Italy’s Garante issues highest fines for privacy infractions: will this be an EU trend? Paving the way to the GDPR. https://t.co/l6J108Ybk4
— Ann Cavoukian (@AnnCavoukian) 15 marzo 2017
I fatti. Cosa è successo
Soldi inviati a nome di persone ignare. Per assecondare il desiderio della clientela di impedire l’associazione tra le rimesse finanziarie e i reali mittenti le 5 società, sanzionate dal Garante per la protezione dei dati personali, operavano attraverso la tecnica del frazionamento (dividendo cioè le somme di denaro in più operazioni sotto la soglia prevista dalla normativa antiriciclaggio) e attribuivano i trasferimenti di denaro a più di mille clienti del tutto ignari, utilizzando illecitamente i loro dati. Dunque è emerso che il trattamento dei dati avveniva senza consenso. I nominativi ai quali erano intestati i trasferimenti non erano mai i reali mittenti e, in alcuni casi, i moduli risultavano compilati da persone decedute o inesistenti, oppure non firmati. Gli invii di denaro, poi, venivano effettuati a pochi secondi l’uno dall’altro, per importi appena sotto soglia e indirizzati allo stesso destinatario. I nominativi cui erano attribuiti i trasferimenti, inoltre, erano tratti da fotocopie di documenti di identità, conservati in appostiti raccoglitori, e da utilizzare all’occorrenza.
Sanzioni da record
Alla luce dei risultati dell’indagine, il Garante, tenuto conto della gravità delle violazioni commesse dalle società, del numero delle persone coinvolte i cui dati sono stati trattati senza consenso e della rilevanza della banca dati, ha inflitto le seguenti sanzioni: 5.880.000 euro alla multinazionale, 1.590.000, 1.430.000, 1.260.00 e 850.000 euro rispettivamente ad ognuna delle altre quattro società, per un importo complessivo di oltre 11 milioni di euro.