- Telemarketing aggressivo: il Garante sanziona le prime agenzie immobiliari
- Lavoro: email e navigazione web, il Garante sanziona la Regione Lombardia
- Data breach: sanzione del Garante all’Ordine degli psicologi della Lombardia
- La Conferenza di primavera dei Garanti europei rafforza la collaborazione
Telemarketing aggressivo: il Garante privacy sanziona le prime agenzie immobiliari
Migliaia i proprietari di immobili sottoposti a una vera e propria schedatura
Faro del Garante privacy su un nuovo e preoccupante fenomeno di telemarketing aggressivo emerso nell’ambito delle intermediazioni immobiliari. Migliaia di potenziali venditori e acquirenti venivano contattati, con insistenza, tramite telefonate e messaggi WhatsApp, senza aver espresso un valido consenso a ricevere comunicazioni promozionali, da agenzie immobiliari che utilizzavano elenchi molto dettagliati forniti da una società di servizi.
Un illecito sistema capillare che ha indotto l’Autorità a sanzionare prima la società fornitrice dei dati per 100mila euro e successivamente le prime nove agenzie coinvolte, con multe fino a 40mila euro. Gli elenchi utilizzati costituivano una vera e propria mappatura di massa del territorio ed erano “arricchiti” con i numeri telefonici (fissi e mobili) e le informazioni catastali ricavate anche attraverso il servizio telematico Sister dell’Agenzia delle Entrate. Ogni proprietario residente in una determinata zona di interesse commerciale per le agenzie era sottoposto ad una vera e propria schedatura.
Alle prime sanzioni comminate alle agenzie, in base alla gravità delle violazioni, ne seguiranno altre al termine delle istruttorie in corso. Il fenomeno, esteso e grave, è venuto alla luce grazie alle segnalazioni e ai reclami presentati da numerosi cittadini. Nei casi più gravi, il Garante ha vietato l’ulteriore trattamento dei dati e imposto la cancellazione degli stessi per i quali le agenzie non sono state in grado di dimostrare un consenso valido.
Inoltre, per poter continuare a svolgere attività di telemarketing, le agenzie dovranno verificare costantemente, anche mediante controlli a campione, che i dati siano trattati nel rispetto della normativa privacy (acquisizione preventiva di un consenso libero e specifico degli interessati, oltre che informato, per l’invio di comunicazioni commerciali, nonché, per le utenze destinatarie delle telefonate indesiderate, l’iscrizione delle stesse al Registro Pubblico delle opposizioni) e adottare misure tecniche e organizzative adeguate per facilitare l’esercizio dei diritti degli interessati, compreso il diritto di opposizione.
Lavoro: email e navigazione web, il Garante sanziona la Regione Lombardia
Raccolte e conservate anche informazioni relative alla sfera privata dei dipendenti
Il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie. Lo ha affermato il Garante privacy nel comminare una sanzione di 50mila euro alla Regione Lombardia.
Il provvedimento giunge al termine di un ciclo ispettivo dell’Autorità per verificare l’osservanza della normativa privacy da parte della Regione nell’ambito dei trattamenti dei dati dei dipendenti, anche nel caso dello svolgimento del lavoro agile. Numerose le violazioni riscontrate.
Dall’istruttoria del Garante è emerso che la Regione raccoglieva e conservava i log di navigazione in Internet – consistenti in informazioni inerenti ai siti web visitati dai dipendenti, inclusi quelli relativi ai tentativi falliti di accesso ai siti censiti in una apposita black list – senza aver stipulato un accordo collettivo con le rappresentanze sindacali e aver adottato adeguate garanzie a tutela dei lavoratori. Tale trattamento consentiva tra l’altro al datore di lavoro di entrare in possesso di informazioni non attinenti all’attività lavorativa e relative alla sfera privata dei dipendenti.
Nessun accordo inoltre era stato inizialmente siglato per il trattamento dei metadati di posta elettronica dei lavoratori. Ancor prima dell’adozione del Documento di indirizzo del Garante sui metadati, la Regione aveva comunque attivato un processo di adeguamento alle indicazioni fornite nel tempo dall’Autorità in casi analoghi. Per tali ragioni, pur prendendo atto delle iniziative intraprese dalla Regione nel corso dell’istruttoria per conformare i trattamenti alla normativa privacy, il Garante, oltre alla sanzione amministrativa, ha ingiunto una serie di misure correttive.
Tra queste, in particolare: l’anonimizzazione dei log relativi ai tentativi di accesso falliti ai siti web censiti nella black-list; la cifratura del dato concernente i nomi dei dipendenti assegnatari dei pc portatili; la riduzione del termine di conservazione di tali dati.
