Questa volta a sanzionare è il Garante greco che rende noto di aver sanzionato in maniera esemplare Vodafone con una multa pari a euro 550mila: 350mila euro per violazione dell’art. 28 più 200 mila euro per violazione di uno dei principi cardini del GDPR di accuratezza, e 40mila euro al suo responsabile del trattamento l’affiliato Ds Phone per aver violato a sua volta il GDPR.

Ecco perché l’Autorità Garante greca ha comminato la maximulta a Vodafone e al suo responsabile del trattamento dati.

Il caso e le difese

Un abbonato/utente Vodafone si è rivolto all’Autorità Garante privacy greca, in quanto lì si trovava ai tempi dell’accaduto, quando ha subìto una registrazione illegale di più connessioni mobili (oltre 15) prepagate a suo nome, patendo quindi un furto di identità.

Nella vicenda tuttavia entra in gioco anche un’altra società in franchising affiliata Vodafone, DS Phone, che effettuava materialmente l’errata identificazione che poi ha generato la violazione dei dati, senza nemmeno rilevarla.

Il trattamento illecito dei dati ha avuto conseguenze sia a carico di Vodafone, quale titolare del trattamento, che a carico di DS Phone, come responsabile del trattamento.

Quest’ultimo si è difeso sostenendo che, nel caso di specie “l’intenzione era quella di registrare quei 15 numeri sotto l’identità di un accompagnatore turistico di gruppo, e che, per errore, una copia della carta d’identità del denunciante – memorizzata nel sistema di un negozio partner a cui la società aveva accesso – era allegata alla domanda”.

Successivamente, i dati personali della persona che ha denunciato erano risultati collegati a tali abbonamenti. La indicavano come proprietaria, “sebbene non fosse mai stata in possesso delle loro schede SIM”.

Vodafone per parte sua smentisce, cercando di distanziarsi dalla pratica contestata di “scambio di documenti (di identità) tra partner” dicendo che la stessa non solo non è contemplata nelle procedure di Vodafone, ma in palese violazione delle stesse.

In ogni caso, provvedeva a segnalare il data breach all’Autorità garante greca secondo i crismi dettati dall’art. 33.

La decisione

Il cuore della decisione lo si ricava dall’estratto sintetico che riportiamo tal quale ove si legge infatti che “nell’ambito dell’audit amministrativo condotto dall’Autorità è emerso che il responsabile del trattamento ha agito in violazione delle istruzioni di Vodafone, in qualità di titolare del trattamento, e non ha seguito la procedura di identificazione dell’abbonato nel punto vendita. […] Allo stesso tempo, è stata riscontrata anche una violazione da parte di Vodafone, in qualità di titolare del trattamento, in merito ai suoi obblighi di attuare misure tecniche e organizzative adeguate, di selezionare idonei responsabili del trattamento e di controllarli in modo efficace, nonché una violazione del principio di accuratezza dei dati”.

Una lezione per tutti: i 3 errori da evitare

Dal provvedimento, ecco che emergono almeno tre errori da evitare e che speriamo facciano scuola, traendo spunto da questo caso:

• scegliere responsabili del trattamento non idonei né adeguati;
• non vigilare efficacemente sull’operato del responsabile;
• non fare la DPIA, e avere misure di sicurezza insufficienti e inefficaci.

Primo errore

Innanzitutto, è fondamentale scegliere bene i propri fornitori che agiscono
in qualità di responsabili da trattamento da formalizzare ex art. 28 Gdpr nelle preferibili forme di cui alle SCC.

La sottoscrizione di un contratto o altro atto giuridico ben fatto nel senso di conforme non rappresenta soltanto una mera formalità, ma è un requisito sostanziale di legge (art. 28, par. 3).

Nel caso specifico, si legge nel provvedimento, “non era stato concluso alcun contratto appropriato con il responsabile del trattamento ai sensi dell’art. 28, par. 3 GDPR”.

Ora è interessante notare come il termine ’“appropriato” faccia venire a mente quella idoneità del fornitore/responsabile chiamato ad avere sufficienti garanzie, per rivestire il ruolo da responsabile.

Garanzie che nel caso di specie si sono rivelate, stando alla lettura degli atti, totalmente inadeguate dal momento che il fornitore in questione non era stato neppure in grado di rilevare il data breach.

Secondo errore di Vodafone e del responsabile trattamento dati

Oltre al fatto che il titolare deve avvalersi “solo di responsabili del trattamento che forniscano garanzie sufficienti per l’attuazione di misure tecniche e organizzative adeguate”, è chiamato altresì ad “esercitare un’efficace vigilanza attraverso controlli e ispezioni nei punti vendita del responsabile del trattamento”.

In altri termini, al titolare è richiesto un attento controllo sull’operato del responsabile, con frequenti audit (concordanti), non bastando semplicemente nominarlo, fornirgli le istruzioni sulla carta e lasciarlo operare senza alcuna verifica, a campione.

Terzo errore

Infine, l’importanza della valutazione di impatto (art. 35) il cui adempimento non solo va fatto, ma va anche verificato nelle sue risultanze.

Dalla lettura del provvedimento abbiamo tratto che, nel caso di specie, Vodafone non aveva fatto la valutazione di impatto, se non dopo l’avvio dell’istruttoria da parte dell’Autorità garante greca, leggendo nel testo “fino al momento in cui si è verificato l’incidente, le misure adottate sia per identificare i clienti sia per evitare il riutilizzo dei loro documenti erano incomplete”.

Non solo, “lo studio sulla valutazione d’impatto sulla protezione dei dati (DPIA) non sembra aver considerato il rischio di un’assegnazione di massa di numeri da parte di partner malintenzionati o terzi”, con la ovvia conseguenza di avere
misure di sicurezza del tutto insufficienti.

Mentre le misure di sicurezza devono essere sufficienti ed efficaci cioè realmente forti, idonee a prevenire incidenti di sicurezza in futuro.