IL MIO DPO rivista di aggiornamento sugli adempimenti privacy - Stefanelli & Stefanelli
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
IL MIO DPO
rivista di aggiornamento
sugli adempimenti
privacy
a cura del team privacy Studio Legale
Stefanelli & StefanelliPubblicazione nr. 2 /2021 giugno 2021 Pubblicazione di Stefanelli & Stefanelli servizi legali s.r.l.s. Via Azzo Gardino 8/A - 40122 Bologna info@stefanelli-servizilegali.it Tutti i diritti di traduzione, di riproduzione, di adattamento, totale o parziale, con qualsiasi mezzo (compresi i microfilm e le copie fotostatiche) sono riservati. Ogni permesso deve essere dato per iscritto dall’editore.
novità dallo Studio Legale Stefanelli&Stefanelli
www.privacygdpr.it
Siamo online con il nostro nuovo sito interamente dedicato alla privacy e alle
sue specifiche applicazioni nei settori sanità, dispositivi medici e progetti di
nuove tecnologie.
Un portale che consente di conoscere e approfondire tutti i servizi specialistici
che offriamo alle aziende del settore sanitario.
Sul sito è presente un’intera area dedicata alle nostre checklist e ai percorsi
di autovalutazione, progettate e realizzate per supportare le organizzazioni
nell’analisi del livello di aderenza alle norme privacy e di rispetto dei requisiti di
sicurezza dei dati personali trattati.
Non può mancare una ricca area blog per accedere con semplicità a tutti i nostri
contenuti: articoli di approfondimento, il consolidato osservatorio europeo
della privacy, il nuovo osservatorio sulle sanzioni garanti europei oltre a ebook,
whitepaper, e video.
Visita il nostro sito
www.privacygdpr.itPREFAZIONE
La normativa in materia di trattamento dei dati personali si arricchisce ogni giorno dei
provvedimenti attuativi dei garanti nazionali, delle decisioni di natura sanzionatoria, delle
Linee guida dell’European Data Protection Board (EDPB), delle sentenze dei giudici nazionali
e della Corte di giustizia europea.
Il corretto trattamento dei dati personali passa dunque non solo attraverso la conoscenza
del Regolamento (UE) 2016/679 e del Codice Privacy, ma anche attraverso la conoscenza e
lo studio del ricchissimo e prezioso materiale prodotto ogni giorno dalle autorità competenti
e dai giudici su tutto il territorio nazionale e comunitario.
Lo Studio Legale Stefanelli&Stefanelli ha deciso quindi di selezionare e raccogliere i
contenuti di cui ritiene imprescindibile la conoscenza da parte dei Titolari e Responsabili del
trattamento, mettendoli a disposizione delle organizzazioni che hanno scelto di affidarci
il ruolo di DPO con un breve focus su ciascuna novità e un approfondimento redatto dai
nostri esperti della materia, allo scopo di fornire a coloro che devono gestire e organizzare
il trattamento dei dati personali una modalità di aggiornamento rapida ed efficace.
Studio Legale Stefanelli & StefanelliINDICE DEI CONTENUTI
Pag.
DPO
Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD 8
CODICI DI CONDOTTA
Italia: adottato il Codice di Condotta sulle informazioni commerciali 9
EDPB ha adottato pareri sui primi codici di condotta transnazionali, Statement on Data Governance
Act, Raccomandazioni sulla base giuridica per la conservazione dei dati delle carte di credito. 10
CERTIFICAZIONI
Guida alla valutazione dei criteri di certificazione (Addendum alle Linee Guida 1/2018) 11
COVID
Sussidi Covid, Garante: i dati dei beneficiari vanno protetti 12
Il Garante blocca l’utilizzo dell’App Mitiga per il Green Pass Covid 13
Italia: il Garante privacy apre un’istruttoria per il Coronapass Alto Adige 15
Italia: avvertimento alla Regione Campania per uso di un “green pass” locale per il Covid-19 16
MONETIZZAZIONE DEI DATI
Italia: secondo il Consiglio di Stato, il servizio di Facebook non può ritenersi gratuito 17
RISARCIMENTO DEL DANNO
Illecito trattamento di dati personali e risarcimento del danno: la Corte di Cassazione fissa alcuni
principi 18
VALUTAZIONE D’IMPATTO
Valutazione del rischio e di impatto: whitepaper 19
DATA BREACH
Nuova procedura telematica per la notifica del data breach al Garante italiano 20
Esempi di notifica di Data Breach 21
Il Garante tedesco sanziona Booking.com per aver notificato un data breach in ritardo 22INDICE DEI CONTENUTI
Pag.
DIRITTO ALL’OBLIO
Oblio: no alla cancellazione di un articolo dall’archivio online di un quotidiano 23
VIDEOSORVEGLIANZA
Norvegia: sanzionato un ristorante per utilizzo di sorveglianza a circuito chiuso 24
Norvegia: multa di EUR 15.000 a società che aveva trasmesso in streaming immagini sotto
videosorveglianza CCTV 25
TRASFERIMENTO DATI EXTRA UE
Commissione Europea: nuove clausole contrattuali standard da adottare entro 18 mesi 26
Portogallo: il Garante ordina all’Istituto nazionale di statistica di non trasferire dati negli USA 27
Whitepaper: Trasferimento dei dati in paesi extra SEE post Schrems II 28
BREXIT
BREXIT: qual è al momento il livello di protezione dei dati nel Regno Unito? 29
MISURE DI SICUREZZA
20° Giornata mondiale del backup: siete pronti a qualsiasi imprevisto? 30
ANONIMIZZAZIONE DEI DATI
Anonimizzazione dei dati personali: un percorso per orientarsi 31
SOCIAL MEDIA
Adottate le Linee guida 08/2020 sul targeting degli utenti dei social media 32
UTILIZZO DELLA E-MAIL
Invio erroneo di una mail contenente dati relativi a minori appartenenti a nuclei familiari seguiti dal
servizio sociale 33
DIRITTI DEGLI INTERESSATI
Multa di 12.000 € a INPS per mancato riscontro a due istanze di accesso ai dati personali 34INDICE DEI CONTENUTI
Pag.
DIFFUSIONE DI DATI PERSONALI
Norvegia: comune multato per aver pubblicato dati personali sul proprio sito web 35
SETTORI SPECIFICI: SANITÀ
Garante, sì all’informazione scientifica, ma attenzione alla privacy dei pazienti 36
Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale n. 2 Lanciano-Vasto-Chieti 37
Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Universitaria Careggi 38
Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di Reggio Emilia 39
Patient Support Program e Privacy: aspetti da tenere in considerazione 40
SETTORI SPECIFICI: LAVORO
Vaccinazioni sul luogo di lavoro: le indicazioni del Garante privacy 41
Italia: Garante impone sanzione di 40.000 per trattamento illecito dei dati dei dipendenti 42
Francia: IKEA riceve sanzione da 1,1 mil euro per aver spiato i dipendenti 43
SETTORI SPECIFICI: MARKETING
Telemarketing aggressivo: il Garante privacy sanziona Fastweb per 4 milioni e mezzo di euro 44
Operazioni di Direct marketing e diritto di opposizione: un caso sanzionato dal Garante 45
Telemarketing selvaggio: il Garante sanziona tre call center 47
SETTORI SPECIFICI: D.LGS. 231/2001
Normativa anti–riciclaggio e riservatezza: alcune osservazioni 48Regolamento europeo: le linee di indirizzo del Garante
privacy per gli RPD
Nonostante siano già passati tre anni dalla piena applicazione del GDPR, permangono ancora
incertezze sulla figura del Responsabile della Protezione dei Dati (“RPD”).
