Danimarca: Prima sanzione GDPR alla pubblica autorità
Il 9 marzo 2022, il tribunale di Roskilde ha condannato il comune di Lejre a pagare una multa di 50.000 DKK per mancanza di sicurezza del trattamento.
View 10.7K
words 837 read in 4 minutes, 11 Seconds
Il caso è stato segnalato alla polizia dall'Agenzia danese per la protezione dei dati nel giugno 2020 e riguarda una violazione dell'articolo 32 del regolamento sulla protezione dei dati. La sanzione corrisponde all'importo che l'Agenzia danese per la protezione dei dati aveva fissato in relazione al rapporto di polizia.
La sentenza è particolarmente interessante perché è la prima volta che un'autorità pubblica in Danimarca viene punita per aver violato le norme di legge sulla protezione dei dati. Ci sono molte altre decisioni in corso nei casi contro le autorità pubbliche. Consulta la panoramica dei rapporti di polizia dell'Agenzia danese per la protezione dei dati secondo il GDPR .
Caso in questione
La causa contro il comune di Lejre riguardava uno dei dipartimenti del comune che aveva una pratica fissa, in cui i verbali delle riunioni contenenti informazioni personali di natura molto sensibile e protetta, compresi i cittadini di età inferiore ai 18 anni, venivano caricati sul portale dei dipendenti del comune. Vi era accesso per gran parte dei dipendenti del comune, indipendentemente dal fatto che lavorassero o meno con questo tipo di casi. L'utilizzo delle informazioni non è stato registrato. Pertanto, il comune non è stato all'altezza dei requisiti per le misure di sicurezza adeguate.
L'Agenzia danese per la protezione dei dati ha denunciato il comune di Lejre alla polizia, poiché è prassi consolidata - anche prima dell'ordinanza sulla protezione dei dati personali - che il trattamento delle informazioni di natura riservata da parte delle autorità pubbliche debba essere almeno protetto dal controllo degli accessi, così come dovrebbe assicurarsi che solo i dipendenti abbiano esigenze lavorative dovrebbero avere accesso alle informazioni. Inoltre, è necessario stabilire la registrazione di questo tipo di informazioni.
Il comune di Lejre aveva riconosciuto la questione. Nella sua valutazione, la Corte ha posto un accento particolare sulla portata e sulla natura dei dati personali sensibili, nonché sul numero di persone che hanno avuto accesso non autorizzato ai dati per un lungo periodo di tempo.
Approfondimento
Il comune di Lejre è punito con una multa
L'Agenzia danese per la protezione dei dati denuncia il comune di Lejre alla polizia, poiché l'autorità valuta che il comune non ha soddisfatto i requisiti per un livello di sicurezza adeguato nell'ordinanza sulla protezione dei dati.
Il comune di Lejre è stato multato di 50.000 corone danesi per non aver adempiuto all'obbligo in qualità di titolare del trattamento di attuare misure di sicurezza adeguate.
L'Agenzia danese per la protezione dei dati è venuta a conoscenza del caso quando il comune ha segnalato una violazione della sicurezza dei dati personali. Il caso ha mostrato che il dipartimento del comune di Lejre, Center for Children and Young People, ha avuto una pratica fissa, secondo la quale sul dipendente del comune sono stati caricati verbali di riunione contenenti informazioni personali di natura molto sensibile e protetta, compreso se cittadini di età inferiore ai 18 anni portale. Sul portale dei dipendenti c'era un potenziale accesso alle informazioni per gran parte dei dipendenti del comune, indipendentemente dal fatto che i dipendenti in questione lavorassero con questo tipo di casi.
Nello stesso caso, l'Agenzia danese per la protezione dei dati ha espresso seri critiche al fatto che il comune di Lejre non abbia ottemperato all'obbligo di notificare agli interessati la violazione della sicurezza dei dati personali.
Requisiti per una sicurezza adeguata
“È nostra opinione generale che il trattamento da parte dei comuni di informazioni di natura riservata debba essere almeno protetto dal controllo degli accessi. Come punto di partenza, solo i dipendenti con esigenze lavorative dovrebbero avere accesso alle informazioni. Inoltre, la registrazione - ad es. registrazione della macchina di tutti gli usi - di solito sarà una misura di sicurezza necessaria e appropriata quando tu come comune elabora tali informazioni ", afferma Frederik Viksøe Siegumfeldt, responsabile dell'ufficio per l'unità di supervisione dell'Agenzia danese per la protezione dei dati.
Impostazione per bene
L'Agenzia danese per la protezione dei dati ha deciso di denunciare il comune di Lejre alla polizia e raccomanda che venga presentata una richiesta di multa di 50.000 DKK al comune.
Nel determinare la sanzione, l'Agenzia danese per la protezione dei dati ha sottolineato la natura della violazione (mancanza di sicurezza del trattamento), nonché la natura e la quantità dei dati personali che sono stati oggetto della violazione della sicurezza. L'accento è stato posto anche sulla dimensione del comune in termini di popolazione e licenza di esercizio totale.
Nella maggior parte dei paesi europei, le autorità nazionali per la protezione dei dati possono emettere sanzioni amministrative da sole, ma le regole sono diverse, ad es. Danimarca.
In Danimarca, funziona in modo tale che l'Agenzia danese per la protezione dei dati, dopo aver chiarito e valutato il caso, denuncia il responsabile dei dati alla polizia. La polizia quindi indaga se ci sono motivi per sollevare un'accusa, ecc., e infine un'eventuale multa sarà decisa da un tribunale.
Vuoi saperne di più?
Le richieste della stampa possono essere indirizzate al consulente per la comunicazione Anders Due al numero +45 29 49 32 83.
