Il commissario di Stato del Baden-Wuerttemberg per la protezione dei dati e la libertà di informazione impone un’ammenda all’AOK Baden-Wuerttemberg –
Un’efficace protezione dei dati richiede un regolare monitoraggio e adeguamento
A causa di una violazione degli obblighi di trattamento sicuro dei dati (articolo 32 del Regolamento generale europeo sulla protezione dei dati, GDPR), il Dipartimento delle multe del Commissario di Stato del Baden-Wuerttemberg per la protezione dei dati e la libertà di informazione (LfDI) ha comminato un’ammenda di 1.240.000 € contro l’AOK Baden- Wuerttemberg.
Allo stesso tempo, il Dipartimento delle ammende, in collaborazione costruttiva con l’AOK, ha anche spianato la strada per un miglioramento delle misure tecniche e organizzative per la protezione dei dati personali presso l’AOK Baden- Wuerttemberg.
Dal 2015 al 2019, l’AOK Baden-Wuerttemberg ha ospitato lotterie in diverse occasioni. In questo contesto, l’AOK ha raccolto i dati personali dei partecipanti, inclusi i dettagli di contatto e l’affiliazione all’assicurazione sanitaria. Tra l’altro, l’AOK desiderava utilizzare questi dati a fini pubblicitari, a condizione che i partecipanti avessero acconsentito di conseguenza.
Attraverso misure tecniche e organizzative, che includevano linee guida interne e corsi di formazione sulla protezione dei dati, tra gli altri, l’AOK voleva garantire che solo i dati dei partecipanti all’estrazione che avevano dato il loro consenso preventivo e valido fossero utilizzati a fini pubblicitari.
Tali misure stabilite dall’AOK non erano tuttavia conformi ai requisiti legali. I dati personali di oltre 500 partecipanti all’estrazione sono stati quindi utilizzati a fini pubblicitari senza il loro consenso.
L’AOK Baden-Wuerttemberg ha interrotto tutte le attività di vendita immediatamente dopo la diffusione dell’accusa, al fine di verificare accuratamente tutte le procedure. Inoltre, l’AOK ha creato una task force per la protezione dei dati nelle vendite e ha apportato modifiche che riguardavano, in particolare, le procedure interne e le strutture di controllo, oltre alle dichiarazioni di consenso. Ulteriori misure devono essere adottate in stretto coordinamento con l’IFDI.
Nell’ambito che l’articolo 83, paragrafo 4, del regolamento generale sulla protezione dei dati stabilisce le multe, le revisioni interne e gli adeguamenti interni delle misure tecniche e organizzative, nonché la cooperazione costruttiva con la LfDI, sono state espresse a favore dell’AOK.
Pertanto, in breve tempo è stato raggiunto un aumento del livello di protezione dei dati personali relativi alle attività di vendita dell’AOK. In futuro, l’AOK continuerà e, se necessario, adeguerà questi miglioramenti e meccanismi di controllo aggiuntivi, in conformità con le specifiche e le raccomandazioni stabilite dal Commissario di Stato per la protezione dei dati e la libertà di informazione del Baden-Wuerttemberg.
Nel valutare l’ammenda, il Commissario ha preso in considerazione fattori quali le dimensioni e la pertinenza dell’AOK Baden-Wuerttemberg. Ha inoltre prestato particolare attenzione al fatto che l’AOK sia un’assicurazione sanitaria obbligatoria e quindi una parte importante del nostro sistema sanitario, poiché l’AOK ha l’obbligo legale di preservare, ripristinare o migliorare la salute delle persone assicurate.
Il GDPR richiede che le ammende non solo siano efficaci e dissuasive, ma anche proporzionate. Nel determinare l’importo dell’ammenda, il commissario doveva quindi garantire che l’adempimento di tale obbligo statutario non fosse messo in pericolo.
A tal fine, è stata prestata particolare attenzione alle sfide che l’AOK attualmente deve affrontare a causa della pandemia di Corona.
La sicurezza dei dati è un compito costante, sottolinea il Commissario di Stato del Baden-Württemberg per la protezione dei dati e la libertà di informazione, Dr. Stefan Brink. Le misure tecniche e organizzative devono essere adeguate alle condizioni effettive su base regolare, in modo da garantire un livello adeguato di protezione a lungo termine.
In questo contesto, viene regolarmente attribuita grande importanza alla garanzia delle condizioni di conformità della protezione dei dati, nonché alla buona cooperazione dei responsabili del trattamento con l’IFDI. Brink conclude, Il nostro obiettivo non è quello di emettere multe il più alte possibile, ma piuttosto di raggiungere un livello di protezione dei dati che sia il più buono e appropriato possibile.