Il Garante ha allora pubblicato un documento di indirizzo che recepisce le FAQ già pubblicate
nel 2017, con l’obiettivo di dirimere i dubbi che paiono persistere su questa importante figura,
obbligatoria per il settore pubblico.
Il Garante individua ed approfondisce tre macro-argomenti:
• la designazione del RPD,
• i suoi compiti e le sue qualità professionali
• le incompatibilità con altre cariche ed i conflitti di interesse.
In questo articolo, un approfondimento di quanto riportato nel documento di indirizzo del
Garante, con particolare focus sul tema del conflitto d’interessi.
Per approfondimenti si rimanda all’articolo
“Pubblicato il documento di indirizzo sulla figura dei responsabili per la protezione dei dati”
a cura dell’Avv. Alessandra Delli Ponti
Garante Italiano - Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD
Vai all’Approfondimento
| RIVISTA IL MIO DPO | ANNO 3 NR 2 8Italia: adottato il Codice di Condotta sulle informazioni
commerciali
Il Garante privacy ha approvato la versione definitiva del Codice di condotta sulle informazioni
commerciali, elaborato dall’Associazione nazionale tra le imprese di informazioni commerciali e
di gestione del credito (Ancic).
Con il Codice, le società che offrono informazioni sull’affidabilità commerciale di imprenditori
e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso,
basandosi sul legittimo interesse, ma dovranno garantire maggiori tutele agli interessati,
informandoli correttamente sui trattamenti effettuati e assicurando loro il pieno esercizio dei diritti
previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento
dei dati.
Garante Italiano - Provvedimento del 29 aprile 2021 - Approvazione del Codice di condotta
per il trattamento dei dati personali effettuato a fini di informazione commerciale [Doc Web
9586215]
Vai al sito del Garante per scaricare il provvedimento
| RIVISTA IL MIO DPO | ANNO 3 NR 2 9EDPB ha adottato pareri sui primi codici di condotta
transnazionali, Statement on Data Governance Act,
Raccomandazioni sulla base giuridica per la conservazione
dei dati delle carte di credito.
Durante la sessione plenaria, l’EDPB ha adottato due pareri sui primi progetti di decisione in
materia di Codici di condotta (Codici) presentati al consiglio dalle autorità di vigilanza belghe e
francesi (SAs).
In particolare, il progetto di decisione dell’autorità belga riguarda il codice di condotta EU
CLOUD, indirizzato ai fornitori di servizi cloud.
Il progetto di decisione dell’autorità francese riguarda il codice di condotta CISPE, indirizzato ai
fornitori di servizi di infrastruttura cloud.
L’EDPB ha ritenuto che entrambi i progetti di codici aderiscono al GDPR e soddisfano i requisiti
di cui agli articoli 40 e 41 del GDPR.
L’adesione ai codici di condotta può essere utilizzata dai Titolari e dai Responsabili quale valido
elemento di prova della conformità delle attività svolte rispetto alla normativa di protezione dei
dati personali, nel rispetto del principio di accountability.
E.D.P.B. European Data Protection Board - adopts opinions on first transnational codes of conduct,
Statement on Data Governance Act, Recommendations on the legal basis for the storage of credit
card data.
Vai al sito dell’EDPB per approfondire la notizia
| RIVISTA IL MIO DPO | ANNO 3 NR 2 10Guida alla valutazione dei criteri di certificazione
(Addendum alle Linee Guida 1/2018 sulla certificazione
e individuazione dei criteri di certificazione ai sensi degli
articoli 42 e 43 del Regolamento)
L’EDPB ha pubblicato l’addendum alle Linee Guida 01/2018 sulla certificazione e l’identificazione
dei criteri di certificazione secondo gli articoli 42 e 43 del GDPR.
L’obiettivo del documento è quello di:
• assistere gli stakeholder nella stesura dei criteri di certificazione nell’ambito del GDPR
• assistere le Autorità di controllo e il Comitato Europeo per la protezione dei dati (EDPB)
nel fornire valutazioni coerenti nel contesto dell’approvazione dei criteri di certificazione
E.D.P.B. European Data Protection Board - Guidance on certification criteria assessment
(Addendum to Guidelines 1/2018 on certification and identifying certification criteria in
accordance with Articles 42 and 43 of the Regulation)
Vai al sito dell’EDPB per scaricare l’addendum alle Linee Guida
| RIVISTA IL MIO DPO | ANNO 3 NR 2 11Sussidi Covid, Garante: i dati dei beneficiari vanno protetti
La vicenda trae origine dalla segnalazione di un cittadino che lamentava che un operatore di
un’associazione aveva potuto accedere alla sua domanda di buoni spesa per l’emergenza Covid,
senza esserne autorizzato.
Nel corso dell’istruttoria è emerso che, al fine di assistere gli utenti ad inserire la dichiarazione
necessaria all’erogazione del contributo, il Comune di Palermo si è avvalso dell’aiuto di diversi
soggetti esterni, quali Enti del Terzo Settore, Sindacati e Parrocchie.
Questi soggetti erano stati accreditati ad usare la piattaforma, mediante rilascio di un’utenza
unica per ciascuno ente: tutti gli addetti dell’ente potevano quindi accedere con le medesime
credenziali e visualizzare i dati di tutte le domande, anche presentate presso altri enti.
Il Garante, ritenuti violati i principi di integrità e riservatezza dei dati oltre che il principio di
privacy by design e by default, ha comminato nei confronti del Comune di Palermo una sanzione
di € 40.000.
Garante Italiano - Ordinanza ingiunzione nei confronti di Comune di Palermo - 15 aprile 2021
[9587053]
Vai al sito del Garante per leggere l’ordinanza
| RIVISTA IL MIO DPO | ANNO 3 NR 2 12Il Garante blocca l’utilizzo dell’App Mitiga
per il Green Pass Covid
Il Garante Privacy in data 3 giugno ha adottato, in via d’urgenza, la misura della limitazione
provvisoria del trattamento per la app Mitiga.
Per i non addetti ai lavori la app Mitiga è stata realizzata da una società per agevolare l’accesso
allo Stadio degli spettatori.
Funziona così: l’utente iscritto alla app si reca in una delle farmacie o laboratorio convenzionati
con “Mitiga” effettua un tampone rapido o molecolare.
