L’operato del Garante privacy, che ha inflitto sanzioni per un totale di oltre 11 milioni di euro nei confronti di cinque società che operano nel settore del money transfer, ha ricevuto un apprezzamento internazionale. Lo IAPP, l’International Association of Privacy Professionals, la più grande community al mondo sul tema privacy, ha riportato la notizia sul suo sito web definendola “una delle più importanti tra le recenti in materia di protezione dei dati personali”. L’articolo ricorda, inoltre, che l’Autorità italiana non è la prima volta che mostra il pugno duro: è già successo, per esempio, nel 2013 nei confronti di Google sanzionata con una multa da 1 milione di euro per aver violato con Google Street View i principi giuridici sulla protezione dei dati.
L’endorsement all’intervento dell’Autorità, presieduta da Antonello Soro, è giunto anche dal Canada, in particolare da Ann Cavoukian, direttore esecutivo di Privacy e Big data Institute presso l’università di Ryerson, che si chiede se queste sanzioni così salate possano diventare un trend nell’Unione Europea, in vista anche dell’entrata in vigore, dal 25 maggio 2018, del regolamento generale sulla protezione dei dati (GDPR).
Italy’s Garante issues highest fines for privacy infractions: will this be an EU trend? Paving the way to the GDPR. https://t.co/l6J108Ybk4
— Ann Cavoukian (@AnnCavoukian) 15 marzo 2017
I fatti. Cosa è successo
Soldi inviati a nome di persone ignare. Per assecondare il desiderio della clientela di impedire l’associazione tra le rimesse finanziarie e i reali mittenti le 5 società, sanzionate dal Garante per la protezione dei dati personali, operavano attraverso la tecnica del frazionamento (dividendo cioè le somme di denaro in più operazioni sotto la soglia prevista dalla normativa antiriciclaggio) e attribuivano i trasferimenti di denaro a più di mille clienti del tutto ignari, utilizzando illecitamente i loro dati. Dunque è emerso che il trattamento dei dati avveniva senza consenso. I nominativi ai quali erano intestati i trasferimenti non erano mai i reali mittenti e, in alcuni casi, i moduli risultavano compilati da persone decedute o inesistenti, oppure non firmati. Gli invii di denaro, poi, venivano effettuati a pochi secondi l’uno dall’altro, per importi appena sotto soglia e indirizzati allo stesso destinatario. I nominativi cui erano attribuiti i trasferimenti, inoltre, erano tratti da fotocopie di documenti di identità, conservati in appostiti raccoglitori, e da utilizzare all’occorrenza.
Sanzioni da record
Alla luce dei risultati dell’indagine, il Garante, tenuto conto della gravità delle violazioni commesse dalle società, del numero delle persone coinvolte i cui dati sono stati trattati senza consenso e della rilevanza della banca dati, ha inflitto le seguenti sanzioni: 5.880.000 euro alla multinazionale, 1.590.000, 1.430.000, 1.260.00 e 850.000 euro rispettivamente ad ognuna delle altre quattro società, per un importo complessivo di oltre 11 milioni di euro.