IL MIO DPO rivista di aggiornamento sugli adempimenti privacy - Stefanelli & Stefanelli

Pagina creata da Luca Conte
 
CONTINUA A LEGGERE
IL MIO DPO rivista di aggiornamento sugli adempimenti privacy - Stefanelli & Stefanelli
IL MIO DPO

 rivista di aggiornamento
      sugli adempimenti

             privacy

a cura del team privacy Studio Legale
        Stefanelli & Stefanelli
Pubblicazione nr. 2 /2021
giugno 2021

Pubblicazione di Stefanelli & Stefanelli servizi legali s.r.l.s.
Via Azzo Gardino 8/A - 40122 Bologna
info@stefanelli-servizilegali.it

Tutti i diritti di traduzione, di riproduzione, di adattamento, totale o parziale, con qualsiasi
mezzo (compresi i microfilm e le copie fotostatiche) sono riservati. Ogni permesso deve
essere dato per iscritto dall’editore.
novità dallo Studio Legale Stefanelli&Stefanelli
                 www.privacygdpr.it

Siamo online con il nostro nuovo sito interamente dedicato alla privacy e alle
sue specifiche applicazioni nei settori sanità, dispositivi medici e progetti di
nuove tecnologie.

Un portale che consente di conoscere e approfondire tutti i servizi specialistici
che offriamo alle aziende del settore sanitario.

Sul sito è presente un’intera area dedicata alle nostre checklist e ai percorsi
di autovalutazione, progettate e realizzate per supportare le organizzazioni
nell’analisi del livello di aderenza alle norme privacy e di rispetto dei requisiti di
sicurezza dei dati personali trattati.

Non può mancare una ricca area blog per accedere con semplicità a tutti i nostri
contenuti: articoli di approfondimento, il consolidato osservatorio europeo
della privacy, il nuovo osservatorio sulle sanzioni garanti europei oltre a ebook,
whitepaper, e video.

                    Visita il nostro sito
                    www.privacygdpr.it
PREFAZIONE
  La normativa in materia di trattamento dei dati personali si arricchisce ogni giorno dei
provvedimenti attuativi dei garanti nazionali, delle decisioni di natura sanzionatoria, delle
Linee guida dell’European Data Protection Board (EDPB), delle sentenze dei giudici nazionali
e della Corte di giustizia europea.

  Il corretto trattamento dei dati personali passa dunque non solo attraverso la conoscenza
del Regolamento (UE) 2016/679 e del Codice Privacy, ma anche attraverso la conoscenza e
lo studio del ricchissimo e prezioso materiale prodotto ogni giorno dalle autorità competenti
e dai giudici su tutto il territorio nazionale e comunitario.

    Lo Studio Legale Stefanelli&Stefanelli ha deciso quindi di selezionare e raccogliere i
contenuti di cui ritiene imprescindibile la conoscenza da parte dei Titolari e Responsabili del
trattamento, mettendoli a disposizione delle organizzazioni che hanno scelto di affidarci
il ruolo di DPO con un breve focus su ciascuna novità e un approfondimento redatto dai
nostri esperti della materia, allo scopo di fornire a coloro che devono gestire e organizzare
il trattamento dei dati personali una modalità di aggiornamento rapida ed efficace.

                                                         Studio Legale Stefanelli & Stefanelli
INDICE DEI CONTENUTI
                                                                                                       Pag.
                                                    DPO

Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD                               8

                                         CODICI DI CONDOTTA

Italia: adottato il Codice di Condotta sulle informazioni commerciali                                    9

EDPB ha adottato pareri sui primi codici di condotta transnazionali, Statement on Data Governance

Act, Raccomandazioni sulla base giuridica per la conservazione dei dati delle carte di credito.         10

                                            CERTIFICAZIONI

Guida alla valutazione dei criteri di certificazione (Addendum alle Linee Guida 1/2018)                 11

                                                   COVID

Sussidi Covid, Garante: i dati dei beneficiari vanno protetti                                           12

Il Garante blocca l’utilizzo dell’App Mitiga per il Green Pass Covid                                    13

Italia: il Garante privacy apre un’istruttoria per il Coronapass Alto Adige                             15

Italia: avvertimento alla Regione Campania per uso di un “green pass” locale per il Covid-19            16

                                     MONETIZZAZIONE DEI DATI

Italia: secondo il Consiglio di Stato, il servizio di Facebook non può ritenersi gratuito               17

                                     RISARCIMENTO DEL DANNO

Illecito trattamento di dati personali e risarcimento del danno: la Corte di Cassazione fissa alcuni

principi                                                                                                18

                                      VALUTAZIONE D’IMPATTO

Valutazione del rischio e di impatto: whitepaper                                                        19

                                              DATA BREACH

Nuova procedura telematica per la notifica del data breach al Garante italiano                          20

Esempi di notifica di Data Breach                                                                       21

Il Garante tedesco sanziona Booking.com per aver notificato un data breach in ritardo                   22
INDICE DEI CONTENUTI
                                                                                                      Pag.
                                         DIRITTO ALL’OBLIO

Oblio: no alla cancellazione di un articolo dall’archivio online di un quotidiano                      23

                                      VIDEOSORVEGLIANZA

Norvegia: sanzionato un ristorante per utilizzo di sorveglianza a circuito chiuso                      24

Norvegia: multa di EUR 15.000 a società che aveva trasmesso in streaming immagini sotto

videosorveglianza CCTV                                                                                 25

                                 TRASFERIMENTO DATI EXTRA UE

Commissione Europea: nuove clausole contrattuali standard da adottare entro 18 mesi                    26

Portogallo: il Garante ordina all’Istituto nazionale di statistica di non trasferire dati negli USA    27

Whitepaper: Trasferimento dei dati in paesi extra SEE post Schrems II                                  28

                                                BREXIT

BREXIT: qual è al momento il livello di protezione dei dati nel Regno Unito?                           29

                                       MISURE DI SICUREZZA

20° Giornata mondiale del backup: siete pronti a qualsiasi imprevisto?                                 30

                                  ANONIMIZZAZIONE DEI DATI

Anonimizzazione dei dati personali: un percorso per orientarsi                                          31

                                           SOCIAL MEDIA

Adottate le Linee guida 08/2020 sul targeting degli utenti dei social media                            32

                                      UTILIZZO DELLA E-MAIL

Invio erroneo di una mail contenente dati relativi a minori appartenenti a nuclei familiari seguiti dal

servizio sociale                                                                                       33

                                    DIRITTI DEGLI INTERESSATI

Multa di 12.000 € a INPS per mancato riscontro a due istanze di accesso ai dati personali              34
INDICE DEI CONTENUTI
                                                                                              Pag.
                               DIFFUSIONE DI DATI PERSONALI

Norvegia: comune multato per aver pubblicato dati personali sul proprio sito web               35

                                   SETTORI SPECIFICI: SANITÀ

Garante, sì all’informazione scientifica, ma attenzione alla privacy dei pazienti              36

Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale n. 2 Lanciano-Vasto-Chieti     37

Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Universitaria Careggi               38

Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di Reggio Emilia         39

Patient Support Program e Privacy: aspetti da tenere in considerazione                         40

                                  SETTORI SPECIFICI: LAVORO

Vaccinazioni sul luogo di lavoro: le indicazioni del Garante privacy                           41

Italia: Garante impone sanzione di 40.000 per trattamento illecito dei dati dei dipendenti     42

Francia: IKEA riceve sanzione da 1,1 mil euro per aver spiato i dipendenti                     43

                                SETTORI SPECIFICI: MARKETING

Telemarketing aggressivo: il Garante privacy sanziona Fastweb per 4 milioni e mezzo di euro    44

Operazioni di Direct marketing e diritto di opposizione: un caso sanzionato dal Garante        45

Telemarketing selvaggio: il Garante sanziona tre call center                                   47

                             SETTORI SPECIFICI: D.LGS. 231/2001

Normativa anti–riciclaggio e riservatezza: alcune osservazioni                                 48
Regolamento europeo: le linee di indirizzo del Garante
                     privacy per gli RPD

  Nonostante siano già passati tre anni dalla piena applicazione del GDPR, permangono ancora
incertezze sulla figura del Responsabile della Protezione dei Dati (“RPD”).

  Il Garante ha allora pubblicato un documento di indirizzo che recepisce le FAQ già pubblicate
nel 2017, con l’obiettivo di dirimere i dubbi che paiono persistere su questa importante figura,
obbligatoria per il settore pubblico.

  Il Garante individua ed approfondisce tre macro-argomenti:

  • la designazione del RPD,

  • i suoi compiti e le sue qualità professionali

  • le incompatibilità con altre cariche ed i conflitti di interesse.

 In questo articolo, un approfondimento di quanto riportato nel documento di indirizzo del
Garante, con particolare focus sul tema del conflitto d’interessi.

Per approfondimenti si rimanda all’articolo
“Pubblicato il documento di indirizzo sulla figura dei responsabili per la protezione dei dati”
a cura dell’Avv. Alessandra Delli Ponti

Garante Italiano - Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD

Vai all’Approfondimento

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                      8
Italia: adottato il Codice di Condotta sulle informazioni
                            commerciali

  Il Garante privacy ha approvato la versione definitiva del Codice di condotta sulle informazioni
commerciali, elaborato dall’Associazione nazionale tra le imprese di informazioni commerciali e
di gestione del credito (Ancic).

   Con il Codice, le società che offrono informazioni sull’affidabilità commerciale di imprenditori
e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso,
basandosi sul legittimo interesse, ma dovranno garantire maggiori tutele agli interessati,
informandoli correttamente sui trattamenti effettuati e assicurando loro il pieno esercizio dei diritti
previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento
dei dati.

Garante Italiano - Provvedimento del 29 aprile 2021 - Approvazione del Codice di condotta
per il trattamento dei dati personali effettuato a fini di informazione commerciale [Doc Web
9586215]

Vai al sito del Garante per scaricare il provvedimento

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                          9
EDPB ha adottato pareri sui primi codici di condotta
    transnazionali, Statement on Data Governance Act,
 Raccomandazioni sulla base giuridica per la conservazione
              dei dati delle carte di credito.

   Durante la sessione plenaria, l’EDPB ha adottato due pareri sui primi progetti di decisione in
materia di Codici di condotta (Codici) presentati al consiglio dalle autorità di vigilanza belghe e
francesi (SAs).

  In particolare, il progetto di decisione dell’autorità belga riguarda il codice di condotta EU
CLOUD, indirizzato ai fornitori di servizi cloud.

  Il progetto di decisione dell’autorità francese riguarda il codice di condotta CISPE, indirizzato ai
fornitori di servizi di infrastruttura cloud.

  L’EDPB ha ritenuto che entrambi i progetti di codici aderiscono al GDPR e soddisfano i requisiti
di cui agli articoli 40 e 41 del GDPR.

  L’adesione ai codici di condotta può essere utilizzata dai Titolari e dai Responsabili quale valido
elemento di prova della conformità delle attività svolte rispetto alla normativa di protezione dei
dati personali, nel rispetto del principio di accountability.

E.D.P.B. European Data Protection Board - adopts opinions on first transnational codes of conduct,
Statement on Data Governance Act, Recommendations on the legal basis for the storage of credit
card data.

Vai al sito dell’EDPB per approfondire la notizia

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                       10
Guida alla valutazione dei criteri di certificazione
    (Addendum alle Linee Guida 1/2018 sulla certificazione
    e individuazione dei criteri di certificazione ai sensi degli
               articoli 42 e 43 del Regolamento)

  L’EDPB ha pubblicato l’addendum alle Linee Guida 01/2018 sulla certificazione e l’identificazione
dei criteri di certificazione secondo gli articoli 42 e 43 del GDPR.

  L’obiettivo del documento è quello di:

  • assistere gli stakeholder nella stesura dei criteri di certificazione nell’ambito del GDPR

  • assistere le Autorità di controllo e il Comitato Europeo per la protezione dei dati (EDPB)
    nel fornire valutazioni coerenti nel contesto dell’approvazione dei criteri di certificazione

E.D.P.B. European Data Protection Board - Guidance on certification criteria assessment
(Addendum to Guidelines 1/2018 on certification and identifying certification criteria in
accordance with Articles 42 and 43 of the Regulation)

Vai al sito dell’EDPB per scaricare l’addendum alle Linee Guida

                         | RIVISTA IL MIO DPO | ANNO 3 NR 2                                      11
Sussidi Covid, Garante: i dati dei beneficiari vanno protetti

  La vicenda trae origine dalla segnalazione di un cittadino che lamentava che un operatore di
un’associazione aveva potuto accedere alla sua domanda di buoni spesa per l’emergenza Covid,
senza esserne autorizzato.

  Nel corso dell’istruttoria è emerso che, al fine di assistere gli utenti ad inserire la dichiarazione
necessaria all’erogazione del contributo, il Comune di Palermo si è avvalso dell’aiuto di diversi
soggetti esterni, quali Enti del Terzo Settore, Sindacati e Parrocchie.

  Questi soggetti erano stati accreditati ad usare la piattaforma, mediante rilascio di un’utenza
unica per ciascuno ente: tutti gli addetti dell’ente potevano quindi accedere con le medesime
credenziali e visualizzare i dati di tutte le domande, anche presentate presso altri enti.

  Il Garante, ritenuti violati i principi di integrità e riservatezza dei dati oltre che il principio di
privacy by design e by default, ha comminato nei confronti del Comune di Palermo una sanzione
di € 40.000.

Garante Italiano - Ordinanza ingiunzione nei confronti di Comune di Palermo - 15 aprile 2021
[9587053]

Vai al sito del Garante per leggere l’ordinanza

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                         12
Il Garante blocca l’utilizzo dell’App Mitiga
                        per il Green Pass Covid

  Il Garante Privacy in data 3 giugno ha adottato, in via d’urgenza, la misura della limitazione
provvisoria del trattamento per la app Mitiga.

