In Italië is op 17 april 2019 de eerste boete onder de AVG opgelegd aan inspraakplatform Rousseau. Op het platform – verbonden aan de politieke partij ‘Vijfsterrenbeweging’ – konden leden wetsvoorstellen indienen, daarover stemmen en de kieslijsten samenstellen. Het inspraakplatform werd in de zomer van 2017 geconfronteerd met een groot datalek, waarna de Italiaanse privacywaakhond een onderzoek instelde.
Na het onderzoek moest Rousseau enkele beveiligingsmaatregelen nemen en haar privacyverklaring aanpassen. Hoewel de toezichthouder tevreden was met de aanpassingen aan de privacyverklaring, ging het met het nemen van beveiligingsmaatregelen veel minder vlot. Zo beschikte het platform Rousseau niet over de volgende beveiligingsmaatregelen:
Dit heeft ertoe geleid dat de toezichthouder een boete heeft opgelegd van €50.000,00 wegens het schenden van artikel 32 AVG. Dit artikel verplicht de verwerker en verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te garanderen.
Het bijzondere aan deze boete is dat hij niet is opgelegd aan de verwerkingsverantwoordelijke: de politieke partij, maar aan de verwerker: het inspraakplatform Rousseau. Dit is mogelijk indien de verwerkingsverantwoordelijke alle nodige inspanningen heeft gedaan, maar de verwerker alsnog zijn afgesproken taken verwaarloost of de AVG overtreedt (zie art. 28 lid 3 onder c AVG).
Hoewel de overtreding plaatsvond voor de invoering van de AVG op 25 mei 2018, waardoor de overtreding onder de lokale wetgeving valt, heeft de Italiaanse privacywaakhond ervoor gekozen om de overtreding te bestraffen op basis van de AVG. Dit kwam omdat de boete voortvloeit uit het niet opvolgen van een besluit om passende beveiligingsmaatregelen te treffen na de invoering van de AVG. Ook lopende procedures kunnen dus leiden tot een boete onder de AVG.
Bron: link