IL MIO DPO rivista di aggiornamento sugli adempimenti privacy - Stefanelli & Stefanelli
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
IL MIO DPO rivista di aggiornamento sugli adempimenti privacy a cura del team privacy Studio Legale Stefanelli & Stefanelli
Pubblicazione nr. 2 /2021 giugno 2021 Pubblicazione di Stefanelli & Stefanelli servizi legali s.r.l.s. Via Azzo Gardino 8/A - 40122 Bologna info@stefanelli-servizilegali.it Tutti i diritti di traduzione, di riproduzione, di adattamento, totale o parziale, con qualsiasi mezzo (compresi i microfilm e le copie fotostatiche) sono riservati. Ogni permesso deve essere dato per iscritto dall’editore.
novità dallo Studio Legale Stefanelli&Stefanelli www.privacygdpr.it Siamo online con il nostro nuovo sito interamente dedicato alla privacy e alle sue specifiche applicazioni nei settori sanità, dispositivi medici e progetti di nuove tecnologie. Un portale che consente di conoscere e approfondire tutti i servizi specialistici che offriamo alle aziende del settore sanitario. Sul sito è presente un’intera area dedicata alle nostre checklist e ai percorsi di autovalutazione, progettate e realizzate per supportare le organizzazioni nell’analisi del livello di aderenza alle norme privacy e di rispetto dei requisiti di sicurezza dei dati personali trattati. Non può mancare una ricca area blog per accedere con semplicità a tutti i nostri contenuti: articoli di approfondimento, il consolidato osservatorio europeo della privacy, il nuovo osservatorio sulle sanzioni garanti europei oltre a ebook, whitepaper, e video. Visita il nostro sito www.privacygdpr.it
PREFAZIONE La normativa in materia di trattamento dei dati personali si arricchisce ogni giorno dei provvedimenti attuativi dei garanti nazionali, delle decisioni di natura sanzionatoria, delle Linee guida dell’European Data Protection Board (EDPB), delle sentenze dei giudici nazionali e della Corte di giustizia europea. Il corretto trattamento dei dati personali passa dunque non solo attraverso la conoscenza del Regolamento (UE) 2016/679 e del Codice Privacy, ma anche attraverso la conoscenza e lo studio del ricchissimo e prezioso materiale prodotto ogni giorno dalle autorità competenti e dai giudici su tutto il territorio nazionale e comunitario. Lo Studio Legale Stefanelli&Stefanelli ha deciso quindi di selezionare e raccogliere i contenuti di cui ritiene imprescindibile la conoscenza da parte dei Titolari e Responsabili del trattamento, mettendoli a disposizione delle organizzazioni che hanno scelto di affidarci il ruolo di DPO con un breve focus su ciascuna novità e un approfondimento redatto dai nostri esperti della materia, allo scopo di fornire a coloro che devono gestire e organizzare il trattamento dei dati personali una modalità di aggiornamento rapida ed efficace. Studio Legale Stefanelli & Stefanelli
INDICE DEI CONTENUTI Pag. DPO Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD 8 CODICI DI CONDOTTA Italia: adottato il Codice di Condotta sulle informazioni commerciali 9 EDPB ha adottato pareri sui primi codici di condotta transnazionali, Statement on Data Governance Act, Raccomandazioni sulla base giuridica per la conservazione dei dati delle carte di credito. 10 CERTIFICAZIONI Guida alla valutazione dei criteri di certificazione (Addendum alle Linee Guida 1/2018) 11 COVID Sussidi Covid, Garante: i dati dei beneficiari vanno protetti 12 Il Garante blocca l’utilizzo dell’App Mitiga per il Green Pass Covid 13 Italia: il Garante privacy apre un’istruttoria per il Coronapass Alto Adige 15 Italia: avvertimento alla Regione Campania per uso di un “green pass” locale per il Covid-19 16 MONETIZZAZIONE DEI DATI Italia: secondo il Consiglio di Stato, il servizio di Facebook non può ritenersi gratuito 17 RISARCIMENTO DEL DANNO Illecito trattamento di dati personali e risarcimento del danno: la Corte di Cassazione fissa alcuni principi 18 VALUTAZIONE D’IMPATTO Valutazione del rischio e di impatto: whitepaper 19 DATA BREACH Nuova procedura telematica per la notifica del data breach al Garante italiano 20 Esempi di notifica di Data Breach 21 Il Garante tedesco sanziona Booking.com per aver notificato un data breach in ritardo 22
INDICE DEI CONTENUTI Pag. DIRITTO ALL’OBLIO Oblio: no alla cancellazione di un articolo dall’archivio online di un quotidiano 23 VIDEOSORVEGLIANZA Norvegia: sanzionato un ristorante per utilizzo di sorveglianza a circuito chiuso 24 Norvegia: multa di EUR 15.000 a società che aveva trasmesso in streaming immagini sotto videosorveglianza CCTV 25 TRASFERIMENTO DATI EXTRA UE Commissione Europea: nuove clausole contrattuali standard da adottare entro 18 mesi 26 Portogallo: il Garante ordina all’Istituto nazionale di statistica di non trasferire dati negli USA 27 Whitepaper: Trasferimento dei dati in paesi extra SEE post Schrems II 28 BREXIT BREXIT: qual è al momento il livello di protezione dei dati nel Regno Unito? 29 MISURE DI SICUREZZA 20° Giornata mondiale del backup: siete pronti a qualsiasi imprevisto? 30 ANONIMIZZAZIONE DEI DATI Anonimizzazione dei dati personali: un percorso per orientarsi 31 SOCIAL MEDIA Adottate le Linee guida 08/2020 sul targeting degli utenti dei social media 32 UTILIZZO DELLA E-MAIL Invio erroneo di una mail contenente dati relativi a minori appartenenti a nuclei familiari seguiti dal servizio sociale 33 DIRITTI DEGLI INTERESSATI Multa di 12.000 € a INPS per mancato riscontro a due istanze di accesso ai dati personali 34
INDICE DEI CONTENUTI Pag. DIFFUSIONE DI DATI PERSONALI Norvegia: comune multato per aver pubblicato dati personali sul proprio sito web 35 SETTORI SPECIFICI: SANITÀ Garante, sì all’informazione scientifica, ma attenzione alla privacy dei pazienti 36 Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale n. 2 Lanciano-Vasto-Chieti 37 Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Universitaria Careggi 38 Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di Reggio Emilia 39 Patient Support Program e Privacy: aspetti da tenere in considerazione 40 SETTORI SPECIFICI: LAVORO Vaccinazioni sul luogo di lavoro: le indicazioni del Garante privacy 41 Italia: Garante impone sanzione di 40.000 per trattamento illecito dei dati dei dipendenti 42 Francia: IKEA riceve sanzione da 1,1 mil euro per aver spiato i dipendenti 43 SETTORI SPECIFICI: MARKETING Telemarketing aggressivo: il Garante privacy sanziona Fastweb per 4 milioni e mezzo di euro 44 Operazioni di Direct marketing e diritto di opposizione: un caso sanzionato dal Garante 45 Telemarketing selvaggio: il Garante sanziona tre call center 47 SETTORI SPECIFICI: D.LGS. 231/2001 Normativa anti–riciclaggio e riservatezza: alcune osservazioni 48
Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD Nonostante siano già passati tre anni dalla piena applicazione del GDPR, permangono ancora incertezze sulla figura del Responsabile della Protezione dei Dati (“RPD”). Il Garante ha allora pubblicato un documento di indirizzo che recepisce le FAQ già pubblicate nel 2017, con l’obiettivo di dirimere i dubbi che paiono persistere su questa importante figura, obbligatoria per il settore pubblico. Il Garante individua ed approfondisce tre macro-argomenti: • la designazione del RPD, • i suoi compiti e le sue qualità professionali • le incompatibilità con altre cariche ed i conflitti di interesse. In questo articolo, un approfondimento di quanto riportato nel documento di indirizzo del Garante, con particolare focus sul tema del conflitto d’interessi. Per approfondimenti si rimanda all’articolo “Pubblicato il documento di indirizzo sulla figura dei responsabili per la protezione dei dati” a cura dell’Avv. Alessandra Delli Ponti Garante Italiano - Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD Vai all’Approfondimento | RIVISTA IL MIO DPO | ANNO 3 NR 2 8
Italia: adottato il Codice di Condotta sulle informazioni commerciali Il Garante privacy ha approvato la versione definitiva del Codice di condotta sulle informazioni commerciali, elaborato dall’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (Ancic). Con il Codice, le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso, basandosi sul legittimo interesse, ma dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e assicurando loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati. Garante Italiano - Provvedimento del 29 aprile 2021 - Approvazione del Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale [Doc Web 9586215] Vai al sito del Garante per scaricare il provvedimento | RIVISTA IL MIO DPO | ANNO 3 NR 2 9
EDPB ha adottato pareri sui primi codici di condotta transnazionali, Statement on Data Governance Act, Raccomandazioni sulla base giuridica per la conservazione dei dati delle carte di credito. Durante la sessione plenaria, l’EDPB ha adottato due pareri sui primi progetti di decisione in materia di Codici di condotta (Codici) presentati al consiglio dalle autorità di vigilanza belghe e francesi (SAs). In particolare, il progetto di decisione dell’autorità belga riguarda il codice di condotta EU CLOUD, indirizzato ai fornitori di servizi cloud. Il progetto di decisione dell’autorità francese riguarda il codice di condotta CISPE, indirizzato ai fornitori di servizi di infrastruttura cloud. L’EDPB ha ritenuto che entrambi i progetti di codici aderiscono al GDPR e soddisfano i requisiti di cui agli articoli 40 e 41 del GDPR. L’adesione ai codici di condotta può essere utilizzata dai Titolari e dai Responsabili quale valido elemento di prova della conformità delle attività svolte rispetto alla normativa di protezione dei dati personali, nel rispetto del principio di accountability. E.D.P.B. European Data Protection Board - adopts opinions on first transnational codes of conduct, Statement on Data Governance Act, Recommendations on the legal basis for the storage of credit card data. Vai al sito dell’EDPB per approfondire la notizia | RIVISTA IL MIO DPO | ANNO 3 NR 2 10
Guida alla valutazione dei criteri di certificazione (Addendum alle Linee Guida 1/2018 sulla certificazione e individuazione dei criteri di certificazione ai sensi degli articoli 42 e 43 del Regolamento) L’EDPB ha pubblicato l’addendum alle Linee Guida 01/2018 sulla certificazione e l’identificazione dei criteri di certificazione secondo gli articoli 42 e 43 del GDPR. L’obiettivo del documento è quello di: • assistere gli stakeholder nella stesura dei criteri di certificazione nell’ambito del GDPR • assistere le Autorità di controllo e il Comitato Europeo per la protezione dei dati (EDPB) nel fornire valutazioni coerenti nel contesto dell’approvazione dei criteri di certificazione E.D.P.B. European Data Protection Board - Guidance on certification criteria assessment (Addendum to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation) Vai al sito dell’EDPB per scaricare l’addendum alle Linee Guida | RIVISTA IL MIO DPO | ANNO 3 NR 2 11
Sussidi Covid, Garante: i dati dei beneficiari vanno protetti La vicenda trae origine dalla segnalazione di un cittadino che lamentava che un operatore di un’associazione aveva potuto accedere alla sua domanda di buoni spesa per l’emergenza Covid, senza esserne autorizzato. Nel corso dell’istruttoria è emerso che, al fine di assistere gli utenti ad inserire la dichiarazione necessaria all’erogazione del contributo, il Comune di Palermo si è avvalso dell’aiuto di diversi soggetti esterni, quali Enti del Terzo Settore, Sindacati e Parrocchie. Questi soggetti erano stati accreditati ad usare la piattaforma, mediante rilascio di un’utenza unica per ciascuno ente: tutti gli addetti dell’ente potevano quindi accedere con le medesime credenziali e visualizzare i dati di tutte le domande, anche presentate presso altri enti. Il Garante, ritenuti violati i principi di integrità e riservatezza dei dati oltre che il principio di privacy by design e by default, ha comminato nei confronti del Comune di Palermo una sanzione di € 40.000. Garante Italiano - Ordinanza ingiunzione nei confronti di Comune di Palermo - 15 aprile 2021 [9587053] Vai al sito del Garante per leggere l’ordinanza | RIVISTA IL MIO DPO | ANNO 3 NR 2 12