In caso di negatività il dato veniva caricato da chi emette l’analisi sulla piattaforma e l’utente
poteva visualizzare sul suo profilo l’esito negativo (o positivo).
La app poi consentiva l’emissione di un QR code che dichiarava la negatività per garantire
l’accesso agli eventi.
In aprile la società aveva consultato il Garante ai sensi dell’articolo 36 GDPR, consapevole
dell’alto rischio che questo trattamento dati comporta, ma, nelle more della decisione dello
stesso Garante, il 19 maggio scorso la app è stata utilizzata per consentire l’ingresso alla finale
di Coppa Italia degli spettatori in possesso di certificazione attestante l’avvenuta vaccinazione, la
guarigione o lo stato di negatività dal Covid-19.
Questa circostanza ha portato il Garante a decidere di bloccarne l’uso essendoci
la possibilità - elevata - che l’app potesse essere utilizzata nei giorni successivi per governare
l’accesso ad altri eventi e spettacoli o altre iniziative sportive.
Elemento cardine contestato dal Garante è l’assenza della base giuridica, trattandosi anche
di dati particolarmente delicati come quelli di natura sanitaria e l’attestazione della situazione
“Covid free” per chi partecipa ad avvenimenti sportivi.
Quindi, il Garante, ribadendo quanto già specificato nel noto provvedimento del 23 aprile
u.s. ha rilevato che il decreto legge “sulle riaperture” dello scorso aprile non costituisce
una valida base giuridica per l’introduzione e l’utilizzo delle certificazioni verdi a livello
nazionale in quanto privo di alcuni degli elementi essenziali richiesti dal Regolamento
(artt. 6, par. 2 e 9) e dal Codice (artt. 2-ter e 2-sexies).
In generale, comunque il Garante coglie l’occasione per ribadire che l’eventuale utilizzo di
soluzioni informatiche volte a documentare la certificazione verde COVID-19 dovrebbe essere
| RIVISTA IL MIO DPO | ANNO 3 NR 2 13previsto in termini omogenei su tutto il territorio nazionale, in conformità alle modalità indicate dal
Decreto del Presidente del Consiglio dei Ministri.
Garante Italiano - Provvedimento del 3 giugno 2021 [9592298]
Vai al sito del Garante per leggere il provvedimento
| RIVISTA IL MIO DPO | ANNO 3 NR 2 14Italia: il Garante privacy apre un’istruttoria per il Coronapass
Alto Adige
Il Garante privacy ha aperto un’istruttoria per verificare la legittimità dell’iniziativa “Coronapass
Alto Adige”, implementato dalla Provincia autonoma di Bolzano per gestire gli accessi a determinate
strutture ricettive, luoghi ricreativi e di formazione, eventi sportivi.
Questa “certificazione verde” prevede il rilascio di un pass alle persone che hanno completato
il ciclo di vaccinazione, è guarito dal Covid oppure ha da poco eseguito un test negativo.
Il Garante privacy ha ribadito che ogni trattamento di dati personali connesso a iniziative che
limitano fortemente i diritti e le libertà delle persone, può avvenire solo con una solida base
giuridica e a seguito di una valutazione dei rischi, comprensiva di adeguate misure a tutela
degli interessati.
Garante Italiano - “Coronapass Alto Adige”: il Garante privacy apre un’istruttoria
Vai al sito del Garante per leggere la notizia
| RIVISTA IL MIO DPO | ANNO 3 NR 2 15Italia: avvertimento alla Regione Campania per uso di un
“green pass” locale per il Covid-19
Il Garante Privacy ha adottato un provvedimento di “avvertimento” rispetto all’iniziativa della
Regione Campania che ha introdotto un sistema regionale di “certificazione verde” di avvenuta
guarigione, vaccinazione o negatività che è condizione necessaria per la fruizione di servizi
turistici, alberghieri, trasporti e di intrattenimento, in quanto viola la normativa privacy.
Infatti, l’istruttoria del Garante ha fatto emergere la mancanza di un’idonea base giuridica,
in quanto disposizioni che condizionano in misura così significativa i diritti e le libertà personali
sono ammissibili solo da una normativa nazionale, e non regionale.
Inoltre, il progetto non individua rispetto ai dati raccolti il titolare del trattamento, né i soggetti che
possono accedere e utilizzare le informazioni, violando così i principi di liceità, trasparenza,
correttezza e di privacy by design by default.
Il Garante sottolinea anche come iniziative locali di questo tipo, difformi da quelli individuati
a livello nazionale, mettono a rischio l’interoperabilità delle certificazioni a livello nazionale ed
europeo, andando in contrasto con la finalità stessa delle certificazioni, ovvero di agevolare la
libera circolazione all’interno dell’Unione Europea durante la pandemia.
Garante Italiano - Provvedimento di avvertimento alla regione Campania in merito all’uso delle
certificazioni verdi Covid-19 - del 25 maggio 2021 [9590466]
Vai al sito del Garante per scaricare il provvedimento
| RIVISTA IL MIO DPO | ANNO 3 NR 2 16Italia: secondo il Consiglio di Stato, il servizio di Facebook
non può ritenersi gratuito
In una sentenza del 29 marzo 2021, il Consiglio di Stato ha confermato la posizione del Garante
Privacy italiano per la quale il servizio social offerto da Facebook non si può considerare gratuito,
come affermato dalla piattaforma al momento dell’iscrizione, affermazione che sarebbe quindi
scorretta e ingannevole.
I giudici hanno ritenuto infatti che l’utilizzo dei dati personali degli utenti possa costituire
un corrispettivo rispetto al servizio offerto da Facebook, in quanto quest’ultimo utilizza i dati
personali degli utenti per fini commerciali attraverso la profilazione.
Leggi il commento alla sentenza pubblicato su AgendaDigitale.
Consiglio di Stato- Sentenza 2631 del 29/03/2021
Scarica la sentenza
| RIVISTA IL MIO DPO | ANNO 3 NR 2 17Illecito trattamento di dati personali e risarcimento del
danno: la Corte di Cassazione fissa alcuni principi
In materia di risarcimento del danno la Corte di Cassazione ha recentemente affermato
alcuni importanti principi, sia in relazione al soggetto che sarà tenuto a rispondere dei danni
cagionati, che si tratti del titolare o del responsabile del trattamento, sia in merito alle modalità
di determinazione del risarcimento, stabilendo che il danno non patrimoniale risarcibile
a causa di una lesione del diritto fondamentale alla protezione dei dati personali non si
sottrae alla verifica della “gravità della lesione” e della “serietà del danno”, che devono
dunque essere verificate in concreto dal giudice del merito.
Per approfondimenti si rimanda all’articolo
“Illecito trattamento di dati personali e risarcimento del danno: la Corte di Cassazione fissa alcuni
principi”
a cura dell’Avv. Eleonora Lenzi
| RIVISTA IL MIO DPO | ANNO 3 NR 2 18Valutazione del rischio e di impatto: whitepaper
La valutazione dei rischi rappresenta uno degli elementi cardine del Regolamento UE 2016/679
ed è parte integrante della valutazione d’impatto.