  Per i non addetti ai lavori la app Mitiga è stata realizzata da una società per agevolare l’accesso
allo Stadio degli spettatori.

   Funziona così: l’utente iscritto alla app si reca in una delle farmacie o laboratorio convenzionati
con “Mitiga” effettua un tampone rapido o molecolare.
In caso di negatività il dato veniva caricato da chi emette l’analisi sulla piattaforma e l’utente
poteva visualizzare sul suo profilo l’esito negativo (o positivo).
La app poi consentiva l’emissione di un QR code che dichiarava la negatività per garantire
l’accesso agli eventi.

  In aprile la società aveva consultato il Garante ai sensi dell’articolo 36 GDPR, consapevole
dell’alto rischio che questo trattamento dati comporta, ma, nelle more della decisione dello
stesso Garante, il 19 maggio scorso la app è stata utilizzata per consentire l’ingresso alla finale
di Coppa Italia degli spettatori in possesso di certificazione attestante l’avvenuta vaccinazione, la
guarigione o lo stato di negatività dal Covid-19.

   Questa circostanza ha portato il Garante a decidere di bloccarne l’uso essendoci
la possibilità - elevata - che l’app potesse essere utilizzata nei giorni successivi per governare
l’accesso ad altri eventi e spettacoli o altre iniziative sportive.

  Elemento cardine contestato dal Garante è l’assenza della base giuridica, trattandosi anche
di dati particolarmente delicati come quelli di natura sanitaria e l’attestazione della situazione
“Covid free” per chi partecipa ad avvenimenti sportivi.

  Quindi, il Garante, ribadendo quanto già specificato nel noto provvedimento del 23 aprile
u.s. ha rilevato che il decreto legge “sulle riaperture” dello scorso aprile non costituisce
una valida base giuridica per l’introduzione e l’utilizzo delle certificazioni verdi a livello
nazionale in quanto privo di alcuni degli elementi essenziali richiesti dal Regolamento
(artt. 6, par. 2 e 9) e dal Codice (artt. 2-ter e 2-sexies).

  In generale, comunque il Garante coglie l’occasione per ribadire che l’eventuale utilizzo di
soluzioni informatiche volte a documentare la certificazione verde COVID-19 dovrebbe essere

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                        13
previsto in termini omogenei su tutto il territorio nazionale, in conformità alle modalità indicate dal
Decreto del Presidente del Consiglio dei Ministri.

Garante Italiano - Provvedimento del 3 giugno 2021 [9592298]

Vai al sito del Garante per leggere il provvedimento

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                         14
Italia: il Garante privacy apre un’istruttoria per il Coronapass
                           Alto Adige

   Il Garante privacy ha aperto un’istruttoria per verificare la legittimità dell’iniziativa “Coronapass
Alto Adige”, implementato dalla Provincia autonoma di Bolzano per gestire gli accessi a determinate
strutture ricettive, luoghi ricreativi e di formazione, eventi sportivi.

   Questa “certificazione verde” prevede il rilascio di un pass alle persone che hanno completato
il ciclo di vaccinazione, è guarito dal Covid oppure ha da poco eseguito un test negativo.

   Il Garante privacy ha ribadito che ogni trattamento di dati personali connesso a iniziative che
limitano fortemente i diritti e le libertà delle persone, può avvenire solo con una solida base
giuridica e a seguito di una valutazione dei rischi, comprensiva di adeguate misure a tutela
degli interessati.

Garante Italiano - “Coronapass Alto Adige”: il Garante privacy apre un’istruttoria

Vai al sito del Garante per leggere la notizia

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                         15
Italia: avvertimento alla Regione Campania per uso di un
               “green pass” locale per il Covid-19

  Il Garante Privacy ha adottato un provvedimento di “avvertimento” rispetto all’iniziativa della
Regione Campania che ha introdotto un sistema regionale di “certificazione verde” di avvenuta
guarigione, vaccinazione o negatività che è condizione necessaria per la fruizione di servizi
turistici, alberghieri, trasporti e di intrattenimento, in quanto viola la normativa privacy.

  Infatti, l’istruttoria del Garante ha fatto emergere la mancanza di un’idonea base giuridica,
in quanto disposizioni che condizionano in misura così significativa i diritti e le libertà personali
sono ammissibili solo da una normativa nazionale, e non regionale.

  Inoltre, il progetto non individua rispetto ai dati raccolti il titolare del trattamento, né i soggetti che
possono accedere e utilizzare le informazioni, violando così i principi di liceità, trasparenza,
correttezza e di privacy by design by default.

   Il Garante sottolinea anche come iniziative locali di questo tipo, difformi da quelli individuati
a livello nazionale, mettono a rischio l’interoperabilità delle certificazioni a livello nazionale ed
europeo, andando in contrasto con la finalità stessa delle certificazioni, ovvero di agevolare la
libera circolazione all’interno dell’Unione Europea durante la pandemia.

Garante Italiano - Provvedimento di avvertimento alla regione Campania in merito all’uso delle
certificazioni verdi Covid-19 - del 25 maggio 2021 [9590466]

Vai al sito del Garante per scaricare il provvedimento

                            | RIVISTA IL MIO DPO | ANNO 3 NR 2                                            16
Italia: secondo il Consiglio di Stato, il servizio di Facebook
                     non può ritenersi gratuito

  In una sentenza del 29 marzo 2021, il Consiglio di Stato ha confermato la posizione del Garante
Privacy italiano per la quale il servizio social offerto da Facebook non si può considerare gratuito,
come affermato dalla piattaforma al momento dell’iscrizione, affermazione che sarebbe quindi
scorretta e ingannevole.

  I giudici hanno ritenuto infatti che l’utilizzo dei dati personali degli utenti possa costituire
un corrispettivo rispetto al servizio offerto da Facebook, in quanto quest’ultimo utilizza i dati
personali degli utenti per fini commerciali attraverso la profilazione.

  Leggi il commento alla sentenza pubblicato su AgendaDigitale.

Consiglio di Stato- Sentenza 2631 del 29/03/2021
Scarica la sentenza

                         | RIVISTA IL MIO DPO | ANNO 3 NR 2                                       17
Illecito trattamento di dati personali e risarcimento del
         danno: la Corte di Cassazione fissa alcuni principi

  In materia di risarcimento del danno la Corte di Cassazione ha recentemente affermato
alcuni importanti principi, sia in relazione al soggetto che sarà tenuto a rispondere dei danni
cagionati, che si tratti del titolare o del responsabile del trattamento, sia in merito alle modalità
di determinazione del risarcimento, stabilendo che il danno non patrimoniale risarcibile
a causa di una lesione del diritto fondamentale alla protezione dei dati personali non si
sottrae alla verifica della “gravità della lesione” e della “serietà del danno”, che devono
dunque essere verificate in concreto dal giudice del merito.