Il Garante blocca l’utilizzo dell’App Mitiga per il Green Pass Covid Il Garante Privacy in data 3 giugno ha adottato, in via d’urgenza, la misura della limitazione provvisoria del trattamento per la app Mitiga. Per i non addetti ai lavori la app Mitiga è stata realizzata da una società per agevolare l’accesso allo Stadio degli spettatori. Funziona così: l’utente iscritto alla app si reca in una delle farmacie o laboratorio convenzionati con “Mitiga” effettua un tampone rapido o molecolare. In caso di negatività il dato veniva caricato da chi emette l’analisi sulla piattaforma e l’utente poteva visualizzare sul suo profilo l’esito negativo (o positivo). La app poi consentiva l’emissione di un QR code che dichiarava la negatività per garantire l’accesso agli eventi. In aprile la società aveva consultato il Garante ai sensi dell’articolo 36 GDPR, consapevole dell’alto rischio che questo trattamento dati comporta, ma, nelle more della decisione dello stesso Garante, il 19 maggio scorso la app è stata utilizzata per consentire l’ingresso alla finale di Coppa Italia degli spettatori in possesso di certificazione attestante l’avvenuta vaccinazione, la guarigione o lo stato di negatività dal Covid-19. Questa circostanza ha portato il Garante a decidere di bloccarne l’uso essendoci la possibilità - elevata - che l’app potesse essere utilizzata nei giorni successivi per governare l’accesso ad altri eventi e spettacoli o altre iniziative sportive. Elemento cardine contestato dal Garante è l’assenza della base giuridica, trattandosi anche di dati particolarmente delicati come quelli di natura sanitaria e l’attestazione della situazione “Covid free” per chi partecipa ad avvenimenti sportivi. Quindi, il Garante, ribadendo quanto già specificato nel noto provvedimento del 23 aprile u.s. ha rilevato che il decreto legge “sulle riaperture” dello scorso aprile non costituisce una valida base giuridica per l’introduzione e l’utilizzo delle certificazioni verdi a livello nazionale in quanto privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice (artt. 2-ter e 2-sexies). In generale, comunque il Garante coglie l’occasione per ribadire che l’eventuale utilizzo di soluzioni informatiche volte a documentare la certificazione verde COVID-19 dovrebbe essere | RIVISTA IL MIO DPO | ANNO 3 NR 2 13
previsto in termini omogenei su tutto il territorio nazionale, in conformità alle modalità indicate dal Decreto del Presidente del Consiglio dei Ministri. Garante Italiano - Provvedimento del 3 giugno 2021 [9592298] Vai al sito del Garante per leggere il provvedimento | RIVISTA IL MIO DPO | ANNO 3 NR 2 14
Italia: il Garante privacy apre un’istruttoria per il Coronapass Alto Adige Il Garante privacy ha aperto un’istruttoria per verificare la legittimità dell’iniziativa “Coronapass Alto Adige”, implementato dalla Provincia autonoma di Bolzano per gestire gli accessi a determinate strutture ricettive, luoghi ricreativi e di formazione, eventi sportivi. Questa “certificazione verde” prevede il rilascio di un pass alle persone che hanno completato il ciclo di vaccinazione, è guarito dal Covid oppure ha da poco eseguito un test negativo. Il Garante privacy ha ribadito che ogni trattamento di dati personali connesso a iniziative che limitano fortemente i diritti e le libertà delle persone, può avvenire solo con una solida base giuridica e a seguito di una valutazione dei rischi, comprensiva di adeguate misure a tutela degli interessati. Garante Italiano - “Coronapass Alto Adige”: il Garante privacy apre un’istruttoria Vai al sito del Garante per leggere la notizia | RIVISTA IL MIO DPO | ANNO 3 NR 2 15
Italia: avvertimento alla Regione Campania per uso di un “green pass” locale per il Covid-19 Il Garante Privacy ha adottato un provvedimento di “avvertimento” rispetto all’iniziativa della Regione Campania che ha introdotto un sistema regionale di “certificazione verde” di avvenuta guarigione, vaccinazione o negatività che è condizione necessaria per la fruizione di servizi turistici, alberghieri, trasporti e di intrattenimento, in quanto viola la normativa privacy. Infatti, l’istruttoria del Garante ha fatto emergere la mancanza di un’idonea base giuridica, in quanto disposizioni che condizionano in misura così significativa i diritti e le libertà personali sono ammissibili solo da una normativa nazionale, e non regionale. Inoltre, il progetto non individua rispetto ai dati raccolti il titolare del trattamento, né i soggetti che possono accedere e utilizzare le informazioni, violando così i principi di liceità, trasparenza, correttezza e di privacy by design by default. Il Garante sottolinea anche come iniziative locali di questo tipo, difformi da quelli individuati a livello nazionale, mettono a rischio l’interoperabilità delle certificazioni a livello nazionale ed europeo, andando in contrasto con la finalità stessa delle certificazioni, ovvero di agevolare la libera circolazione all’interno dell’Unione Europea durante la pandemia. Garante Italiano - Provvedimento di avvertimento alla regione Campania in merito all’uso delle certificazioni verdi Covid-19 - del 25 maggio 2021 [9590466] Vai al sito del Garante per scaricare il provvedimento | RIVISTA IL MIO DPO | ANNO 3 NR 2 16
Italia: secondo il Consiglio di Stato, il servizio di Facebook non può ritenersi gratuito In una sentenza del 29 marzo 2021, il Consiglio di Stato ha confermato la posizione del Garante Privacy italiano per la quale il servizio social offerto da Facebook non si può considerare gratuito, come affermato dalla piattaforma al momento dell’iscrizione, affermazione che sarebbe quindi scorretta e ingannevole. I giudici hanno ritenuto infatti che l’utilizzo dei dati personali degli utenti possa costituire un corrispettivo rispetto al servizio offerto da Facebook, in quanto quest’ultimo utilizza i dati personali degli utenti per fini commerciali attraverso la profilazione. Leggi il commento alla sentenza pubblicato su AgendaDigitale. Consiglio di Stato- Sentenza 2631 del 29/03/2021 Scarica la sentenza | RIVISTA IL MIO DPO | ANNO 3 NR 2 17
Illecito trattamento di dati personali e risarcimento del danno: la Corte di Cassazione fissa alcuni principi In materia di risarcimento del danno la Corte di Cassazione ha recentemente affermato alcuni importanti principi, sia in relazione al soggetto che sarà tenuto a rispondere dei danni cagionati, che si tratti del titolare o del responsabile del trattamento, sia in merito alle modalità di determinazione del risarcimento, stabilendo che il danno non patrimoniale risarcibile a causa di una lesione del diritto fondamentale alla protezione dei dati personali non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”, che devono dunque essere verificate in concreto dal giudice del merito. Per approfondimenti si rimanda all’articolo “Illecito trattamento di dati personali e risarcimento del danno: la Corte di Cassazione fissa alcuni principi” a cura dell’Avv. Eleonora Lenzi | RIVISTA IL MIO DPO | ANNO 3 NR 2 18