Il Regolamento ha un approccio “caso per caso” (case-by-case approach) di tipo “funzionale”,
che introduce maggiore flessibilità di risposta, affidando al Titolare la completa responsabilità ex
ante ed ex post dei risultati delle azioni intraprese per aderire alla norma.
L’approccio del Regolamento UE è dunque basato sulla valutazione dei rischi (risk based
approach), la quale determina che:
1. il valore quantitativo o qualitativo del rischio sia connesso e relativo ad una situazione
concreta e ad una minaccia conosciuta;
2. gli obblighi del Titolare (Data controller) e/o del Responsabile del trattamento, in termini di
messa in atto delle misure di protezione, variano nel tempo in relazione allo stato della tecnologia
e alle pratiche comuni attuate nel settore in cui operano;
3. il grado di responsabilità del Titolare e/o del Responsabile del trattamento è “proporzionale
ai rischi stimati tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi
degli articoli 25 e 32”.
Il whitepaper che vi presentiamo vuole offrire ai Titolari e ai Responsabili del trattamento uno
strumento per comprendere il meccanismo di valutazione del rischio e d’impatto connessi al
trattamento dati.
Scarica il whitepaper a cura di Luigi Zampetti
“Studio sulla valutazione del rischio e d’impatto”
| RIVISTA IL MIO DPO | ANNO 3 NR 2 19Nuova procedura telematica per la notifica del data breach
al Garante italiano
Per accrescere l’efficacia e l’efficienza dell’azione amministrativa e, nel contempo, semplificare
l’adempimento degli obblighi da parte dei titolari del trattamento, l’Autorità Garante renderà
operativa dal 1° luglio 2021 una nuova procedura telematica per la notifica delle violazioni di
dati personali.
Garante Italiano - Provvedimento del 27 maggio 2021 - Procedura telematica per la notifica di
violazioni di dati personali (data breach) [9667201]
Vai al sito del Garante per scaricare il provvedimento
| RIVISTA IL MIO DPO | ANNO 3 NR 2 20Esempi di notifica di Data Breach
Quando avviene una violazione di dati personali, occorre innanzitutto valutare i rischi per i
diritti e le libertà degli interessati ad essa coinvolti.
Come avviene spesso nella pratica, questa valutazione non è sempre agevole.
Con l’obiettivo di assistete i Titolari del trattamento a svolgere le valutazioni del caso in
modo corretto, l’European Data Protection Board (“EDPB”) ha pubblicato allora le Linee guida
01/2021 sugli esempi di notifica del data breach.
Abbiamo quindi deciso di pubblicare una serie di articoli per fornire degli esempi di notifica del
data breach: ecci qui i primi tre
“Esempi di notifica di data breach: una breve introduzione”
a cura della Dott.ssa Federica Pucarelli
“Esempi di notifica di data breach: attacco ransomware a struttura sanitaria”
a cura della Dott.ssa Federica Pucarelli
“Esempi di notifica del data breach: furto di dati da parte di un ex dipendente”
a cura della Dott.ssa Federica Pucarelli
Non perdere i prossimi articoli sul tema, che saranno pubblicati sul nuovo sito www.privacygdpr.it
| RIVISTA IL MIO DPO | ANNO 3 NR 2 21Il Garante tedesco sanziona Booking.com per aver notificato
un data breach in ritardo
Booking.com ha ricevuto una sanzione di 450.000 euro dall’Autorità olandese in seguito al
data breach causato da un hacker che ha violato i dati personali di circa 4000 utenti, prendendo
di mira alcuni dipendenti e utilizzando le loro credenziali per accedere ai dati (dati della carta di
credito, dati di contatto o relativi alla prenotazione).
Booking tuttavia aveva notificato la violazione all’Autorità 22 giorni dopo esserne venuta a
conoscenza, cosa che ha anche impedito agli interessati di venire tempestivamente a conoscenza
dell’evento e di porre in essere precauzioni per evitare furti di identità e sottrazione di denaro.
E.D.P.B. European Data Protection Board - Dutch DPA fines Booking.com for delay in reporting
data breach
Vai al sito dell’EDPB per leggere la notizia completa
| RIVISTA IL MIO DPO | ANNO 3 NR 2 22Oblio: no alla cancellazione di un articolo dall’archivio online
di un quotidiano
È possibile chiedere la cancellazione di un articolo pubblicato nell’archivio web di un quotidiano?
Il Garante dice di no, se prevalgono il diritto alla libertà di espressione e la valenza
informativa, se l’articolo risponde ad una legittima finalità di archiviazione di interesse storico-
documentaristico ed è de-indicizzato.
Questo l’esito del reclamo proposto da un interessato che aveva chiesto che i propri dati
personali riportati in articolo di cronaca pubblicato nell’archivio online del quotidiano La Stampa
venisse cancellato o che fossero resi in forma anonima.
Garante Italiano - Ordinanza ingiunzione nei confronti di GEDI News Network S.p.a. - 25 marzo
2021 [9577346]
Vai al sito del Garante per leggere l’ordinanza
| RIVISTA IL MIO DPO | ANNO 3 NR 2 23Norvegia: sanzionato un ristorante per utilizzo di
sorveglianza a circuito chiuso
L’autorità norvegese ha comminato una sanzione di 20.000,00 euro al ristorante Basaren Drift
per aver installato un sistema di sorveglianza a circuito chiuso.
I motivi della sanzione riguardano la violazione dei principi di liceità e trasparenza.
L’Autorità ha infatti ritenuto che il ristorante non avesse un’idonea base giuridica per il trattamento
dei dati svolti per il tramite del sistema di videosorveglianza e che non fosse necessario
mantenere il sistema attivo 24 ore su 24.
Sono stati ritenuti violati i diritti dei lavoratori e dei clienti che certamente avevano una legittima
aspettativa a non essere ripresi durante la cena.
E.D.P.B. European Data Protection Board - Norwegian DPA: Basaren Drift AS fined
Vai sul sito dell’EDPB per leggere la notizia completa
| RIVISTA IL MIO DPO | ANNO 3 NR 2 24Norvegia: multa di EUR 15.000 a società che aveva
trasmesso in streaming immagini sotto videosorveglianza
CCTV
La compagnia elettrica “autrice” della violazione ha installato una webcam panoramica in cima
al suo edificio.
Le immagini sono state trasmesse in live streaming su YouTube e sul sito Web dell’azienda.
La qualità dell’immagine era sufficientemente buona da consentire l’identificazione del tipo di
veicoli e dei conducenti, il colore dei capelli e altre caratteristiche personali e distintive identificative
Ciò ha consentito l’identificazione e il tracciamento di dipendenti, colleghi, amici, familiari,
fidanzate / fidanzati o altri conoscenti.
Nella sua decisione, il Garante per la protezione dei dati ha dato peso al fatto che la sorveglianza
illecita svolta con telecamere a circuito chiuso ha riguardato un numero considerevole di interessati
e che il monitoraggio è stato continuativo.
