L’Autorità irlandese per la protezione dei dati personali (di seguito, l’”Autorità”) ha comminato la sua prima sanzione dall’entrata in vigore del Regolamento UE 679/2016 (il “GDPR”), pari a 75 mila Euro, nei confronti di Tusla, l’agenzia di stato per l’infanzia e la famiglia (di seguito, l’”Agenzia”) a seguito di un’indagine condotta dall’Autorità, che ha visto coinvolti tre diversi casi di divulgazione di dati personali di minori a soggetti non autorizzati.

I casi esaminati dall’Autorità riguardavano l’erronea divulgazione:

  • nel primo caso, di dati relativi al contatto e all’ubicazione di una madre e di un bambino vittima di un abuso, i quali erano stati divulgati a un soggetto ritenuto un presunto maltrattatore;
  • negli altri due casi, di dati personali di bambini in affidamento presso alcune famiglie, i quali erano stati rivelati impropriamente ai parenti di sangue, e, in un caso, anche al padre del bambino che si trovava in stato di detenzione.

Il deposito del provvedimento dell’Autorità presso il Tribunale Circondariale ha confermato la sanzione.

Si ricorda che, ai sensi dell’articolo 83 del GDPR, le autorità nazionali possono infliggere sanzioni pecuniarie fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. La normativa nazionale irlandese, prevede, invece, con riferimento agli enti statali, che agli stessi possa essere comminata una sanzione fino a 1 milione di Euro.

Con riferimento al caso in esame, un portavoce dell’Agenzia ha dichiarato che l’Agenzia è perfettamente consapevole delle sue responsabilità in relazione ai dati sensibili quotidianamente generati in diverse centinaia di migliaia di interazioni ogni anno.

In aggiunta, il portavoce ha precisato che non è intenzione dell’Agenzia presentare ricorso e che la stessa accetta di pagare la sanzione, fermo restando l’intento di continuare a collaborare con l’Autorità con riferimento ad altre indagini attualmente in corso (per lo più basate su violazioni a suo tempo già identificate dall’Agenzia e notificate tempestivamente all’Autorità). L’obiettivo dell’Agenzia, condiviso con l’Autorità, è quello di definire, e soprattutto attuare, dei piani di miglioramento in materia di protezione dei dati personali in pendenza delle indagini, senza quindi attendere un’eventuale decisione dell’Autorità.

La sanzione comminata dell’Autorità, oltre ad essere stata la prima dall’entrata in vigore del GDPR, non è tuttavia passata inosservata in ragione del soggetto verso il quale è stata inflitta, ovvero un ente pubblico – sebbene la violazione perpetrata dall’Agenzia non fosse di lieve rilevanza, alla luce della tipologia di dati oggetto di divulgazione e della categoria di interessati coinvolti –.

Nel corso di questi due anni, l’Autorità è stata spesso criticata per le molteplici indagini avviate, le quali non si sono mai concluse con l’irrogazione di alcuna sanzione per violazione del GDPR nei confronti del soggetto sotto indagine.

Rileva in tal senso sottolineare che l’Autorità irlandese è l’autorità capofila competente per diversi colossi della tecnologia americani, i quali hanno la loro sede europea proprio in Irlanda (quali Facebook, Google, Twitter e Amazon) e dal Report Annuale del 2019, pubblicato dall’Autorità in data 20 febbraio 2020, risultavano aperte sei indagini relative al rispetto del GDPR da parte di società tecnologiche multinazionali, portando il numero totale di indagini transfrontaliere – avviate dall’entrata in vigore del GDPR – a ventuno.