Valutazione del rischio e di impatto: whitepaper La valutazione dei rischi rappresenta uno degli elementi cardine del Regolamento UE 2016/679 ed è parte integrante della valutazione d’impatto. Il Regolamento ha un approccio “caso per caso” (case-by-case approach) di tipo “funzionale”, che introduce maggiore flessibilità di risposta, affidando al Titolare la completa responsabilità ex ante ed ex post dei risultati delle azioni intraprese per aderire alla norma. L’approccio del Regolamento UE è dunque basato sulla valutazione dei rischi (risk based approach), la quale determina che: 1. il valore quantitativo o qualitativo del rischio sia connesso e relativo ad una situazione concreta e ad una minaccia conosciuta; 2. gli obblighi del Titolare (Data controller) e/o del Responsabile del trattamento, in termini di messa in atto delle misure di protezione, variano nel tempo in relazione allo stato della tecnologia e alle pratiche comuni attuate nel settore in cui operano; 3. il grado di responsabilità del Titolare e/o del Responsabile del trattamento è “proporzionale ai rischi stimati tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32”. Il whitepaper che vi presentiamo vuole offrire ai Titolari e ai Responsabili del trattamento uno strumento per comprendere il meccanismo di valutazione del rischio e d’impatto connessi al trattamento dati. Scarica il whitepaper a cura di Luigi Zampetti “Studio sulla valutazione del rischio e d’impatto” | RIVISTA IL MIO DPO | ANNO 3 NR 2 19
Nuova procedura telematica per la notifica del data breach al Garante italiano Per accrescere l’efficacia e l’efficienza dell’azione amministrativa e, nel contempo, semplificare l’adempimento degli obblighi da parte dei titolari del trattamento, l’Autorità Garante renderà operativa dal 1° luglio 2021 una nuova procedura telematica per la notifica delle violazioni di dati personali. Garante Italiano - Provvedimento del 27 maggio 2021 - Procedura telematica per la notifica di violazioni di dati personali (data breach) [9667201] Vai al sito del Garante per scaricare il provvedimento | RIVISTA IL MIO DPO | ANNO 3 NR 2 20
Esempi di notifica di Data Breach Quando avviene una violazione di dati personali, occorre innanzitutto valutare i rischi per i diritti e le libertà degli interessati ad essa coinvolti. Come avviene spesso nella pratica, questa valutazione non è sempre agevole. Con l’obiettivo di assistete i Titolari del trattamento a svolgere le valutazioni del caso in modo corretto, l’European Data Protection Board (“EDPB”) ha pubblicato allora le Linee guida 01/2021 sugli esempi di notifica del data breach. Abbiamo quindi deciso di pubblicare una serie di articoli per fornire degli esempi di notifica del data breach: ecci qui i primi tre “Esempi di notifica di data breach: una breve introduzione” a cura della Dott.ssa Federica Pucarelli “Esempi di notifica di data breach: attacco ransomware a struttura sanitaria” a cura della Dott.ssa Federica Pucarelli “Esempi di notifica del data breach: furto di dati da parte di un ex dipendente” a cura della Dott.ssa Federica Pucarelli Non perdere i prossimi articoli sul tema, che saranno pubblicati sul nuovo sito www.privacygdpr.it | RIVISTA IL MIO DPO | ANNO 3 NR 2 21
Il Garante tedesco sanziona Booking.com per aver notificato un data breach in ritardo Booking.com ha ricevuto una sanzione di 450.000 euro dall’Autorità olandese in seguito al data breach causato da un hacker che ha violato i dati personali di circa 4000 utenti, prendendo di mira alcuni dipendenti e utilizzando le loro credenziali per accedere ai dati (dati della carta di credito, dati di contatto o relativi alla prenotazione). Booking tuttavia aveva notificato la violazione all’Autorità 22 giorni dopo esserne venuta a conoscenza, cosa che ha anche impedito agli interessati di venire tempestivamente a conoscenza dell’evento e di porre in essere precauzioni per evitare furti di identità e sottrazione di denaro. E.D.P.B. European Data Protection Board - Dutch DPA fines Booking.com for delay in reporting data breach Vai al sito dell’EDPB per leggere la notizia completa | RIVISTA IL MIO DPO | ANNO 3 NR 2 22
Oblio: no alla cancellazione di un articolo dall’archivio online di un quotidiano È possibile chiedere la cancellazione di un articolo pubblicato nell’archivio web di un quotidiano? Il Garante dice di no, se prevalgono il diritto alla libertà di espressione e la valenza informativa, se l’articolo risponde ad una legittima finalità di archiviazione di interesse storico- documentaristico ed è de-indicizzato. Questo l’esito del reclamo proposto da un interessato che aveva chiesto che i propri dati personali riportati in articolo di cronaca pubblicato nell’archivio online del quotidiano La Stampa venisse cancellato o che fossero resi in forma anonima. Garante Italiano - Ordinanza ingiunzione nei confronti di GEDI News Network S.p.a. - 25 marzo 2021 [9577346] Vai al sito del Garante per leggere l’ordinanza | RIVISTA IL MIO DPO | ANNO 3 NR 2 23
Norvegia: sanzionato un ristorante per utilizzo di sorveglianza a circuito chiuso L’autorità norvegese ha comminato una sanzione di 20.000,00 euro al ristorante Basaren Drift per aver installato un sistema di sorveglianza a circuito chiuso. I motivi della sanzione riguardano la violazione dei principi di liceità e trasparenza. L’Autorità ha infatti ritenuto che il ristorante non avesse un’idonea base giuridica per il trattamento dei dati svolti per il tramite del sistema di videosorveglianza e che non fosse necessario mantenere il sistema attivo 24 ore su 24. Sono stati ritenuti violati i diritti dei lavoratori e dei clienti che certamente avevano una legittima aspettativa a non essere ripresi durante la cena. E.D.P.B. European Data Protection Board - Norwegian DPA: Basaren Drift AS fined Vai sul sito dell’EDPB per leggere la notizia completa | RIVISTA IL MIO DPO | ANNO 3 NR 2 24
Norvegia: multa di EUR 15.000 a società che aveva trasmesso in streaming immagini sotto videosorveglianza CCTV La compagnia elettrica “autrice” della violazione ha installato una webcam panoramica in cima al suo edificio. Le immagini sono state trasmesse in live streaming su YouTube e sul sito Web dell’azienda. La qualità dell’immagine era sufficientemente buona da consentire l’identificazione del tipo di veicoli e dei conducenti, il colore dei capelli e altre caratteristiche personali e distintive identificative Ciò ha consentito l’identificazione e il tracciamento di dipendenti, colleghi, amici, familiari, fidanzate / fidanzati o altri conoscenti. Nella sua decisione, il Garante per la protezione dei dati ha dato peso al fatto che la sorveglianza illecita svolta con telecamere a circuito chiuso ha riguardato un numero considerevole di interessati e che il monitoraggio è stato continuativo. E.D.P.B. European Data Protection Board - Norwegian DPA: Dragefossen AS fined Vai sul sito dell’EDPB per leggere la notizia completa | RIVISTA IL MIO DPO | ANNO 3 NR 2 25