E.D.P.B. European Data Protection Board - Norwegian DPA: Dragefossen AS fined
Vai sul sito dell’EDPB per leggere la notizia completa
| RIVISTA IL MIO DPO | ANNO 3 NR 2 25Commissione Europea: nuove clausole contrattuali standard
da adottare entro 18 mesi
La Commissione europea ha adottato due serie di clausole contrattuali standard (“SCC”),
• una da utilizzare tra responsabili del trattamento e responsabili del trattamento
• una per il trasferimento di dati personali a paesi terzi.
I nuovi modelli di SCC riflettono i nuovi requisiti previsti dalla normativa europea di protezione
dei dati e tengono conto della sentenza Schrems II della Corte di giustizia, garantendo un elevato
livello di protezione dei dati.
Ecco le principali novità:
• Aggiornamento in linea con il GDPR;
• Un unico “entry-point” che prevede un’ampia gamma di scenari di trasferimenti di dati,
invece che insiemi separati di clausole;
• Maggiore flessibilità per le catene di lavorazione complesse, attraverso un “approccio
modulare” anche offrendo la possibilità a più di due parti di aderire alle clausole;
• Previsione di pratici strumenti per conformarsi alla sentenza Schrems II; vale a dire una
panoramica delle diverse misure che le aziende devono intraprendere per conformarsi
alla sentenza Schrems II, nonché esempi di possibili “misure supplementari”, come la
crittografia, che le aziende possono adottare, ove necessario.
I Titolari e Responsabili che hanno adottato le “vecchie” clausole standard hanno a disposizione
un periodo di transizione di 18 mesi per adeguare i contratti ai nuovi standard.
Commissione Europea - new tools for safe exchanges of personal data
Vai al sito della Commissione Europea per leggere la notizia
Commissione Europea - Standard contractual clauses for controllers and processors in the EU/
EEA Leggi
Commissione Europea - Standard contractual clauses for international transfers Leggi
| RIVISTA IL MIO DPO | ANNO 3 NR 2 26Portogallo: il Garante ha ordinato all’Istituto nazionale di
statistica di non trasferire dati negli USA
CNPD, l’Autorità portoghese per la protezione dei dati, ha pubblicato una decisione rivolta
all’INE (Istituto Nazionale di Statistica) ordinando la sospensione di ogni trasferimento di dati
personali verso gli Stati Uniti o altri paesi extra-UE senza un livello adeguato di protezione.
La decisione è seguita a una serie di lamentele sulle condizioni della raccolta online dei dati di
un questionario di censimento.
In seguito a un’indagine, il Garante ha rilevato che INE esternalizzava i dati a Cloudflare, Inc
tramite un accordo di trattamento dati che si basava sul trasferimento di dati personali verso gli
USA.
Cloudflare è una società californiana e per via del tipo di servizio che fornisce, è direttamente
soggetta alla legge americana sulla sorveglianza per motivi di sicurezza nazionale, che le impone
l’obbligo di dare alle Autorità statunitensi accesso illimitato ai dati personali utilizzati o conservati
da Cloudflare, senza poter informare di questo fatto gli interessati.
E.D.P.B. European Data Protection Board - Census 2021: Portuguese DPA (CNPD) suspended
data flows to the USA
Vai sul sito dell’EDPB per leggere la notizia completa
| RIVISTA IL MIO DPO | ANNO 3 NR 2 27Whitepaper: Trasferimento dei dati in paesi extra SEE post
Schrems II
In seguito alla ormai storica sentenza Schrems II con la quale la Corte di Giustizia Europea
ha invalidato il Privacy Shield che permetteva l’agevole trasferimento di dati verso gli USA, si è
nuovamente aperta la questione del trasferimento di dati personali dall’Unione Europea verso i
paesi extra SEE.
In questo whitepaper viene analizzato il quadro attuale, le indicazioni delle Autorità e gli
strumenti a disposizione per continuare a trasferire i dati nel rispetto della normativa privacy.
Scarica il whitepaper a cura di Federica Pucarelli
“Trasferimento dei dati in paesi extra SEE post Schrems II”
| RIVISTA IL MIO DPO | ANNO 3 NR 2 28BREXIT: qual è al momento il livello di protezione dei dati nel
Regno Unito?
La “bridging clause” inserita nell’accordo commerciale e di cooperazione UE-UK (TCA)
garantisce al momento la piena continuità dei flussi di dati tra il SEE e il Regno Unito fino al 30
giugno 2021.
In merito alla procedura avviata dalla Commissione Europea per l’adozione di due decisioni di
adeguatezza per i trasferimenti di dati personali nel Regno Unito l’EDPB con il Parere 14/2021 a
aprile 2021 si esprimeva favorevolmente.
Nel mese di maggio, però, una risoluzione del Parlamento ha frenato sull’adeguatezza delle
bozze ritenendole incoerenti rispetto al diritto dell’UE e invitando la Commissione e le autorità
competenti del Regno Unito a modificare le decisioni di adeguatezza entro il 30 giugno 2021.
La Commissione europea non ha raccolto le preoccupazioni del Parlamento e ha adottato la
decisione di adeguatezza che ha promosso gli standard britannici di data protection, ritenendoli
“adeguati”. Con questa decisione sarà possibile attuare il trasferimento dei dati come fatto fino
adesso, per altri quattro anni.
Per approfondimenti si rimanda all’articolo
“Trasferimenti di dati in UK: qual è al momento il livello di protezione?”
a cura dell’Avv. Alessandra Delli Ponti
E.D.P.B. European Data Protection Board - Opinion 14/2021 regarding the European Commission
Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection
of personal data in the United Kingdom Vai al sito dell’EDPB per scaricare il file
Parlamento Europeo - resolution of 21 May 2021 on the adequate protection of personal
data by the United Kingdom (2021/2594(RSP)) Scarica la risoluzione
Commissione Europea - 28/06/2021 Decisione della Commissione ai sensi della direttiva (UE)
2016/680 Scarica la decisione
Commissione Europea - 28/06/2021 Decisione della Commissione ai sensi del Reg. UE
2016/679 Scarica la decisione
| RIVISTA IL MIO DPO | ANNO 3 NR 2 2920° Giornata mondiale del backup:
siete pronti a qualsiasi imprevisto?
In questo articolo, pubblicato in occasione della 20° giornata mondiale del backup, abbiamo
sottolineato l’importanza di introdurre in azienda buone pratiche di backup, quale misura di
sicurezza tecnica regolarmente citata in tutte le buone pratiche di sicurezza informatica,
e abbiamo fornito delucidazioni su come questa misura può essere efficacemente introdotta
nell’organizzazione.
Si rimanda all’articolo
“20° Giornata mondiale del backup: siete pronti a qualsiasi imprevisto?”
a cura del Dott. Fabio Marinello
| RIVISTA IL MIO DPO | ANNO 3 NR 2 30Anonimizzazione dei dati personali:
un percorso per orientarsi
Mai come oggi l’economia, la scienza e la ricerca basano il loro sviluppo sull’analisi dei dati e
sullo sfruttamento dei risultati ottenuti.