Per approfondimenti si rimanda all’articolo
“Illecito trattamento di dati personali e risarcimento del danno: la Corte di Cassazione fissa alcuni
principi”
a cura dell’Avv. Eleonora Lenzi

                         | RIVISTA IL MIO DPO | ANNO 3 NR 2                                       18
Valutazione del rischio e di impatto: whitepaper

  La valutazione dei rischi rappresenta uno degli elementi cardine del Regolamento UE 2016/679
ed è parte integrante della valutazione d’impatto.

  Il Regolamento ha un approccio “caso per caso” (case-by-case approach) di tipo “funzionale”,
che introduce maggiore flessibilità di risposta, affidando al Titolare la completa responsabilità ex
ante ed ex post dei risultati delle azioni intraprese per aderire alla norma.

  L’approccio del Regolamento UE è dunque basato sulla valutazione dei rischi (risk based
approach), la quale determina che:

  1. il valore quantitativo o qualitativo del rischio sia connesso e relativo ad una situazione
concreta e ad una minaccia conosciuta;

  2. gli obblighi del Titolare (Data controller) e/o del Responsabile del trattamento, in termini di
messa in atto delle misure di protezione, variano nel tempo in relazione allo stato della tecnologia
e alle pratiche comuni attuate nel settore in cui operano;

  3. il grado di responsabilità del Titolare e/o del Responsabile del trattamento è “proporzionale
ai rischi stimati tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi
degli articoli 25 e 32”.

   Il whitepaper che vi presentiamo vuole offrire ai Titolari e ai Responsabili del trattamento uno
strumento per comprendere il meccanismo di valutazione del rischio e d’impatto connessi al
trattamento dati.

Scarica il whitepaper a cura di Luigi Zampetti
“Studio sulla valutazione del rischio e d’impatto”

                         | RIVISTA IL MIO DPO | ANNO 3 NR 2                                       19
Nuova procedura telematica per la notifica del data breach
                   al Garante italiano

   Per accrescere l’efficacia e l’efficienza dell’azione amministrativa e, nel contempo, semplificare
l’adempimento degli obblighi da parte dei titolari del trattamento, l’Autorità Garante renderà
operativa dal 1° luglio 2021 una nuova procedura telematica per la notifica delle violazioni di
dati personali.

Garante Italiano - Provvedimento del 27 maggio 2021 - Procedura telematica per la notifica di
violazioni di dati personali (data breach) [9667201]

Vai al sito del Garante per scaricare il provvedimento

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                       20
Esempi di notifica di Data Breach

  Quando avviene una violazione di dati personali, occorre innanzitutto valutare i rischi per i
diritti e le libertà degli interessati ad essa coinvolti.

  Come avviene spesso nella pratica, questa valutazione non è sempre agevole.

  Con l’obiettivo di assistete i Titolari del trattamento a svolgere le valutazioni del caso in
modo corretto, l’European Data Protection Board (“EDPB”) ha pubblicato allora le Linee guida
01/2021 sugli esempi di notifica del data breach.

  Abbiamo quindi deciso di pubblicare una serie di articoli per fornire degli esempi di notifica del
data breach: ecci qui i primi tre

“Esempi di notifica di data breach: una breve introduzione”
a cura della Dott.ssa Federica Pucarelli

“Esempi di notifica di data breach: attacco ransomware a struttura sanitaria”
a cura della Dott.ssa Federica Pucarelli

“Esempi di notifica del data breach: furto di dati da parte di un ex dipendente”
a cura della Dott.ssa Federica Pucarelli

Non perdere i prossimi articoli sul tema, che saranno pubblicati sul nuovo sito www.privacygdpr.it

                         | RIVISTA IL MIO DPO | ANNO 3 NR 2                                      21
Il Garante tedesco sanziona Booking.com per aver notificato
                  un data breach in ritardo

  Booking.com ha ricevuto una sanzione di 450.000 euro dall’Autorità olandese in seguito al
data breach causato da un hacker che ha violato i dati personali di circa 4000 utenti, prendendo
di mira alcuni dipendenti e utilizzando le loro credenziali per accedere ai dati (dati della carta di
credito, dati di contatto o relativi alla prenotazione).

  Booking tuttavia aveva notificato la violazione all’Autorità 22 giorni dopo esserne venuta a
conoscenza, cosa che ha anche impedito agli interessati di venire tempestivamente a conoscenza
dell’evento e di porre in essere precauzioni per evitare furti di identità e sottrazione di denaro.

E.D.P.B. European Data Protection Board - Dutch DPA fines Booking.com for delay in reporting
data breach

Vai al sito dell’EDPB per leggere la notizia completa

                         | RIVISTA IL MIO DPO | ANNO 3 NR 2                                       22
Oblio: no alla cancellazione di un articolo dall’archivio online
                       di un quotidiano

  È possibile chiedere la cancellazione di un articolo pubblicato nell’archivio web di un quotidiano?

  Il Garante dice di no, se prevalgono il diritto alla libertà di espressione e la valenza
informativa, se l’articolo risponde ad una legittima finalità di archiviazione di interesse storico-
documentaristico ed è de-indicizzato.

  Questo l’esito del reclamo proposto da un interessato che aveva chiesto che i propri dati
personali riportati in articolo di cronaca pubblicato nell’archivio online del quotidiano La Stampa
venisse cancellato o che fossero resi in forma anonima.

Garante Italiano - Ordinanza ingiunzione nei confronti di GEDI News Network S.p.a. - 25 marzo
2021 [9577346]

Vai al sito del Garante per leggere l’ordinanza

                         | RIVISTA IL MIO DPO | ANNO 3 NR 2                                        23
Norvegia: sanzionato un ristorante per utilizzo di
                  sorveglianza a circuito chiuso

  L’autorità norvegese ha comminato una sanzione di 20.000,00 euro al ristorante Basaren Drift
per aver installato un sistema di sorveglianza a circuito chiuso.

  I motivi della sanzione riguardano la violazione dei principi di liceità e trasparenza.

  L’Autorità ha infatti ritenuto che il ristorante non avesse un’idonea base giuridica per il trattamento
dei dati svolti per il tramite del sistema di videosorveglianza e che non fosse necessario
mantenere il sistema attivo 24 ore su 24.

  Sono stati ritenuti violati i diritti dei lavoratori e dei clienti che certamente avevano una legittima
aspettativa a non essere ripresi durante la cena.

E.D.P.B. European Data Protection Board - Norwegian DPA: Basaren Drift AS fined

Vai sul sito dell’EDPB per leggere la notizia completa

                           | RIVISTA IL MIO DPO | ANNO 3 NR 2                                         24
Norvegia: multa di EUR 15.000 a società che aveva
   trasmesso in streaming immagini sotto videosorveglianza
                            CCTV

  La compagnia elettrica “autrice” della violazione ha installato una webcam panoramica in cima
al suo edificio.

  Le immagini sono state trasmesse in live streaming su YouTube e sul sito Web dell’azienda.

  La qualità dell’immagine era sufficientemente buona da consentire l’identificazione del tipo di
veicoli e dei conducenti, il colore dei capelli e altre caratteristiche personali e distintive identificative

   Ciò ha consentito l’identificazione e il tracciamento di dipendenti, colleghi, amici, familiari,
fidanzate / fidanzati o altri conoscenti.