Commissione Europea: nuove clausole contrattuali standard da adottare entro 18 mesi La Commissione europea ha adottato due serie di clausole contrattuali standard (“SCC”), • una da utilizzare tra responsabili del trattamento e responsabili del trattamento • una per il trasferimento di dati personali a paesi terzi. I nuovi modelli di SCC riflettono i nuovi requisiti previsti dalla normativa europea di protezione dei dati e tengono conto della sentenza Schrems II della Corte di giustizia, garantendo un elevato livello di protezione dei dati. Ecco le principali novità: • Aggiornamento in linea con il GDPR; • Un unico “entry-point” che prevede un’ampia gamma di scenari di trasferimenti di dati, invece che insiemi separati di clausole; • Maggiore flessibilità per le catene di lavorazione complesse, attraverso un “approccio modulare” anche offrendo la possibilità a più di due parti di aderire alle clausole; • Previsione di pratici strumenti per conformarsi alla sentenza Schrems II; vale a dire una panoramica delle diverse misure che le aziende devono intraprendere per conformarsi alla sentenza Schrems II, nonché esempi di possibili “misure supplementari”, come la crittografia, che le aziende possono adottare, ove necessario. I Titolari e Responsabili che hanno adottato le “vecchie” clausole standard hanno a disposizione un periodo di transizione di 18 mesi per adeguare i contratti ai nuovi standard. Commissione Europea - new tools for safe exchanges of personal data Vai al sito della Commissione Europea per leggere la notizia Commissione Europea - Standard contractual clauses for controllers and processors in the EU/ EEA Leggi Commissione Europea - Standard contractual clauses for international transfers Leggi | RIVISTA IL MIO DPO | ANNO 3 NR 2 26
Portogallo: il Garante ha ordinato all’Istituto nazionale di statistica di non trasferire dati negli USA CNPD, l’Autorità portoghese per la protezione dei dati, ha pubblicato una decisione rivolta all’INE (Istituto Nazionale di Statistica) ordinando la sospensione di ogni trasferimento di dati personali verso gli Stati Uniti o altri paesi extra-UE senza un livello adeguato di protezione. La decisione è seguita a una serie di lamentele sulle condizioni della raccolta online dei dati di un questionario di censimento. In seguito a un’indagine, il Garante ha rilevato che INE esternalizzava i dati a Cloudflare, Inc tramite un accordo di trattamento dati che si basava sul trasferimento di dati personali verso gli USA. Cloudflare è una società californiana e per via del tipo di servizio che fornisce, è direttamente soggetta alla legge americana sulla sorveglianza per motivi di sicurezza nazionale, che le impone l’obbligo di dare alle Autorità statunitensi accesso illimitato ai dati personali utilizzati o conservati da Cloudflare, senza poter informare di questo fatto gli interessati. E.D.P.B. European Data Protection Board - Census 2021: Portuguese DPA (CNPD) suspended data flows to the USA Vai sul sito dell’EDPB per leggere la notizia completa | RIVISTA IL MIO DPO | ANNO 3 NR 2 27
Whitepaper: Trasferimento dei dati in paesi extra SEE post Schrems II In seguito alla ormai storica sentenza Schrems II con la quale la Corte di Giustizia Europea ha invalidato il Privacy Shield che permetteva l’agevole trasferimento di dati verso gli USA, si è nuovamente aperta la questione del trasferimento di dati personali dall’Unione Europea verso i paesi extra SEE. In questo whitepaper viene analizzato il quadro attuale, le indicazioni delle Autorità e gli strumenti a disposizione per continuare a trasferire i dati nel rispetto della normativa privacy. Scarica il whitepaper a cura di Federica Pucarelli “Trasferimento dei dati in paesi extra SEE post Schrems II” | RIVISTA IL MIO DPO | ANNO 3 NR 2 28
BREXIT: qual è al momento il livello di protezione dei dati nel Regno Unito? La “bridging clause” inserita nell’accordo commerciale e di cooperazione UE-UK (TCA) garantisce al momento la piena continuità dei flussi di dati tra il SEE e il Regno Unito fino al 30 giugno 2021. In merito alla procedura avviata dalla Commissione Europea per l’adozione di due decisioni di adeguatezza per i trasferimenti di dati personali nel Regno Unito l’EDPB con il Parere 14/2021 a aprile 2021 si esprimeva favorevolmente. Nel mese di maggio, però, una risoluzione del Parlamento ha frenato sull’adeguatezza delle bozze ritenendole incoerenti rispetto al diritto dell’UE e invitando la Commissione e le autorità competenti del Regno Unito a modificare le decisioni di adeguatezza entro il 30 giugno 2021. La Commissione europea non ha raccolto le preoccupazioni del Parlamento e ha adottato la decisione di adeguatezza che ha promosso gli standard britannici di data protection, ritenendoli “adeguati”. Con questa decisione sarà possibile attuare il trasferimento dei dati come fatto fino adesso, per altri quattro anni. Per approfondimenti si rimanda all’articolo “Trasferimenti di dati in UK: qual è al momento il livello di protezione?” a cura dell’Avv. Alessandra Delli Ponti E.D.P.B. European Data Protection Board - Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom Vai al sito dell’EDPB per scaricare il file Parlamento Europeo - resolution of 21 May 2021 on the adequate protection of personal data by the United Kingdom (2021/2594(RSP)) Scarica la risoluzione Commissione Europea - 28/06/2021 Decisione della Commissione ai sensi della direttiva (UE) 2016/680 Scarica la decisione Commissione Europea - 28/06/2021 Decisione della Commissione ai sensi del Reg. UE 2016/679 Scarica la decisione | RIVISTA IL MIO DPO | ANNO 3 NR 2 29
20° Giornata mondiale del backup: siete pronti a qualsiasi imprevisto? In questo articolo, pubblicato in occasione della 20° giornata mondiale del backup, abbiamo sottolineato l’importanza di introdurre in azienda buone pratiche di backup, quale misura di sicurezza tecnica regolarmente citata in tutte le buone pratiche di sicurezza informatica, e abbiamo fornito delucidazioni su come questa misura può essere efficacemente introdotta nell’organizzazione. Si rimanda all’articolo “20° Giornata mondiale del backup: siete pronti a qualsiasi imprevisto?” a cura del Dott. Fabio Marinello | RIVISTA IL MIO DPO | ANNO 3 NR 2 30