Secondo la disciplina in materia privacy, però, l’uso e soprattutto il ri-uso dei dati personali
deve rispettare confini definiti, a partire dai principi e dalle garanzie previsti dal Regolamento UE
2016/679.
Sono meno rigorose, però, le regole previste per i dati che non rientrano più nell’insieme dei dati
personali, bensì in quello dei dati anonimizzati.
Abbiamo quindi deciso di pubblicare una serie di articoli per approfondire questa tematica sia
da un punto di vista teorico che, soprattutto, operativo in modo da poter acquisire gli strumenti per
implementare correttamente il processo di anonimizzazione.
“Anonimizzazione dei dati personali: un percorso per orientarsi”
a cura dell’Avv. Maddalena Collini
“Anonimizzazione: eliminare informazioni per impedire la re-identificazione”
a cura dell’Avv. Maddalena Collini
Non perdere i prossimi articoli sul tema, che saranno pubblicati sul nuovo sito www.privacygdpr.it
| RIVISTA IL MIO DPO | ANNO 3 NR 2 31Adottate le Linee guida 08/2020 sul targeting degli utenti
dei social media
L’ European Data Protection Board (EDPB) ha approvato recentemente le Linee guida dell’EDPB
n.8/2020 rispondendo alla necessità di disciplinare il targeting degli utenti sui social media
oramai divenuto uno dei principali strumenti di business per le aziende.
Le linee guida riportano la corretta individuazione dei ruoli e delle responsabilità in ambito
privacy nell’interazione tra fornitori dei social media ed altri soggetti coinvolti.
Analizzano poi i principali meccanismi di targeting sulla base della distinzione delle fonti da cui
vengono acquisiti i dati personali degli utenti, distinguendo le seguenti casistiche:
• Provided data
• Inferred data o derived data
L’EDPB fornisce poi degli esempi concreti relativi all’utilizzo delle categorie di dati personali per
finalità di targeting, e individua per ogni singolo caso proposto le basi giuridiche da utilizzare.
Per quanto riguarda, invece, le ipotesi di profilazione dell’utente tramite monitoraggio, processo
decisionale automatizzato o mediante l’utilizzo di cookies, inoltre, viene specificato che in questi
casi l’unica base giuridica lecita ed applicabile sarà quella del consenso dell’interessato.
Per approfondimenti si rimanda all’articolo
“Adottate le Linee guida 08/2020 sul targeting degli utenti dei social media”
a cura dell’Avv. Alessandra Delli Ponti
E.D.P.B. European Data Protection Board - Guidelines 8/2020 on the targeting of social media
users
Scarica le Linee Guida
| RIVISTA IL MIO DPO | ANNO 3 NR 2 32Invio erroneo di una mail contenente dati relativi a minori
appartenenti a nuclei familiari seguiti dal servizio sociale
Il 15 luglio 2020 il Comune di Recco notificava al Garante che un operatore del servizio sociale
aveva inviato per errore un’email contenenti dati personali di due minori seguiti dai servizi sociali
al genitore di un terzo minore, anch’esso seguito dallo stesso servizio.
La mail conteneva un file al cui interno si trovavano dati sensibilissimi, quali la situazione sociale
del minore, i suoi dati anagrafici e quelli del suo nucleo famigliare e i riferimenti del provvedimento
dell’Autorità Giudiziaria.
Il Comune, titolare del trattamento, qualificava la gravità della violazione di livello medio, in
quanto la persona che aveva commesso l’errore aveva comunicato prontamente il fatto al servizio
e la persona che ha ricevuto la mail erroneamente aveva riferito di aver cancellato subito la mail.
Il Garante ha ingiunto al Comune di Recco di comunicare la violazione dei dati personali agli
interessati entro dieci giorni dal provvedimento e di fornire riscontro sulle misure adottate per
attenuare gli effetti pregiudizievoli della violazione nei confronti degli interessati.
È lo stesso articolo 34 par. 1 del GDPR, infatti, che sancisce che “quando la violazione dei dati
personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche,
il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.
Garante Italiano - Provvedimento su data breach - 15 aprile 2021 [9591241]
Vedi il provvedimento
| RIVISTA IL MIO DPO | ANNO 3 NR 2 33Multa di 12.000 € a INPS per mancato riscontro a due istanze
di accesso ai dati personali
Il Garante ha multato l’INPS per 12.000 € per la violazione degli artt. 5, par. 1, lett. a), 12 e 15
del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1,
del Regolamento, effettiva, proporzionata e dissuasiva.
L’INPS non aveva fornito riscontro ad un interessato nei termini previsti dagli articoli 12 e 15
del GDPR.
L’interessato aveva infatti inviato due PEC alla Direzione provinciale dell’INPS di Bolzano con
richieste di chiarimenti su una presunta comunicazione a terzi di dati personali relativi al suo
estratto conto previdenziale.
A difesa dell’INPS, vi sarebbe stato un “mero disguido in ordine alla ricezione della mail di PEC”:
secondo il Garante questa motivazione non è stata sufficiente ad escludere la responsabilità.
Garante Italiano - Ordinanza ingiunzione nei confronti di INPS - 15 aprile 2021 [9592133]
Vedi il provvedimento
| RIVISTA IL MIO DPO | ANNO 3 NR 2 34Norvegia: comune multato per aver pubblicato dati
personali sul proprio sito web
Il Comune è stato multato per un totale di 100.000 euro per aver pubblicato dati personali
riservati e numeri di identità nazionali (NID) sul proprio sito web.
Molti dei casi riguardavano dati personali, anche particolari di bambini. Il comune ha violato i
requisiti della normativa sulla protezione dei dati relativi alla riservatezza e la questione riguarda
sia carenze procedurali che tecniche.
I dati personali che avrebbero dovuto essere protetti sono stati resi accessibili a terzi non
autorizzati sul sito web del comune per un anno.
E.D.P.B. European Data Protection Board - Norwegian DPA: Municipality of Asker fined
Vai al sito dell’EDPB per leggere la notizia
| RIVISTA IL MIO DPO | ANNO 3 NR 2 35Garante, sì all’informazione scientifica, ma attenzione alla
privacy dei pazienti
Un paziente, dopo essersi curato in un’AUSL, ha trovato fotografie e altre informazioni riferibili
alla sua salute pubblicate sul sito di un’associazione medica.
Tali documenti erano reperibili anche tramite comuni motori di ricerca.
A seguito della segnalazione del paziente, l’AUSL provvedeva a notificare la violazione di dati
al Garante ai sensi dell’art. 33 del Reg. UE 679/2016 (GDPR).
