quale si applica il GDPR poiché offre i propri servizi a interessati che si trovano sul territorio dell’Unione Europea (art. 3 par. 2 GDPR), si è resa inadempiente a ben cinque obblighi previsti dal GDPR ma nonostante ciò la sanzione è stata decisamente ridimensionata in termini economici.

Innanzitutto, la società non aveva definito alcuna politica di conservazione dei dati e non procedeva ad alcuna cancellazione periodica di essi, ponendosi quindi in contrasto con l’art. 5 par. 1 lett. e) GDPR. Tra i vari principi applicabili al trattamento dei dati personali, infatti, l’articolo pone anche quello di limitazione della conservazione, secondo il quale i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Sulla stessa linea, il periodo di conservazione dei dati non era nemmeno indicato nell’informativa privacy, andando quindi a delineare una violazione anche dell’art. 13 GDPR. Infatti, tra le varie informazioni da fornire quando i dati personali sono raccolti presso l’interessato, vi è anche, al par. 2 lett. a) del medesimo art. 13, il periodo di conservazione o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo. Nell’informativa, invece, i tempi di conservazioni erano indicati in maniera troppo generica, e più precisamente nei seguenti termini: “Conserviamo generalmente i dati personali per il tempo necessario per perseguire le finalità definite nel presente documento”. La CNIL, dopo aver precisato che il ricorso a criteri in sostituzione di periodi determinati è permesso solo se è impossibile fornire una durata precisa, ha ritenuto che l’informativa fosse lacunosa e carente, integrando quindi una violazione dell’art. 13 GDPR.

Ancora, la società viene sanzionata anche per la violazione dell’art. 25 c. 2 per non aver attuato una protezione dati per impostazione definita (o “privacy by default”). Nello specifico, erano previsti numerosi e non intuitivi passaggi per poter abbandonare la piattaforma: nonostante l’utente selezionasse la “X” in alto a destra, la piattaforma restava attiva senza che ciò fosse esplicito per l’utente, il quale quindi potenzialmente avrebbe continuato a utilizzare la messaggistica vocale senza esserne a conoscenza.

Ulteriore violazione da parte della società americana è quella relativa all’art. 32 GDPR, secondo il quale il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. Nel caso di specie, la piattaforma richiedeva, per la creazione di un profilo, una password di soli sei caratteri tra lettere e cifre. La CNIL ricorda invece le Linee Guida emanate nel 2017 sulla creazione di password: queste, per essere efficaci, dovrebbero essere composte da almeno otto caratteri contenenti almeno tre delle quattro categorie di caratteri (lettere maiuscole, lettere minuscole, cifre, caratteri speciali).

In ultimo, la società avrebbe dovuto effettuare una valutazione d’impatto ex art. 35 GDPR (“DPIA”) – naturalmente prima di iniziare il trattamento -in quanto il trattamento effettuato dalla piattaforma avrebbe potuto presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare, la CNIL arriva a questa conclusione considerando due aspetti: il fatto che i dati personali venissero raccolti su grande scala e che riguardassero persone vulnerabili (in particolare, minori). Ancora, la CNIL ha esaminato come, sebbene fossero state svolte due DPIA durante il procedimento davanti alla CNIL, le stesse avevano dato un esito negativo relativamente alla presenza o meno di un pericolo per i diritti e le libertà degli interessati.

Da quanto sopra è evidente la sussistenza di tutti gli elementi perché si potesse applicare l’art. 83 c. 5 lett. a) e b) GDPR, secondo il quale la violazione dei principi base del trattamento (e quindi in questo caso del principio di limitazione della conservazione ex art. 5) e la violazione dei diritti degli interessati (in questo caso, dell’obbligo di fornire un’informativa completa ex art. 13) comporta una sanzione amministrativa pecuniaria fino a € 20.000.000 o, per le imprese, fino al 4% del fatturato se superiore. Tuttavia, la CNIL ha deciso di comminare una sanzione di soli € 800.000,00 alla luce di due elementi: il fatto che la società abbia realizzato degli sforzi per rendersi adempiente agli obblighi durante la procedura, e il fatto che il business principale della società non si basi sullo sfruttamento dei dati personali.