   Nella sua decisione, il Garante per la protezione dei dati ha dato peso al fatto che la sorveglianza
illecita svolta con telecamere a circuito chiuso ha riguardato un numero considerevole di interessati
e che il monitoraggio è stato continuativo.

E.D.P.B. European Data Protection Board - Norwegian DPA: Dragefossen AS fined

Vai sul sito dell’EDPB per leggere la notizia completa

                            | RIVISTA IL MIO DPO | ANNO 3 NR 2                                            25
Commissione Europea: nuove clausole contrattuali standard
                da adottare entro 18 mesi
  La Commissione europea ha adottato due serie di clausole contrattuali standard (“SCC”),

  • una da utilizzare tra responsabili del trattamento e responsabili del trattamento

  • una per il trasferimento di dati personali a paesi terzi.

   I nuovi modelli di SCC riflettono i nuovi requisiti previsti dalla normativa europea di protezione
dei dati e tengono conto della sentenza Schrems II della Corte di giustizia, garantendo un elevato
livello di protezione dei dati.

  Ecco le principali novità:

  • Aggiornamento in linea con il GDPR;

  • Un unico “entry-point” che prevede un’ampia gamma di scenari di trasferimenti di dati,
    invece che insiemi separati di clausole;

  • Maggiore flessibilità per le catene di lavorazione complesse, attraverso un “approccio
    modulare” anche offrendo la possibilità a più di due parti di aderire alle clausole;

  • Previsione di pratici strumenti per conformarsi alla sentenza Schrems II; vale a dire una
    panoramica delle diverse misure che le aziende devono intraprendere per conformarsi
    alla sentenza Schrems II, nonché esempi di possibili “misure supplementari”, come la
    crittografia, che le aziende possono adottare, ove necessario.

  I Titolari e Responsabili che hanno adottato le “vecchie” clausole standard hanno a disposizione
un periodo di transizione di 18 mesi per adeguare i contratti ai nuovi standard.

Commissione Europea - new tools for safe exchanges of personal data
Vai al sito della Commissione Europea per leggere la notizia

Commissione Europea - Standard contractual clauses for controllers and processors in the EU/
EEA Leggi

Commissione Europea - Standard contractual clauses for international transfers Leggi

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                      26
Portogallo: il Garante ha ordinato all’Istituto nazionale di
           statistica di non trasferire dati negli USA

  CNPD, l’Autorità portoghese per la protezione dei dati, ha pubblicato una decisione rivolta
all’INE (Istituto Nazionale di Statistica) ordinando la sospensione di ogni trasferimento di dati
personali verso gli Stati Uniti o altri paesi extra-UE senza un livello adeguato di protezione.

   La decisione è seguita a una serie di lamentele sulle condizioni della raccolta online dei dati di
un questionario di censimento.
In seguito a un’indagine, il Garante ha rilevato che INE esternalizzava i dati a Cloudflare, Inc
tramite un accordo di trattamento dati che si basava sul trasferimento di dati personali verso gli
USA.

   Cloudflare è una società californiana e per via del tipo di servizio che fornisce, è direttamente
soggetta alla legge americana sulla sorveglianza per motivi di sicurezza nazionale, che le impone
l’obbligo di dare alle Autorità statunitensi accesso illimitato ai dati personali utilizzati o conservati
da Cloudflare, senza poter informare di questo fatto gli interessati.

E.D.P.B. European Data Protection Board - Census 2021: Portuguese DPA (CNPD) suspended
data flows to the USA

Vai sul sito dell’EDPB per leggere la notizia completa

                           | RIVISTA IL MIO DPO | ANNO 3 NR 2                                         27
Whitepaper: Trasferimento dei dati in paesi extra SEE post
                         Schrems II

  In seguito alla ormai storica sentenza Schrems II con la quale la Corte di Giustizia Europea
ha invalidato il Privacy Shield che permetteva l’agevole trasferimento di dati verso gli USA, si è
nuovamente aperta la questione del trasferimento di dati personali dall’Unione Europea verso i
paesi extra SEE.

   In questo whitepaper viene analizzato il quadro attuale, le indicazioni delle Autorità e gli
strumenti a disposizione per continuare a trasferire i dati nel rispetto della normativa privacy.

Scarica il whitepaper a cura di Federica Pucarelli
“Trasferimento dei dati in paesi extra SEE post Schrems II”

                         | RIVISTA IL MIO DPO | ANNO 3 NR 2                                     28
BREXIT: qual è al momento il livello di protezione dei dati nel
                      Regno Unito?
   La “bridging clause” inserita nell’accordo commerciale e di cooperazione UE-UK (TCA)
garantisce al momento la piena continuità dei flussi di dati tra il SEE e il Regno Unito fino al 30
giugno 2021.

  In merito alla procedura avviata dalla Commissione Europea per l’adozione di due decisioni di
adeguatezza per i trasferimenti di dati personali nel Regno Unito l’EDPB con il Parere 14/2021 a
aprile 2021 si esprimeva favorevolmente.

  Nel mese di maggio, però, una risoluzione del Parlamento ha frenato sull’adeguatezza delle
bozze ritenendole incoerenti rispetto al diritto dell’UE e invitando la Commissione e le autorità
competenti del Regno Unito a modificare le decisioni di adeguatezza entro il 30 giugno 2021.

  La Commissione europea non ha raccolto le preoccupazioni del Parlamento e ha adottato la
decisione di adeguatezza che ha promosso gli standard britannici di data protection, ritenendoli
“adeguati”. Con questa decisione sarà possibile attuare il trasferimento dei dati come fatto fino
adesso, per altri quattro anni.

Per approfondimenti si rimanda all’articolo
“Trasferimenti di dati in UK: qual è al momento il livello di protezione?”
a cura dell’Avv. Alessandra Delli Ponti

E.D.P.B. European Data Protection Board - Opinion 14/2021 regarding the European Commission
Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection
of personal data in the United Kingdom Vai al sito dell’EDPB per scaricare il file

Parlamento Europeo - resolution of 21 May 2021 on the adequate protection of personal
data by the United Kingdom (2021/2594(RSP)) Scarica la risoluzione

Commissione Europea - 28/06/2021 Decisione della Commissione ai sensi della direttiva (UE)
2016/680 Scarica la decisione

Commissione Europea - 28/06/2021 Decisione della Commissione ai sensi del Reg. UE
2016/679 Scarica la decisione

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                     29
20° Giornata mondiale del backup:
                    siete pronti a qualsiasi imprevisto?

   In questo articolo, pubblicato in occasione della 20° giornata mondiale del backup, abbiamo
sottolineato l’importanza di introdurre in azienda buone pratiche di backup, quale misura di
sicurezza tecnica regolarmente citata in tutte le buone pratiche di sicurezza informatica,
e abbiamo fornito delucidazioni su come questa misura può essere efficacemente introdotta
nell’organizzazione.