Anonimizzazione dei dati personali: un percorso per orientarsi Mai come oggi l’economia, la scienza e la ricerca basano il loro sviluppo sull’analisi dei dati e sullo sfruttamento dei risultati ottenuti. Secondo la disciplina in materia privacy, però, l’uso e soprattutto il ri-uso dei dati personali deve rispettare confini definiti, a partire dai principi e dalle garanzie previsti dal Regolamento UE 2016/679. Sono meno rigorose, però, le regole previste per i dati che non rientrano più nell’insieme dei dati personali, bensì in quello dei dati anonimizzati. Abbiamo quindi deciso di pubblicare una serie di articoli per approfondire questa tematica sia da un punto di vista teorico che, soprattutto, operativo in modo da poter acquisire gli strumenti per implementare correttamente il processo di anonimizzazione. “Anonimizzazione dei dati personali: un percorso per orientarsi” a cura dell’Avv. Maddalena Collini “Anonimizzazione: eliminare informazioni per impedire la re-identificazione” a cura dell’Avv. Maddalena Collini Non perdere i prossimi articoli sul tema, che saranno pubblicati sul nuovo sito www.privacygdpr.it | RIVISTA IL MIO DPO | ANNO 3 NR 2 31
Adottate le Linee guida 08/2020 sul targeting degli utenti dei social media L’ European Data Protection Board (EDPB) ha approvato recentemente le Linee guida dell’EDPB n.8/2020 rispondendo alla necessità di disciplinare il targeting degli utenti sui social media oramai divenuto uno dei principali strumenti di business per le aziende. Le linee guida riportano la corretta individuazione dei ruoli e delle responsabilità in ambito privacy nell’interazione tra fornitori dei social media ed altri soggetti coinvolti. Analizzano poi i principali meccanismi di targeting sulla base della distinzione delle fonti da cui vengono acquisiti i dati personali degli utenti, distinguendo le seguenti casistiche: • Provided data • Inferred data o derived data L’EDPB fornisce poi degli esempi concreti relativi all’utilizzo delle categorie di dati personali per finalità di targeting, e individua per ogni singolo caso proposto le basi giuridiche da utilizzare. Per quanto riguarda, invece, le ipotesi di profilazione dell’utente tramite monitoraggio, processo decisionale automatizzato o mediante l’utilizzo di cookies, inoltre, viene specificato che in questi casi l’unica base giuridica lecita ed applicabile sarà quella del consenso dell’interessato. Per approfondimenti si rimanda all’articolo “Adottate le Linee guida 08/2020 sul targeting degli utenti dei social media” a cura dell’Avv. Alessandra Delli Ponti E.D.P.B. European Data Protection Board - Guidelines 8/2020 on the targeting of social media users Scarica le Linee Guida | RIVISTA IL MIO DPO | ANNO 3 NR 2 32
Invio erroneo di una mail contenente dati relativi a minori appartenenti a nuclei familiari seguiti dal servizio sociale Il 15 luglio 2020 il Comune di Recco notificava al Garante che un operatore del servizio sociale aveva inviato per errore un’email contenenti dati personali di due minori seguiti dai servizi sociali al genitore di un terzo minore, anch’esso seguito dallo stesso servizio. La mail conteneva un file al cui interno si trovavano dati sensibilissimi, quali la situazione sociale del minore, i suoi dati anagrafici e quelli del suo nucleo famigliare e i riferimenti del provvedimento dell’Autorità Giudiziaria. Il Comune, titolare del trattamento, qualificava la gravità della violazione di livello medio, in quanto la persona che aveva commesso l’errore aveva comunicato prontamente il fatto al servizio e la persona che ha ricevuto la mail erroneamente aveva riferito di aver cancellato subito la mail. Il Garante ha ingiunto al Comune di Recco di comunicare la violazione dei dati personali agli interessati entro dieci giorni dal provvedimento e di fornire riscontro sulle misure adottate per attenuare gli effetti pregiudizievoli della violazione nei confronti degli interessati. È lo stesso articolo 34 par. 1 del GDPR, infatti, che sancisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”. Garante Italiano - Provvedimento su data breach - 15 aprile 2021 [9591241] Vedi il provvedimento | RIVISTA IL MIO DPO | ANNO 3 NR 2 33
Multa di 12.000 € a INPS per mancato riscontro a due istanze di accesso ai dati personali Il Garante ha multato l’INPS per 12.000 € per la violazione degli artt. 5, par. 1, lett. a), 12 e 15 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva. L’INPS non aveva fornito riscontro ad un interessato nei termini previsti dagli articoli 12 e 15 del GDPR. L’interessato aveva infatti inviato due PEC alla Direzione provinciale dell’INPS di Bolzano con richieste di chiarimenti su una presunta comunicazione a terzi di dati personali relativi al suo estratto conto previdenziale. A difesa dell’INPS, vi sarebbe stato un “mero disguido in ordine alla ricezione della mail di PEC”: secondo il Garante questa motivazione non è stata sufficiente ad escludere la responsabilità. Garante Italiano - Ordinanza ingiunzione nei confronti di INPS - 15 aprile 2021 [9592133] Vedi il provvedimento | RIVISTA IL MIO DPO | ANNO 3 NR 2 34
Norvegia: comune multato per aver pubblicato dati personali sul proprio sito web Il Comune è stato multato per un totale di 100.000 euro per aver pubblicato dati personali riservati e numeri di identità nazionali (NID) sul proprio sito web. Molti dei casi riguardavano dati personali, anche particolari di bambini. Il comune ha violato i requisiti della normativa sulla protezione dei dati relativi alla riservatezza e la questione riguarda sia carenze procedurali che tecniche. I dati personali che avrebbero dovuto essere protetti sono stati resi accessibili a terzi non autorizzati sul sito web del comune per un anno. E.D.P.B. European Data Protection Board - Norwegian DPA: Municipality of Asker fined Vai al sito dell’EDPB per leggere la notizia | RIVISTA IL MIO DPO | ANNO 3 NR 2 35
Garante, sì all’informazione scientifica, ma attenzione alla privacy dei pazienti Un paziente, dopo essersi curato in un’AUSL, ha trovato fotografie e altre informazioni riferibili alla sua salute pubblicate sul sito di un’associazione medica. Tali documenti erano reperibili anche tramite comuni motori di ricerca. A seguito della segnalazione del paziente, l’AUSL provvedeva a notificare la violazione di dati al Garante ai sensi dell’art. 33 del Reg. UE 679/2016 (GDPR). Per approfondimenti si rimanda all’articolo “Diffusione di dati sanitari tramite pubblicazioni scientifiche: sanzionate una AUSL e una associazione medica” a cura dell’Avv. Maria Livia Rizzo, Dott.ssa Federica Pucarelli Garante Italiano - Newsletter 19/05/21 Leggi la notizia | RIVISTA IL MIO DPO | ANNO 3 NR 2 36
Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale n. 2 Lanciano-Vasto-Chieti A causa di un errore umano nell’imbustamento della documentazione, un referto e gli esami ematici riferiti ad un paziente minore sono stati inviati per errore al destinatario errato. L’Azienda Sanitaria protagonista dell’errore ha immediatamente chiesto al destinatario scorretto di cancellare le informazioni ricevute ed ha provveduto ad inviare i documenti sanitari al corretto destinatario ed è stata adottata una procedura più stringente per la gestione dei referti. A seguito della notifica della violazione e al termine del procedimento, l’Autorità Garante ha comminato nei confronti dell’ASL una sanzione di € 6.500,00. Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale n. 2 Lanciano- Vasto-Chieti - 11 febbraio 2021 [9567143] Vedi il provvedimento | RIVISTA IL MIO DPO | ANNO 3 NR 2 37
Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Universitaria Careggi L’AOU Careggi ha notificato al Garante una violazione di dati personali con riferimento alla errata consegna di documentazione sanitaria cartacea relativa ad una prestazione di Pronto Soccorso di un paziente a una persona diversa. Si è trattato di un episodio di duplicazione di documentazione, probabilmente a causa di un errore di stampa, in quanto l’interessato a cui si riferiscono i documenti aveva comunque ricevuto la propria refertazione. L’Azienda ha successivamente contattato entrambi i soggetti per assicurarsi che entrambi fossero in possesso della sola documentazione di propria competenza e ha dichiarato di aver avviato un processo di valutazione interno. L’importo della sanzione comminata dal Garante ammonta a 6.000,00 euro. Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Universitaria Careggi - 25 febbraio 2021 [9574764] Vedi il provvedimento | RIVISTA IL MIO DPO | ANNO 3 NR 2 38
Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di Reggio Emilia L’Ausl di Reggio Emilia ha notificato al Garante una violazione di dati personali in relazione ad un errore di inserimento della data in un lotto di referti del 2010. L’errore ha comportato l’associazione di quei referti a prenotazioni di pazienti diversi, effettuate nel 2019. DI conseguenza, i referti sono stati comunicati ai destinatari sbagliati. La violazione descritta ha riguardato otto interessati e pur avendo avuto luogo nel 2010, è stata scoperta dall’AUSL solo a marzo 2019. La violazione ha riguardato oltre che i dati anagrafici e di contatto dei pazienti, anche dati relativi al loro stato di salute. All’esito del procedimento, l’Autorità Garante ha quindi ritenuto congruo comminare una sanzione pari a 9.000,00 euro. Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di Reggio Emilia - 11 marzo 2021 [9581069] Vedi il provvedimento | RIVISTA IL MIO DPO | ANNO 3 NR 2 39
Patient Support Program e Privacy: aspetti da tenere in considerazione I Patient Support Program – ad oggi – non sono regolamentati da alcuna specifica normativa Tuttavia, la disciplina sulla protezione dei dati personali è trasversale e raggiunge tutti i trattamenti di dati personali, compresi, ovviamente, quelli effettuati mediante i PSP. Questo articolo dell’Avv. Silvia Stefanelli si pone l’obiettivo di mettere in luce gli aspetti che, per la particolare natura dei PSP, devono essere attentamente analizzati al fine di un pieno rispetto della normativa sulla protezione dei dati personali. Per approfondimenti si rimanda all’articolo “Patient Support Program e Privacy: aspetti da tenere in considerazione” a cura dell’Avv. Silvia Stefanelli | RIVISTA IL MIO DPO | ANNO 3 NR 2 40
Vaccinazioni sul luogo di lavoro: le indicazioni del Garante privacy In seguito alla sottoscrizione tra Governo e parti sociali del “Protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro”, il Garante ha ribadito la necessità di rispettare il tradizionale riparto di competenze tra il medico competente e il datore di lavoro ed il divieto per il datore di lavoro di raccogliere dati circa l’adesione dei lavoratori alla campagna, l’avvenuta somministrazione (o meno) del vaccino e altri dati relativi alle condizioni di salute del lavoratore. Il Garante fornisce importanti indicazioni operative sulle modalità di trattamento dei dati personali dei lavoratori. Per approfondimenti si rimanda all’articolo “Indicazioni operative del Garante privacy per le vaccinazioni sui luoghi di lavoro” a cura dell’Avv. Eleonora Lenzi Garante Italiano - Vaccinazioni sul luogo di lavoro: le indicazioni del Garante privacy. Disponibile anche il documento sul ruolo del medico competente Leggi la notizia | RIVISTA IL MIO DPO | ANNO 3 NR 2 41
Italia: Garante impone sanzione di 40.000 per trattamento illecito dei dati dei dipendenti Il Garante privacy ha emesso un provvedimento sanzionatorio pari a 40.000 nei confronti della società Proma S.S.A. srl per non aver informato correttamente i lavoratori rispetto alle caratteristiche del sistema informatico aziendale, con conseguente trattamento illecito di dati personali. Nello specifico, il sistema raccoglieva dati disaggregati e per finalità ulteriori rispetto a quelle indicate nell’informativa privacy messa a disposizione dei lavoratori, e consentiva di identificarli attraverso l’incrocio dei dati di postazione con altri dati disponibili al datore di lavoro. Inoltre, in una nuova informativa (non ancora consegnata ai dipendenti al momento dell’istruttoria), il datore di lavoro indicava la base giuridica del legittimo interesse. Per approfondimenti si rimanda all’articolo “È possibile utilizzare i dati di produzione nell’ambito dei provvedimenti disciplinari a carico dei dipendenti?” a cura della Dott.ssa Federica Pucarelli Garante Italiano - Ordinanza ingiunzione nei confronti di Proma S.S.A. s.r.l. - 15 aprile 2021 [9586936] Leggi l’ordinanza | RIVISTA IL MIO DPO | ANNO 3 NR 2 42
Francia: IKEA riceve sanzione da 1,1 mil euro per aver spiato i dipendenti Il tribunale di Versailles (Parigi) ha disposto una sanzione di 1,1 milioni di euro a IKEA per aver illecitamente raccolto e conservato per anni dati sui propri dipendenti francesi. La multinazionale avrebbe violato la privacy dei lavoratori utilizzando anche detective privati, raccogliendo dati personali sulla loro vita, comprese eventuali condanne penali. L’azione era stata intentata dai sindacati, secondo i quali il colosso di mobili svedese utilizzava queste informazioni per rilevare eventuali lavoratori potenzialmente di disturbo, possibili sindacalisti oppure per avvantaggiarsi in controversie con i clienti. L’ex amministratore delegato della società che possiede in franchising i negozi Ikea francesi è stato inoltre condannato a due anni di carcere, con la condizionale a 50.000 euro. | RIVISTA IL MIO DPO | ANNO 3 NR 2 43