Data breach: sanzione del Garante all’Ordine degli psicologi della Lombardia
Il Garante privacy ha sanzionato per 30mila euro l’Ordine degli Psicologi della Regione Lombardia per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati.
Il Garante è intervenuto a seguito di alcuni reclami e della notifica di data breach effettuata dall’Ordine, che ha dichiarato di essere stato colpito da un sofisticato attacco ransomware messo in atto da un gruppo di cybercriminali. La violazione ha comportato l’accesso abusivo alla rete informatica dell’Ordine, la cifratura e l’esfiltrazione di numerosi documenti contenenti, in particolare, dati personali degli iscritti all’Albo sottoposti a procedimenti disciplinari e di diversi pazienti, tra cui minori, e altre persone a vario titolo coinvolte.
L’attacco ha riguardato anche dati appartenenti a categorie particolari, come quelli che rivelano l’origine razziale o etnica, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la vita o l’orientamento sessuale, lo stato di salute, nonché dati relativi a condanne penali e reati. Pertanto, gli interessati sono stati esposti a rischi di discriminazione, furto d’identità, frodi, rischi reputazionali e altri pregiudizi nella sfera economica e sociale. A seguito del mancato pagamento del riscatto, i cybercriminali hanno pubblicato sul dark web i dati esfiltrati. Non sono state invece compromesse la disponibilità e l’integrità dei dati personali, che sono stati recuperati grazie alle procedure e ai sistemi di backup.
Dall’istruttoria del Garante è emerso che l’Ordine non aveva adottato misure adeguate a rilevare tempestivamente le violazioni dei dati personali e a garantire la sicurezza dei sistemi di trattamento. La sanzione è stata comminata tenuto conto della gravità e della natura particolarmente delicata dei dati coinvolti.
È stata tuttavia riconosciuta la collaborazione dell’Ordine, che ha comunicato di aver adottato ulteriori misure di sicurezza per prevenire futuri attacchi e migliorare la protezione dei dati personali trattati.
La Conferenza di primavera dei Garanti europei rafforza la collaborazione
Dal 6 al 9 maggio, la Georgia ha ospitato la 33a Conferenza europea delle autorità di protezione dei dati, nota anche come Conferenza di primavera (Spring Conference). Titolo dell’evento, “Il tesoro più prezioso di una persona è la sua identità”, una dichiarazione di estrema attualità, pronunciata nel 1899 dal giornalista, scrittore e poeta georgiano Ilia Chavchavadze.
All’evento hanno partecipato circa 80 delegati delle Autorità europee per la protezione dei dati, tra cui una rappresentanza del Collegio del Garante privacy, oltre a rappresentanti di varie istituzioni europee, tra cui Europol, Eurojust, Eurostat ed EDPS.
Nel corso della Conferenza sono stati affrontati una serie di argomenti di particolare rilievo, tra cui l’impatto dell’intelligenza artificiale sulla protezione dei dati personali, la tutela dei minori e dei dati relativi alla salute; il ruolo di responsabili della protezione dei dati (RPD) e professionisti della privacy.
Nella risoluzione finale le Autorità hanno ribadito il proprio impegno a rafforzare la cooperazione, condividendo le migliori pratiche e sviluppando orientamenti comuni a sostegno dell’effettiva attuazione delle leggi sulla protezione dei dati nelle diverse giurisdizioni.
La Conferenza di primavera si tiene dal 1991 e svolge un ruolo fondamentale nel facilitare le discussioni sulle tendenze emergenti in materia di privacy. L’evento promuove un dialogo costruttivo tra le Autorità e gli operatori del settore, creando una solida piattaforma per affrontare sia le sfide che le opportunità in tema di protezione dei dati.
Per saperne di più: https://www.dpaspringconference.org/
L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità
“La Privacy in salute”. Secondo appuntamento formativo del Garante dedicato al settore sanitario. L’11 giugno alle 10.30, partecipazione da remoto. Apre i lavori Agostino Ghiglia, componente del Collegio del Garante – 28 maggio 2025
“Pay or ok”, il Garante avvia una consultazione pubblica – Comunicato del 5 maggio 2025
AI: Il Garante sanziona la società che gestisce il chatbot “Replika” – Comunicato del 19 maggio 2025
Privacy Tour 2025: terza tappa a Catanzaro il 21 e 22 maggio. Equità digitale, intelligenza artificiale e contrasto ai bias di genere al centro dei lavori – Comunicato del 16 maggio 2025
Fonte: garanteprivacy.it
