Sanzioni GDPR: in Germania il primo provvedimento cautelare
La nostra vita con il nuovo GDPR non sarà più la stessa: infatti per chi gestisce progetti online oggigiorno, deve sottostare al nuovo regolamento europeo in materia di dati sensibili entrato in vigore lo scorso 26 maggio (ma con deroga per l’Italia fino ad agosto). All’estero abbiamo subito il primo caso di applicazione del regolamento e non poteva che essere in Germania, dove le leggi sono fatte rispettare in modo ferreo. Ma andiamo a vedere cosa è successo.
La Corte Regionale di Bonn e la sentenza del 30/05/2018
Ci troviamo a Bonn, in Germania, dove lo scorso 30 maggio è stato emanato il primo provvedimento attuativo del nuovo regolamento sulla protezione dei dati personali. Come si apprende dal sito Altalex e da altri blog online, la Corte Regionale di Bonn ha emesso un provvedimento cautelare nei confronti della società americana ICANN (Internet Corporation for Assigned Names and Numbers) con sede a Los Angeles, in relazione alla procedura di raccolta dei dati relativi al “whois“, ossia il protocollo di rete che consente l’interrogazione di database server al fine di stabilire a quale internet provider appartenga l’indirizzo IP e ottenere dati sensibili, quali nome, dati anagrafici, residenza, data di registrazione del dominio. Nello specifico l’ICANN, l’ente di gestione internazionale che coordina a livello mondiale il sistema di identificazione di Internet mediante l’attribuzione dei nomi di dominio e degli indirizzi IP, in data 17 maggio, in vista dell’entrata in vigore delle regole del già citato GDPR, ha emanato la propria “Temporary Specification for gTLD Registration Data” – precisando quantità, modalità e termini di durata della conservazione dei dati racconti e ha intimato l’EPAG Domainservices GmbH con sede a Bonn, una società di domain registrar, affinchè si adeguasse alle sue nuove regole. La Corte di Bonn ha rigettato però la richiesta promossa da ICANN, applicando il principio di minimizzazione dei dati raccolti, specificando che l’ICANN debba conoscere e verificare solo i dati del domain holder, unico responsabile verso l’ICANN e quindi non i dati dei soggetti terzi che si occupano di ruoli prettamente tecnici.
Questa sentenza ad oggi appare l’unica dall’entrata in vigore del nuovo GDPR, che sembra aver colmato il gap esistente in seno alla conservazione dei dati sensibili degli utenti in rete, ponendo un diverso approccio sulla materia rispetto agli USA.
Staremo a vedere se vi saranno in futuro nuove applicazioni della legge in materia!