- Il Garante privacy sanziona Autostrade spa per 420mila euro
- Lavoro: no alle impronte digitali per la rilevazione presenze
- Marketing: il Garante sanziona per 45mila euro una società di rivendita auto online
- G7 Privacy: azioni comuni per un ambiente digitale più sicuro
Il Garante privacy sanziona Autostrade spa per 420mila euro
Trattati illecitamente i dati di una lavoratrice poi utilizzati per giustificarne il licenziamento
Sanzione di 420mila euro del Garante privacy ad Autostrade per l’Italia Spa per aver trattato in modo illecito i dati personali di una dipendente, poi utilizzati per giustificarne il licenziamento. L’intervento dell’Autorità è seguito al reclamo della lavoratrice che aveva segnalato l’utilizzo, da parte della società, di contenuti estratti dal proprio profilo Facebook e da chat private su Messenger e WhatsApp per motivare i procedimenti disciplinari a proprio carico.
Tra i contenuti utilizzati figuravano anche stralci virgolettati di commenti e descrizioni di foto. Dagli accertamenti del Garante è emerso che i contenuti erano stati utilizzati dal datore di lavoro senza una base giuridica valida, attraverso screenshot forniti da alcuni colleghi e da un soggetto terzo, presenti tra gli “amici” della dipendente su Facebook e attivi nelle sue conversazioni private su Messenger e WhatsApp. Le comunicazioni, inoltre, riguardavano opinioni e scambi avvenuti in contesti estranei al rapporto di lavoro, non rilevanti ai fini della valutazione dell’idoneità professionale.
Nel motivare la sanzione, il Garante ha sottolineato che una volta accertato il carattere privato delle conversazioni e dei commenti – pubblicati, tra l’altro, in ambienti digitali ad accesso limitato – la società avrebbe dovuto astenersi dal farne uso. L’impiego di tali informazioni, infatti, ha violato i principi di liceità, finalità e minimizzazione previsti dalla normativa privacy. L’Autorità ha inoltre ribadito che i dati personali presenti sui social network, o comunque accessibili online, non possono essere utilizzati liberamente e per qualunque scopo, solo perché visibili a una platea più o meno ampia di persone.
Anche nell’ambito dell’attività disciplinare il datore di lavoro è tenuto a bilanciare correttamente tale potere con i diritti e le libertà fondamentali riconosciuti agli interessati. Il principio di finalità, ha ricordato l’Autorità, impone che i dati siano raccolti per scopi specifici, espliciti e legittimi, e trattati in modo coerente con tali scopi. Pertanto, l’utilizzo nel procedimento disciplinare di messaggi scambiati su canali privati di comunicazione è avvenuto in violazione della segretezza e riservatezza della corrispondenza, dunque in assenza di una giustificazione normativa.
Nel determinare l’ammontare della sanzione, il Garante ha considerato sia la gravità della violazione che il fatturato della società.
Lavoro: no alle impronte digitali per la rilevazione presenze
Il Garante sanziona un istituto scolastico
L’uso dei dati biometrici sul posto di lavoro è consentito solo se previsto da una norma specifica che tuteli i diritti dei lavoratori. Tale trattamento deve rispondere a un interesse pubblico e rispettare criteri di necessità e proporzionalità rispetto all’obiettivo perseguito.
È quanto ha ribadito il Garante privacy che, a seguito di un reclamo, ha sanzionato un Istituto di istruzione superiore di Tropea per 4mila euro per aver impiegato un sistema di riconoscimento biometrico che, allo scopo di rilevarne la presenza e di prevenire danneggiamenti e atti vandalici, richiedeva l’uso delle impronte digitali del personale amministrativo. I lavoratori coinvolti erano quelli che avevano rilasciato il proprio consenso e che non intendevano ricorrere a modalità tradizionali di attestazione della propria presenza in servizio.
Nel rilevare la violazione della normativa privacy, italiana ed europea, il Garante ha ricordato quanto già espresso in un precedente parere del 2019: non può ritenersi proporzionato l’uso sistematico, generalizzato e indifferenziato per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze, a causa dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato. La mancanza di un’idonea base giuridica, in merito al trattamento dei dati biometrici, non può essere colmata neppure dal consenso dei dipendenti che non costituisce, di regola, un valido presupposto per il trattamento dei dati personali in ambito lavorativo, sia pubblico che privato, a causa dell’asimmetria tra le rispettive parti del rapporto di lavoro.
Nel definire la sanzione il Garante ha tuttavia tenuto conto sia della buona collaborazione offerta dall’Istituto nell’ambito dell’istruttoria che dell’assenza di precedenti violazioni analoghe.