Per approfondimenti si rimanda all’articolo
“Diffusione di dati sanitari tramite pubblicazioni scientifiche: sanzionate una AUSL e una
associazione medica”
a cura dell’Avv. Maria Livia Rizzo, Dott.ssa Federica Pucarelli
Garante Italiano - Newsletter 19/05/21
Leggi la notizia
| RIVISTA IL MIO DPO | ANNO 3 NR 2 36Ordinanza ingiunzione nei confronti di Azienda Sanitaria
Locale n. 2 Lanciano-Vasto-Chieti
A causa di un errore umano nell’imbustamento della documentazione, un referto e gli esami
ematici riferiti ad un paziente minore sono stati inviati per errore al destinatario errato.
L’Azienda Sanitaria protagonista dell’errore ha immediatamente chiesto al destinatario scorretto
di cancellare le informazioni ricevute ed ha provveduto ad inviare i documenti sanitari al corretto
destinatario ed è stata adottata una procedura più stringente per la gestione dei referti.
A seguito della notifica della violazione e al termine del procedimento, l’Autorità Garante ha
comminato nei confronti dell’ASL una sanzione di € 6.500,00.
Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale n. 2 Lanciano-
Vasto-Chieti - 11 febbraio 2021 [9567143]
Vedi il provvedimento
| RIVISTA IL MIO DPO | ANNO 3 NR 2 37Ordinanza ingiunzione nei confronti di Azienda Ospedaliera
Universitaria Careggi
L’AOU Careggi ha notificato al Garante una violazione di dati personali con riferimento alla
errata consegna di documentazione sanitaria cartacea relativa ad una prestazione di Pronto
Soccorso di un paziente a una persona diversa.
Si è trattato di un episodio di duplicazione di documentazione, probabilmente a causa di un
errore di stampa, in quanto l’interessato a cui si riferiscono i documenti aveva comunque ricevuto
la propria refertazione.
L’Azienda ha successivamente contattato entrambi i soggetti per assicurarsi che entrambi fossero
in possesso della sola documentazione di propria competenza e ha dichiarato di aver avviato un
processo di valutazione interno.
L’importo della sanzione comminata dal Garante ammonta a 6.000,00 euro.
Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Universitaria
Careggi - 25 febbraio 2021 [9574764]
Vedi il provvedimento
| RIVISTA IL MIO DPO | ANNO 3 NR 2 38Ordinanza ingiunzione nei confronti di Azienda Unità
Sanitaria Locale di Reggio Emilia
L’Ausl di Reggio Emilia ha notificato al Garante una violazione di dati personali in relazione ad
un errore di inserimento della data in un lotto di referti del 2010.
L’errore ha comportato l’associazione di quei referti a prenotazioni di pazienti diversi, effettuate
nel 2019. DI conseguenza, i referti sono stati comunicati ai destinatari sbagliati.
La violazione descritta ha riguardato otto interessati e pur avendo avuto luogo nel 2010, è stata
scoperta dall’AUSL solo a marzo 2019.
La violazione ha riguardato oltre che i dati anagrafici e di contatto dei pazienti, anche dati
relativi al loro stato di salute. All’esito del procedimento, l’Autorità Garante ha quindi ritenuto
congruo comminare una sanzione pari a 9.000,00 euro.
Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di
Reggio Emilia - 11 marzo 2021 [9581069]
Vedi il provvedimento
| RIVISTA IL MIO DPO | ANNO 3 NR 2 39Patient Support Program e Privacy: aspetti da tenere in
considerazione
I Patient Support Program – ad oggi – non sono regolamentati da alcuna specifica normativa
Tuttavia, la disciplina sulla protezione dei dati personali è trasversale e raggiunge tutti i trattamenti
di dati personali, compresi, ovviamente, quelli effettuati mediante i PSP.
Questo articolo dell’Avv. Silvia Stefanelli si pone l’obiettivo di mettere in luce gli aspetti che, per
la particolare natura dei PSP, devono essere attentamente analizzati al fine di un pieno rispetto
della normativa sulla protezione dei dati personali.
Per approfondimenti si rimanda all’articolo
“Patient Support Program e Privacy: aspetti da tenere in considerazione”
a cura dell’Avv. Silvia Stefanelli
| RIVISTA IL MIO DPO | ANNO 3 NR 2 40Vaccinazioni sul luogo di lavoro:
le indicazioni del Garante privacy
In seguito alla sottoscrizione tra Governo e parti sociali del “Protocollo nazionale per la
realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione
anti SARS-CoV-2/Covid-19 nei luoghi di lavoro”, il Garante ha ribadito la necessità di rispettare
il tradizionale riparto di competenze tra il medico competente e il datore di lavoro ed il divieto per
il datore di lavoro di raccogliere dati circa l’adesione dei lavoratori alla campagna, l’avvenuta
somministrazione (o meno) del vaccino e altri dati relativi alle condizioni di salute del lavoratore.
Il Garante fornisce importanti indicazioni operative sulle modalità di trattamento dei dati
personali dei lavoratori.
Per approfondimenti si rimanda all’articolo
“Indicazioni operative del Garante privacy per le vaccinazioni sui luoghi di lavoro”
a cura dell’Avv. Eleonora Lenzi
Garante Italiano - Vaccinazioni sul luogo di lavoro: le indicazioni del Garante privacy. Disponibile
anche il documento sul ruolo del medico competente
Leggi la notizia
| RIVISTA IL MIO DPO | ANNO 3 NR 2 41Italia: Garante impone sanzione di 40.000 per trattamento
illecito dei dati dei dipendenti
Il Garante privacy ha emesso un provvedimento sanzionatorio pari a 40.000 nei confronti della
società Proma S.S.A. srl per non aver informato correttamente i lavoratori rispetto alle caratteristiche
del sistema informatico aziendale, con conseguente trattamento illecito di dati personali.
Nello specifico, il sistema raccoglieva dati disaggregati e per finalità ulteriori rispetto a quelle
indicate nell’informativa privacy messa a disposizione dei lavoratori, e consentiva di identificarli
attraverso l’incrocio dei dati di postazione con altri dati disponibili al datore di lavoro.
Inoltre, in una nuova informativa (non ancora consegnata ai dipendenti al momento
dell’istruttoria), il datore di lavoro indicava la base giuridica del legittimo interesse.
Per approfondimenti si rimanda all’articolo
“È possibile utilizzare i dati di produzione nell’ambito dei provvedimenti disciplinari a carico dei
dipendenti?”
a cura della Dott.ssa Federica Pucarelli
Garante Italiano - Ordinanza ingiunzione nei confronti di Proma S.S.A. s.r.l. - 15 aprile 2021
[9586936]
Leggi l’ordinanza
| RIVISTA IL MIO DPO | ANNO 3 NR 2 42Francia: IKEA riceve sanzione da 1,1 mil euro per aver spiato
i dipendenti
Il tribunale di Versailles (Parigi) ha disposto una sanzione di 1,1 milioni di euro a IKEA per aver
illecitamente raccolto e conservato per anni dati sui propri dipendenti francesi.
La multinazionale avrebbe violato la privacy dei lavoratori utilizzando anche detective privati,
raccogliendo dati personali sulla loro vita, comprese eventuali condanne penali.