Si rimanda all’articolo
“20° Giornata mondiale del backup: siete pronti a qualsiasi imprevisto?”
a cura del Dott. Fabio Marinello

                        | RIVISTA IL MIO DPO | ANNO 3 NR 2                                  30
Anonimizzazione dei dati personali:
                        un percorso per orientarsi

  Mai come oggi l’economia, la scienza e la ricerca basano il loro sviluppo sull’analisi dei dati e
sullo sfruttamento dei risultati ottenuti.

  Secondo la disciplina in materia privacy, però, l’uso e soprattutto il ri-uso dei dati personali
deve rispettare confini definiti, a partire dai principi e dalle garanzie previsti dal Regolamento UE
2016/679.

  Sono meno rigorose, però, le regole previste per i dati che non rientrano più nell’insieme dei dati
personali, bensì in quello dei dati anonimizzati.

  Abbiamo quindi deciso di pubblicare una serie di articoli per approfondire questa tematica sia
da un punto di vista teorico che, soprattutto, operativo in modo da poter acquisire gli strumenti per
implementare correttamente il processo di anonimizzazione.

“Anonimizzazione dei dati personali: un percorso per orientarsi”
a cura dell’Avv. Maddalena Collini

“Anonimizzazione: eliminare informazioni per impedire la re-identificazione”
a cura dell’Avv. Maddalena Collini

Non perdere i prossimi articoli sul tema, che saranno pubblicati sul nuovo sito www.privacygdpr.it

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                       31
Adottate le Linee guida 08/2020 sul targeting degli utenti
                       dei social media

  L’ European Data Protection Board (EDPB) ha approvato recentemente le Linee guida dell’EDPB
n.8/2020 rispondendo alla necessità di disciplinare il targeting degli utenti sui social media
oramai divenuto uno dei principali strumenti di business per le aziende.

  Le linee guida riportano la corretta individuazione dei ruoli e delle responsabilità in ambito
privacy nell’interazione tra fornitori dei social media ed altri soggetti coinvolti.

  Analizzano poi i principali meccanismi di targeting sulla base della distinzione delle fonti da cui
vengono acquisiti i dati personali degli utenti, distinguendo le seguenti casistiche:

  • Provided data

  • Inferred data o derived data

   L’EDPB fornisce poi degli esempi concreti relativi all’utilizzo delle categorie di dati personali per
finalità di targeting, e individua per ogni singolo caso proposto le basi giuridiche da utilizzare.

  Per quanto riguarda, invece, le ipotesi di profilazione dell’utente tramite monitoraggio, processo
decisionale automatizzato o mediante l’utilizzo di cookies, inoltre, viene specificato che in questi
casi l’unica base giuridica lecita ed applicabile sarà quella del consenso dell’interessato.

Per approfondimenti si rimanda all’articolo
“Adottate le Linee guida 08/2020 sul targeting degli utenti dei social media”
a cura dell’Avv. Alessandra Delli Ponti

E.D.P.B. European Data Protection Board - Guidelines 8/2020 on the targeting of social media
users

Scarica le Linee Guida

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                         32
Invio erroneo di una mail contenente dati relativi a minori
   appartenenti a nuclei familiari seguiti dal servizio sociale

  Il 15 luglio 2020 il Comune di Recco notificava al Garante che un operatore del servizio sociale
aveva inviato per errore un’email contenenti dati personali di due minori seguiti dai servizi sociali
al genitore di un terzo minore, anch’esso seguito dallo stesso servizio.

  La mail conteneva un file al cui interno si trovavano dati sensibilissimi, quali la situazione sociale
del minore, i suoi dati anagrafici e quelli del suo nucleo famigliare e i riferimenti del provvedimento
dell’Autorità Giudiziaria.

  Il Comune, titolare del trattamento, qualificava la gravità della violazione di livello medio, in
quanto la persona che aveva commesso l’errore aveva comunicato prontamente il fatto al servizio
e la persona che ha ricevuto la mail erroneamente aveva riferito di aver cancellato subito la mail.

   Il Garante ha ingiunto al Comune di Recco di comunicare la violazione dei dati personali agli
interessati entro dieci giorni dal provvedimento e di fornire riscontro sulle misure adottate per
attenuare gli effetti pregiudizievoli della violazione nei confronti degli interessati.

    È lo stesso articolo 34 par. 1 del GDPR, infatti, che sancisce che “quando la violazione dei dati
personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche,
il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

Garante Italiano - Provvedimento su data breach - 15 aprile 2021 [9591241]

Vedi il provvedimento

                           | RIVISTA IL MIO DPO | ANNO 3 NR 2                                           33
Multa di 12.000 € a INPS per mancato riscontro a due istanze
                 di accesso ai dati personali

  Il Garante ha multato l’INPS per 12.000 € per la violazione degli artt. 5, par. 1, lett. a), 12 e 15
del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1,
del Regolamento, effettiva, proporzionata e dissuasiva.

   L’INPS non aveva fornito riscontro ad un interessato nei termini previsti dagli articoli 12 e 15
del GDPR.
L’interessato aveva infatti inviato due PEC alla Direzione provinciale dell’INPS di Bolzano con
richieste di chiarimenti su una presunta comunicazione a terzi di dati personali relativi al suo
estratto conto previdenziale.

  A difesa dell’INPS, vi sarebbe stato un “mero disguido in ordine alla ricezione della mail di PEC”:
secondo il Garante questa motivazione non è stata sufficiente ad escludere la responsabilità.

Garante Italiano - Ordinanza ingiunzione nei confronti di INPS - 15 aprile 2021 [9592133]

Vedi il provvedimento

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                        34
Norvegia: comune multato per aver pubblicato dati
                  personali sul proprio sito web

   Il Comune è stato multato per un totale di 100.000 euro per aver pubblicato dati personali
riservati e numeri di identità nazionali (NID) sul proprio sito web.

  Molti dei casi riguardavano dati personali, anche particolari di bambini. Il comune ha violato i
requisiti della normativa sulla protezione dei dati relativi alla riservatezza e la questione riguarda
sia carenze procedurali che tecniche.

  I dati personali che avrebbero dovuto essere protetti sono stati resi accessibili a terzi non
autorizzati sul sito web del comune per un anno.

E.D.P.B. European Data Protection Board - Norwegian DPA: Municipality of Asker fined
Vai al sito dell’EDPB per leggere la notizia

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                       35
Garante, sì all’informazione scientifica, ma attenzione alla
                       privacy dei pazienti

  Un paziente, dopo essersi curato in un’AUSL, ha trovato fotografie e altre informazioni riferibili
alla sua salute pubblicate sul sito di un’associazione medica.

  Tali documenti erano reperibili anche tramite comuni motori di ricerca.

  A seguito della segnalazione del paziente, l’AUSL provvedeva a notificare la violazione di dati
al Garante ai sensi dell’art. 33 del Reg. UE 679/2016 (GDPR).

