Il canvassing politico, i compiti e le risorse dei responsabili della protezione dei dati, la sicurezza dei dati, la cooperazione con la CNIL e il rispetto dei diritti delle persone: la CNIL continua a sviluppare le sue azioni di contrasto con quindici nuove sanzioni nell’ambito della procedura semplificata.
Da gennaio 2024, la CNIL ha emesso quindici nuove decisioni di sanzione nell’ambito della sua procedura semplificata, per un totale di 98.500 euro. A titolo di confronto, nell’intero 2023 la CNIL ha emesso 24 decisioni di questo tipo.
Le principali violazioni sono state le seguenti
- una violazione relativa ai compiti e alle risorse del responsabile della protezione dei dati;
- mancata collaborazione con la CNIL
- mancata garanzia della sicurezza dei dati (utilizzo del protocollo TLS e delle suite crittografiche);
- mancato rispetto dei diritti delle persone (esercizio dei diritti di cancellazione e opposizione e del diritto di accesso alla cartella clinica);
- mancata fornitura di informazioni sulle attività di propaganda politica;
- mancato adempimento degli obblighi da parte del responsabile del trattamento.
Che cos’è la procedura semplificata?
A differenza della procedura ordinaria, la procedura semplificata è più leggera: il presidente del collegio ristretto (o un membro da lui nominato) decide da solo e non si tiene alcuna udienza pubblica, a meno che l’ente non chieda di essere ascoltato.
Le sanzioni possono includere una multa fino a 20.000 euro, un’ingiunzione con una multa fino a 100 euro per ogni giorno di ritardo o un richiamo. I nomi delle organizzazioni interessate non possono essere resi pubblici.
Questa procedura consente alla CNIL di intervenire rapidamente nei casi che non presentano particolari difficoltà.
Mancato rispetto dei doveri e delle risorse del responsabile della protezione dei dati
Un’organizzazione non aveva coinvolto il proprio Responsabile della protezione dei dati (RPD) nelle riunioni riguardanti la protezione dei dati e la sicurezza dei sistemi informativi.
I RPD hanno la responsabilità di informare e consigliare i responsabili del trattamento dei dati sui loro obblighi legali e di controllarne il rispetto (articolo 39 del Regolamento generale sulla protezione dei dati). Devono quindi essere coinvolti nelle discussioni sulla protezione dei dati personali.
Inoltre, i dati di contatto e i compiti del DPO non erano stati comunicati ai dipendenti per diversi anni. Infine, il RPD non aveva accesso al sistema di messaggistica sul sito web dell’organizzazione, che consente agli interessati di esercitare i propri diritti. Non è stato quindi in grado di svolgere correttamente le sue funzioni, il che ha portato la CNIL a imporre una multa all’organizzazione.
Mancata informazione sul canvassing politico
Nell’ambito di una campagna elettorale di canvassing condotta in occasione delle elezioni presidenziali e legislative del 2022, un’associazione politica non ha adempiuto agli obblighi di informazione nei confronti delle persone.
In particolare, le informazioni richieste dagli articoli 12, 13 e 14 del GDPR che dovevano apparire sui vari siti web di comunicazione politica pubblicati dall’associazione non erano trasparenti: erano assenti dalla maggior parte dei siti o incomplete.
Inoltre, nel contesto delle operazioni di canvassing elettorale, i messaggi vocali di canvassing politico e gli SMS, i messaggi postali o la posta elettronica inviati non contenevano sistematicamente informazioni sull’esercizio dei diritti delle persone, in particolare sulla possibilità di esercitare il diritto di opposizione. I candidati alle elezioni o i partiti politici devono informare correttamente le persone e possono ispirarsi al modello proposto dalla CNIL.
La CNIL ha multato questa associazione politica.
Mancanza di sicurezza dei dati personali
Diverse organizzazioni hanno ricevuto una diffida formale a rendere conformi i loro siti web perché non utilizzavano versioni recenti del protocollo TLS prive di vulnerabilità o suite crittografiche all’avanguardia.
Al termine del periodo di conformità indicato nelle comunicazioni formali, la CNIL ha effettuato controlli sui siti web delle organizzazioni, alcune delle quali non erano ancora conformi.
È stata avviata una procedura sanzionatoria semplificata e la CNIL ha imposto multe alle organizzazioni che continuavano a utilizzare:
- il protocollo TLS 1.0 o 1.1, anche se queste due versioni non dovrebbero essere utilizzate, secondo la guida al protocollo TLS pubblicata dall’Agenzia nazionale francese per i sistemi informativi e la sicurezza (ANSSI),
- la funzione di hash SHA-1, che non è più considerata sicura, in quanto non può garantire l’integrità e la riservatezza dei dati durante la trasmissione tra il server e il browser dell’utente.