L’azione era stata intentata dai sindacati, secondo i quali il colosso di mobili svedese utilizzava
queste informazioni per rilevare eventuali lavoratori potenzialmente di disturbo, possibili
sindacalisti oppure per avvantaggiarsi in controversie con i clienti.
L’ex amministratore delegato della società che possiede in franchising i negozi Ikea francesi è
stato inoltre condannato a due anni di carcere, con la condizionale a 50.000 euro.
| RIVISTA IL MIO DPO | ANNO 3 NR 2 43Telemarketing aggressivo: il Garante privacy sanziona
Fastweb per 4 milioni e mezzo di euro
Il Garante ha concluso con una sanzione di oltre 4.500.000 Euro una complessa attività
istruttoria avviata a seguito di centinaia di segnalazioni e reclami di utenti che lamentavano
continue telefonate promozionali di servizi di telefonia e internet offerti da Fastweb effettuate
senza il loro consenso.
L’istruttoria ha rivelato un allarmante ricorso all’utilizzo di numerazioni fittizie o non
censite nel Registro degli Operatori di Comunicazione (Roc), fenomeno riconducibile ad un
“sottobosco” di call-center abusivi che effettuano le attività di telemarketing in totale spregio delle
disposizioni in materia di protezione dei dati personali.
Ulteriori profili di violazione hanno riguardato la corretta gestione delle liste dei contatti, fornite a
Fastweb da partner esterni, senza che questi ultimi avessero acquisito il consenso libero, specifico
e informato degli utenti alla comunicazione dei propri dati.
Oltre alla sanzione, l’Autorità ha ordinato a Fastweb di adeguare i trattamenti in
materia di telemarketing in modo da prevedere e comprovare che l’attivazione di offerte e servizi
e la registrazione di contratti avvenga solo a seguito di chiamate effettuate dalla rete di vendita
attraverso numerazioni telefoniche censite e iscritte al Roc.
La società, inoltre, dovrà irrobustire le misure di sicurezza per impedire accessi abusivi ai propri
database.
Fastweb infine non potrà più utilizzare i dati contenuti nelle liste anagrafiche fornite da partner
terzi, senza che questi ultimi abbiano acquisito un consenso specifico, libero e informato dagli
interessati alla comunicazione a terzi dei propri dati.
Garante Italiano - Telemarketing aggressivo: il Garante privacy sanziona Fastweb per 4 milioni
e mezzo di euro
Leggi il comunicato stampa
| RIVISTA IL MIO DPO | ANNO 3 NR 2 44Operazioni di Direct marketing e diritto di opposizione: un
caso sanzionato dal Garante
Il Garante è intervenuto a sanzionare una società che inviava messaggi promozionali senza
rispettare gli adempimenti necessari.
Tra i punti contestati l’impossibilità di esercitare il diritto di opposizione e, quindi di interrompere
la ricezione di messaggi indesiderati.
La società inviava diversi messaggi promozionali ai reclamanti senza essere in grado di
documentare l’acquisizione di un idoneo consenso: in un caso i dati erano presenti a sistema ma
non il consenso e nell’altro, sebbene non fossero memorizzati dati, il soggetto coinvolto lamentava
comunque numerose e-mail (un caso di redirect, ipotizza la società). I destinatari hanno riscontrato
l’impossibilità di interrompere gli invii tramite il tasto unsubscribe – non funzionante - in calce alle
email, così hanno espresso la loro opposizione a mezzo pec, ma non hanno ricevuto alcun tipo
di riscontro.
Alla società è stato quindi vietato il trattamento dei dati senza consenso e date le molteplici
violazioni, è stata sanzionata per un importo pari a 30.000 euro, oltre che la pubblicazione
integrale del provvedimento.
Di seguito gli aspetti che hanno pesato negativamente sulla posizione del Titolare del
trattamento.
1. Il carattere sistemico delle violazioni rilevate che le rende dunque potenzialmente estese
ad un vasto numero di interessati.
2. Il grado di responsabilità del titolare del trattamento, da qualificarsi come gravemente
colposo.
3. La scarsa collaborazione prestata nei confronti dell’Autorità dovuta probabilmente anche
a cattiva organizzazione.
4. L’assenza di misure correttive per evitare il ripetersi di eventi analoghi.
Interessanti sono però anche gli elementi attenuanti per il Titolare del trattamento, in particolare:
1. La natura dei dati oggetto di violazione (dati comuni);
| RIVISTA IL MIO DPO | ANNO 3 NR 2 452. Il basso livello di danno subito dai reclamanti, consistente nella ricezione di messaggi
promozionali indesiderati e nell’impossibilità di opporsi ad essi;
3. I dati del bilancio 2019, chiuso in rilevante perdita e con conseguente riduzione del
personale dipendente, registrando anche per i primi mesi del 2020 una consistente riduzione
del volume di affari in conseguenza dell’emergenza connessa alla pandemia in atto.
Garante Italiano - Ordinanza ingiunzione nei confronti di OneDirect S.r.l. - 25 marzo 2021
[9577323]
Leggi l’ordinanza
| RIVISTA IL MIO DPO | ANNO 3 NR 2 46Telemarketing selvaggio: il Garante sanziona tre call center
Il Garante ha sanzionato negli ultimi mesi tre call center tutti legati a TIM Spa, in seguito all’attività
istruttoria svolta dopo la ricezione di numerosissime segnalazioni di utenti che lamentavano di
essere stati ripetutamente contattati dai call center per attività di marketing nonostante
- non avessero mai fornito il consenso
- fossero iscritti nel registro delle opposizioni o anche
- successivamente all’iscrizione in detto registro.
In molti casi si trattava di utenti c.d. referenziati ovvero segnalati da parenti o amici e i call center
hanno tentato di giustificare la liceità del trattamento sulla base del legittimo interesse all’attività
di marketing.
Il Garante ha ribadito che il legittimo interesse non può costituire un’idonea base giuridica per le
attività di marketing, per le quali deve essere raccolto il consenso univoco, specifico ed informato
dell’utente; né il legittimo interesse può essere utilizzato a posteriori dal titolare del trattamento in
caso di carenza dei requisiti del consenso tenuto conto dell’obbligo di informare preventivamente
l’utente della base giuridica del trattamento.
Il Garante ha anche tenuto in considerazione le modalità con cui le chiamate veniva effettuate,
fino a tre quattro volte al giorno, ritenendole tali da ledere il diritto alla “tranquillità” oltre che alla
riservatezza dei propri dati personali.
Garante Italiano - Ordinanza ingiunzione nei confronti di Plurima s.r.l. - 11 marzo 2021 [9577042]
Leggi l’ordinanza
Garante Italiano - Ordinanza ingiunzione nei confronti di Mediacom s.r.l. - 11 marzo 2021
Leggi l’ordinanza
Garante Italiano - Ordinanza ingiunzione nei confronti di Planet Group spa-11 marzo 2021
[9577371] Leggi l’ordinanza
| RIVISTA IL MIO DPO | ANNO 3 NR 2 47Puoi anche leggere