Per approfondimenti si rimanda all’articolo
“Diffusione di dati sanitari tramite pubblicazioni scientifiche: sanzionate una AUSL e una
associazione medica”
a cura dell’Avv. Maria Livia Rizzo, Dott.ssa Federica Pucarelli

Garante Italiano - Newsletter 19/05/21
Leggi la notizia

                         | RIVISTA IL MIO DPO | ANNO 3 NR 2                                      36
Ordinanza ingiunzione nei confronti di Azienda Sanitaria
              Locale n. 2 Lanciano-Vasto-Chieti

 A causa di un errore umano nell’imbustamento della documentazione, un referto e gli esami
ematici riferiti ad un paziente minore sono stati inviati per errore al destinatario errato.

  L’Azienda Sanitaria protagonista dell’errore ha immediatamente chiesto al destinatario scorretto
di cancellare le informazioni ricevute ed ha provveduto ad inviare i documenti sanitari al corretto
destinatario ed è stata adottata una procedura più stringente per la gestione dei referti.

  A seguito della notifica della violazione e al termine del procedimento, l’Autorità Garante ha
comminato nei confronti dell’ASL una sanzione di € 6.500,00.

Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale n. 2 Lanciano-
Vasto-Chieti - 11 febbraio 2021 [9567143]

Vedi il provvedimento

                         | RIVISTA IL MIO DPO | ANNO 3 NR 2                                      37
Ordinanza ingiunzione nei confronti di Azienda Ospedaliera
                  Universitaria Careggi

  L’AOU Careggi ha notificato al Garante una violazione di dati personali con riferimento alla
errata consegna di documentazione sanitaria cartacea relativa ad una prestazione di Pronto
Soccorso di un paziente a una persona diversa.

  Si è trattato di un episodio di duplicazione di documentazione, probabilmente a causa di un
errore di stampa, in quanto l’interessato a cui si riferiscono i documenti aveva comunque ricevuto
la propria refertazione.

   L’Azienda ha successivamente contattato entrambi i soggetti per assicurarsi che entrambi fossero
in possesso della sola documentazione di propria competenza e ha dichiarato di aver avviato un
processo di valutazione interno.

  L’importo della sanzione comminata dal Garante ammonta a 6.000,00 euro.

Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Universitaria
Careggi - 25 febbraio 2021 [9574764]

Vedi il provvedimento

                         | RIVISTA IL MIO DPO | ANNO 3 NR 2                                      38
Ordinanza ingiunzione nei confronti di Azienda Unità
               Sanitaria Locale di Reggio Emilia

  L’Ausl di Reggio Emilia ha notificato al Garante una violazione di dati personali in relazione ad
un errore di inserimento della data in un lotto di referti del 2010.

  L’errore ha comportato l’associazione di quei referti a prenotazioni di pazienti diversi, effettuate
nel 2019. DI conseguenza, i referti sono stati comunicati ai destinatari sbagliati.

  La violazione descritta ha riguardato otto interessati e pur avendo avuto luogo nel 2010, è stata
scoperta dall’AUSL solo a marzo 2019.

  La violazione ha riguardato oltre che i dati anagrafici e di contatto dei pazienti, anche dati
relativi al loro stato di salute. All’esito del procedimento, l’Autorità Garante ha quindi ritenuto
congruo comminare una sanzione pari a 9.000,00 euro.

Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di
Reggio Emilia - 11 marzo 2021 [9581069]

Vedi il provvedimento

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                       39
Patient Support Program e Privacy: aspetti da tenere in
                        considerazione

  I Patient Support Program – ad oggi – non sono regolamentati da alcuna specifica normativa

  Tuttavia, la disciplina sulla protezione dei dati personali è trasversale e raggiunge tutti i trattamenti
di dati personali, compresi, ovviamente, quelli effettuati mediante i PSP.

  Questo articolo dell’Avv. Silvia Stefanelli si pone l’obiettivo di mettere in luce gli aspetti che, per
la particolare natura dei PSP, devono essere attentamente analizzati al fine di un pieno rispetto
della normativa sulla protezione dei dati personali.

Per approfondimenti si rimanda all’articolo
“Patient Support Program e Privacy: aspetti da tenere in considerazione”
a cura dell’Avv. Silvia Stefanelli

                           | RIVISTA IL MIO DPO | ANNO 3 NR 2                                           40
Vaccinazioni sul luogo di lavoro:
                       le indicazioni del Garante privacy

    In seguito alla sottoscrizione tra Governo e parti sociali del “Protocollo nazionale per la
realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione
anti SARS-CoV-2/Covid-19 nei luoghi di lavoro”, il Garante ha ribadito la necessità di rispettare
il tradizionale riparto di competenze tra il medico competente e il datore di lavoro ed il divieto per
il datore di lavoro di raccogliere dati circa l’adesione dei lavoratori alla campagna, l’avvenuta
somministrazione (o meno) del vaccino e altri dati relativi alle condizioni di salute del lavoratore.

  Il Garante fornisce importanti indicazioni operative sulle modalità di trattamento dei dati
personali dei lavoratori.

Per approfondimenti si rimanda all’articolo
“Indicazioni operative del Garante privacy per le vaccinazioni sui luoghi di lavoro”
a cura dell’Avv. Eleonora Lenzi

Garante Italiano - Vaccinazioni sul luogo di lavoro: le indicazioni del Garante privacy. Disponibile
anche il documento sul ruolo del medico competente

Leggi la notizia

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                        41
Italia: Garante impone sanzione di 40.000 per trattamento
                 illecito dei dati dei dipendenti

  Il Garante privacy ha emesso un provvedimento sanzionatorio pari a 40.000 nei confronti della
società Proma S.S.A. srl per non aver informato correttamente i lavoratori rispetto alle caratteristiche
del sistema informatico aziendale, con conseguente trattamento illecito di dati personali.

  Nello specifico, il sistema raccoglieva dati disaggregati e per finalità ulteriori rispetto a quelle
indicate nell’informativa privacy messa a disposizione dei lavoratori, e consentiva di identificarli
attraverso l’incrocio dei dati di postazione con altri dati disponibili al datore di lavoro.

  Inoltre, in una nuova informativa (non ancora consegnata ai dipendenti al momento
dell’istruttoria), il datore di lavoro indicava la base giuridica del legittimo interesse.

Per approfondimenti si rimanda all’articolo
“È possibile utilizzare i dati di produzione nell’ambito dei provvedimenti disciplinari a carico dei
dipendenti?”
a cura della Dott.ssa Federica Pucarelli

Garante Italiano - Ordinanza ingiunzione nei confronti di Proma S.S.A. s.r.l. - 15 aprile 2021
[9586936]

Leggi l’ordinanza

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                         42
Francia: IKEA riceve sanzione da 1,1 mil euro per aver spiato
                        i dipendenti

   Il tribunale di Versailles (Parigi) ha disposto una sanzione di 1,1 milioni di euro a IKEA per aver
illecitamente raccolto e conservato per anni dati sui propri dipendenti francesi.

  La multinazionale avrebbe violato la privacy dei lavoratori utilizzando anche detective privati,
raccogliendo dati personali sulla loro vita, comprese eventuali condanne penali.

   L’azione era stata intentata dai sindacati, secondo i quali il colosso di mobili svedese utilizzava
queste informazioni per rilevare eventuali lavoratori potenzialmente di disturbo, possibili
sindacalisti oppure per avvantaggiarsi in controversie con i clienti.