Telemarketing aggressivo: il Garante privacy sanziona Fastweb per 4 milioni e mezzo di euro Il Garante ha concluso con una sanzione di oltre 4.500.000 Euro una complessa attività istruttoria avviata a seguito di centinaia di segnalazioni e reclami di utenti che lamentavano continue telefonate promozionali di servizi di telefonia e internet offerti da Fastweb effettuate senza il loro consenso. L’istruttoria ha rivelato un allarmante ricorso all’utilizzo di numerazioni fittizie o non censite nel Registro degli Operatori di Comunicazione (Roc), fenomeno riconducibile ad un “sottobosco” di call-center abusivi che effettuano le attività di telemarketing in totale spregio delle disposizioni in materia di protezione dei dati personali. Ulteriori profili di violazione hanno riguardato la corretta gestione delle liste dei contatti, fornite a Fastweb da partner esterni, senza che questi ultimi avessero acquisito il consenso libero, specifico e informato degli utenti alla comunicazione dei propri dati. Oltre alla sanzione, l’Autorità ha ordinato a Fastweb di adeguare i trattamenti in materia di telemarketing in modo da prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di chiamate effettuate dalla rete di vendita attraverso numerazioni telefoniche censite e iscritte al Roc. La società, inoltre, dovrà irrobustire le misure di sicurezza per impedire accessi abusivi ai propri database. Fastweb infine non potrà più utilizzare i dati contenuti nelle liste anagrafiche fornite da partner terzi, senza che questi ultimi abbiano acquisito un consenso specifico, libero e informato dagli interessati alla comunicazione a terzi dei propri dati. Garante Italiano - Telemarketing aggressivo: il Garante privacy sanziona Fastweb per 4 milioni e mezzo di euro Leggi il comunicato stampa | RIVISTA IL MIO DPO | ANNO 3 NR 2 44
Operazioni di Direct marketing e diritto di opposizione: un caso sanzionato dal Garante Il Garante è intervenuto a sanzionare una società che inviava messaggi promozionali senza rispettare gli adempimenti necessari. Tra i punti contestati l’impossibilità di esercitare il diritto di opposizione e, quindi di interrompere la ricezione di messaggi indesiderati. La società inviava diversi messaggi promozionali ai reclamanti senza essere in grado di documentare l’acquisizione di un idoneo consenso: in un caso i dati erano presenti a sistema ma non il consenso e nell’altro, sebbene non fossero memorizzati dati, il soggetto coinvolto lamentava comunque numerose e-mail (un caso di redirect, ipotizza la società). I destinatari hanno riscontrato l’impossibilità di interrompere gli invii tramite il tasto unsubscribe – non funzionante - in calce alle email, così hanno espresso la loro opposizione a mezzo pec, ma non hanno ricevuto alcun tipo di riscontro. Alla società è stato quindi vietato il trattamento dei dati senza consenso e date le molteplici violazioni, è stata sanzionata per un importo pari a 30.000 euro, oltre che la pubblicazione integrale del provvedimento. Di seguito gli aspetti che hanno pesato negativamente sulla posizione del Titolare del trattamento. 1. Il carattere sistemico delle violazioni rilevate che le rende dunque potenzialmente estese ad un vasto numero di interessati. 2. Il grado di responsabilità del titolare del trattamento, da qualificarsi come gravemente colposo. 3. La scarsa collaborazione prestata nei confronti dell’Autorità dovuta probabilmente anche a cattiva organizzazione. 4. L’assenza di misure correttive per evitare il ripetersi di eventi analoghi. Interessanti sono però anche gli elementi attenuanti per il Titolare del trattamento, in particolare: 1. La natura dei dati oggetto di violazione (dati comuni); | RIVISTA IL MIO DPO | ANNO 3 NR 2 45
2. Il basso livello di danno subito dai reclamanti, consistente nella ricezione di messaggi promozionali indesiderati e nell’impossibilità di opporsi ad essi; 3. I dati del bilancio 2019, chiuso in rilevante perdita e con conseguente riduzione del personale dipendente, registrando anche per i primi mesi del 2020 una consistente riduzione del volume di affari in conseguenza dell’emergenza connessa alla pandemia in atto. Garante Italiano - Ordinanza ingiunzione nei confronti di OneDirect S.r.l. - 25 marzo 2021 [9577323] Leggi l’ordinanza | RIVISTA IL MIO DPO | ANNO 3 NR 2 46
Telemarketing selvaggio: il Garante sanziona tre call center Il Garante ha sanzionato negli ultimi mesi tre call center tutti legati a TIM Spa, in seguito all’attività istruttoria svolta dopo la ricezione di numerosissime segnalazioni di utenti che lamentavano di essere stati ripetutamente contattati dai call center per attività di marketing nonostante - non avessero mai fornito il consenso - fossero iscritti nel registro delle opposizioni o anche - successivamente all’iscrizione in detto registro. In molti casi si trattava di utenti c.d. referenziati ovvero segnalati da parenti o amici e i call center hanno tentato di giustificare la liceità del trattamento sulla base del legittimo interesse all’attività di marketing. Il Garante ha ribadito che il legittimo interesse non può costituire un’idonea base giuridica per le attività di marketing, per le quali deve essere raccolto il consenso univoco, specifico ed informato dell’utente; né il legittimo interesse può essere utilizzato a posteriori dal titolare del trattamento in caso di carenza dei requisiti del consenso tenuto conto dell’obbligo di informare preventivamente l’utente della base giuridica del trattamento. Il Garante ha anche tenuto in considerazione le modalità con cui le chiamate veniva effettuate, fino a tre quattro volte al giorno, ritenendole tali da ledere il diritto alla “tranquillità” oltre che alla riservatezza dei propri dati personali. Garante Italiano - Ordinanza ingiunzione nei confronti di Plurima s.r.l. - 11 marzo 2021 [9577042] Leggi l’ordinanza Garante Italiano - Ordinanza ingiunzione nei confronti di Mediacom s.r.l. - 11 marzo 2021 Leggi l’ordinanza Garante Italiano - Ordinanza ingiunzione nei confronti di Planet Group spa-11 marzo 2021 [9577371] Leggi l’ordinanza | RIVISTA IL MIO DPO | ANNO 3 NR 2 47
Puoi anche leggere