  L’ex amministratore delegato della società che possiede in franchising i negozi Ikea francesi è
stato inoltre condannato a due anni di carcere, con la condizionale a 50.000 euro.

                          | RIVISTA IL MIO DPO | ANNO 3 NR 2                                       43
Telemarketing aggressivo: il Garante privacy sanziona
            Fastweb per 4 milioni e mezzo di euro

   Il Garante ha concluso con una sanzione di oltre 4.500.000 Euro una complessa attività
istruttoria avviata a seguito di centinaia di segnalazioni e reclami di utenti che lamentavano
continue telefonate promozionali di servizi di telefonia e internet offerti da Fastweb effettuate
senza il loro consenso.

  L’istruttoria ha rivelato un allarmante ricorso all’utilizzo di numerazioni fittizie o non
censite nel Registro degli Operatori di Comunicazione (Roc), fenomeno riconducibile ad un
“sottobosco” di call-center abusivi che effettuano le attività di telemarketing in totale spregio delle
disposizioni in materia di protezione dei dati personali.

  Ulteriori profili di violazione hanno riguardato la corretta gestione delle liste dei contatti, fornite a
Fastweb da partner esterni, senza che questi ultimi avessero acquisito il consenso libero, specifico
e informato degli utenti alla comunicazione dei propri dati.

  Oltre alla sanzione, l’Autorità ha ordinato a Fastweb di adeguare i trattamenti in
materia di telemarketing in modo da prevedere e comprovare che l’attivazione di offerte e servizi
e la registrazione di contratti avvenga solo a seguito di chiamate effettuate dalla rete di vendita
attraverso numerazioni telefoniche censite e iscritte al Roc.

  La società, inoltre, dovrà irrobustire le misure di sicurezza per impedire accessi abusivi ai propri
database.

   Fastweb infine non potrà più utilizzare i dati contenuti nelle liste anagrafiche fornite da partner
terzi, senza che questi ultimi abbiano acquisito un consenso specifico, libero e informato dagli
interessati alla comunicazione a terzi dei propri dati.

Garante Italiano - Telemarketing aggressivo: il Garante privacy sanziona Fastweb per 4 milioni
e mezzo di euro

Leggi il comunicato stampa

                           | RIVISTA IL MIO DPO | ANNO 3 NR 2                                           44
Operazioni di Direct marketing e diritto di opposizione: un
                caso sanzionato dal Garante

   Il Garante è intervenuto a sanzionare una società che inviava messaggi promozionali senza
rispettare gli adempimenti necessari.

  Tra i punti contestati l’impossibilità di esercitare il diritto di opposizione e, quindi di interrompere
la ricezione di messaggi indesiderati.

   La società inviava diversi messaggi promozionali ai reclamanti senza essere in grado di
documentare l’acquisizione di un idoneo consenso: in un caso i dati erano presenti a sistema ma
non il consenso e nell’altro, sebbene non fossero memorizzati dati, il soggetto coinvolto lamentava
comunque numerose e-mail (un caso di redirect, ipotizza la società). I destinatari hanno riscontrato
l’impossibilità di interrompere gli invii tramite il tasto unsubscribe – non funzionante - in calce alle
email, così hanno espresso la loro opposizione a mezzo pec, ma non hanno ricevuto alcun tipo
di riscontro.

   Alla società è stato quindi vietato il trattamento dei dati senza consenso e date le molteplici
violazioni, è stata sanzionata per un importo pari a 30.000 euro, oltre che la pubblicazione
integrale del provvedimento.

   Di seguito gli aspetti che hanno pesato negativamente sulla posizione del Titolare del
trattamento.

  1. Il carattere sistemico delle violazioni rilevate che le rende dunque potenzialmente estese
     ad un vasto numero di interessati.

  2. Il grado di responsabilità del titolare del trattamento, da qualificarsi come gravemente
     colposo.

  3. La scarsa collaborazione prestata nei confronti dell’Autorità dovuta probabilmente anche
     a cattiva organizzazione.

  4. L’assenza di misure correttive per evitare il ripetersi di eventi analoghi.

  Interessanti sono però anche gli elementi attenuanti per il Titolare del trattamento, in particolare:

  1. La natura dei dati oggetto di violazione (dati comuni);

                           | RIVISTA IL MIO DPO | ANNO 3 NR 2                                          45
2. Il basso livello di danno subito dai reclamanti, consistente nella ricezione di messaggi
    promozionali indesiderati e nell’impossibilità di opporsi ad essi;

 3. I dati del bilancio 2019, chiuso in rilevante perdita e con conseguente riduzione del
    personale dipendente, registrando anche per i primi mesi del 2020 una consistente riduzione
    del volume di affari in conseguenza dell’emergenza connessa alla pandemia in atto.

Garante Italiano - Ordinanza ingiunzione nei confronti di OneDirect S.r.l. - 25 marzo 2021
[9577323]

Leggi l’ordinanza

                       | RIVISTA IL MIO DPO | ANNO 3 NR 2                                    46
Telemarketing selvaggio: il Garante sanziona tre call center

   Il Garante ha sanzionato negli ultimi mesi tre call center tutti legati a TIM Spa, in seguito all’attività
istruttoria svolta dopo la ricezione di numerosissime segnalazioni di utenti che lamentavano di
essere stati ripetutamente contattati dai call center per attività di marketing nonostante

  -    non avessero mai fornito il consenso

  -    fossero iscritti nel registro delle opposizioni o anche

  -    successivamente all’iscrizione in detto registro.

  In molti casi si trattava di utenti c.d. referenziati ovvero segnalati da parenti o amici e i call center
hanno tentato di giustificare la liceità del trattamento sulla base del legittimo interesse all’attività
di marketing.

   Il Garante ha ribadito che il legittimo interesse non può costituire un’idonea base giuridica per le
attività di marketing, per le quali deve essere raccolto il consenso univoco, specifico ed informato
dell’utente; né il legittimo interesse può essere utilizzato a posteriori dal titolare del trattamento in
caso di carenza dei requisiti del consenso tenuto conto dell’obbligo di informare preventivamente
l’utente della base giuridica del trattamento.

   Il Garante ha anche tenuto in considerazione le modalità con cui le chiamate veniva effettuate,
fino a tre quattro volte al giorno, ritenendole tali da ledere il diritto alla “tranquillità” oltre che alla
riservatezza dei propri dati personali.

Garante Italiano - Ordinanza ingiunzione nei confronti di Plurima s.r.l. - 11 marzo 2021 [9577042]
Leggi l’ordinanza

Garante Italiano - Ordinanza ingiunzione nei confronti di Mediacom s.r.l. - 11 marzo 2021
Leggi l’ordinanza

Garante Italiano - Ordinanza ingiunzione nei confronti di Planet Group spa-11 marzo 2021
[9577371] Leggi l’ordinanza

                            | RIVISTA IL MIO DPO | ANNO 3 NR 2                                            47
Puoi anche leggere