Marketing: il Garante sanziona per 45mila euro una società di rivendita auto online
E-mail senza consenso e mancato controllo sulla filiera dei partner
Il Garante privacy ha sanzionato per 30mila euro l’Ordine degli Psicologi della Regione Lombardia per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati.
Il Garante è intervenuto a seguito di alcuni reclami e della notifica di data breach effettuata dall’Ordine, che ha dichiarato di essere stato colpito da un sofisticato attacco ransomware messo in atto da un gruppo di cybercriminali. La violazione ha comportato l’accesso abusivo alla rete informatica dell’Ordine, la cifratura e l’esfiltrazione di numerosi documenti contenenti, in particolare, dati personali degli iscritti all’Albo sottoposti a procedimenti disciplinari e di diversi pazienti, tra cui minori, e altre persone a vario titolo coinvolte.
L’attacco ha riguardato anche dati appartenenti a categorie particolari, come quelli che rivelano l’origine razziale o etnica, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la vita o l’orientamento sessuale, lo stato di salute, nonché dati relativi a condanne penali e reati. Pertanto, gli interessati sono stati esposti a rischi di discriminazione, furto d’identità, frodi, rischi reputazionali e altri pregiudizi nella sfera economica e sociale. A seguito del mancato pagamento del riscatto, i cybercriminali hanno pubblicato sul dark web i dati esfiltrati. Non sono state invece compromesse la disponibilità e l’integrità dei dati personali, che sono stati recuperati grazie alle procedure e ai sistemi di backup.
Dall’istruttoria del Garante è emerso che l’Ordine non aveva adottato misure adeguate a rilevare tempestivamente le violazioni dei dati personali e a garantire la sicurezza dei sistemi di trattamento. La sanzione è stata comminata tenuto conto della gravità e della natura particolarmente delicata dei dati coinvolti.
È stata tuttavia riconosciuta la collaborazione dell’Ordine, che ha comunicato di aver adottato ulteriori misure di sicurezza per prevenire futuri attacchi e migliorare la protezione dei dati personali trattati.
G7 Privacy: azioni comuni per un ambiente digitale più sicuro
Concluso a Ottawa, il vertice delle Autorità di protezione dei dati dei 7 Grandi
Promuovere la fiducia nell’economia digitale e sostenere l’innovazione nel rispetto della privacy e della protezione dei dati personali. È questo l’impegno condiviso dalle Autorità di protezione dei dati personali con la Dichiarazione approvata a conclusione del G7 Privacy che si è svolto in Canada il 17, 18, 19 e 20 giugno. Secondo i Garanti le azioni comuni intraprese contribuiranno a creare un ambiente digitale più sicuro per il futuro. Il trattamento dei dati dovrebbe essere progettato per servire l’umanità, per questo le Autorità incoraggiano sviluppatori e innovatori a riflettere sui contenuti della dichiarazione approvata a Ottawa. Inoltre, dando seguito al Piano d’azione adottato al G7 di Roma nel 2024, le Autorità invitano a promuovere un’innovazione responsabile e a proteggere i minori, dando priorità alla privacy. “I bambini vogliono e hanno il diritto di essere cittadini digitali attivi – sostiene la dichiarazione – e meritano una protezione forte e adeguata, che tenga conto dei loro interessi e permetta loro di partecipare pienamente al mondo digitale”.
Nel corso del vertice, inoltre, è stato dato conto delle attività dei tre gruppi di lavoro del G7 privacy: Libera e responsabile circolazione dei dati (DFFT), Tecnologie emergenti e intelligenza artificiale e Cooperazione per l’attuazione di regole comuni. L’obiettivo è l’adozione a dicembre, nel corso di una riunione programmata, dei restanti documenti sui temi affrontati, che riguardano tra gli altri: le procedure per rendere operativa la DFFT in un contesto globale; l’uso responsabile dei dati nei dispositivi smart home; la definizione di un modello condiviso di applicazione della normativa sulla protezione dei dati.
Il Collegio del Garante italiano, rappresentato dal presidente Pasquale Stanzione, dalla vicepresidente Ginevra Cerrina Feroni e dai componenti Agostino Ghiglia e Guido Scorza, ha partecipato attivamente a tutti i tavoli di lavori, alle discussioni collegiali, con interventi e dichiarazioni, oltre agli eventi collaterali del G7, in tema di tecnologie per il rafforzamento e il miglioramento della privacy (PETs) e al Privacy Symposium finale sulle prospettive della protezione dei dati personali nell’era digitale.
In particolare, la prof.ssa Cerrina Feroni, nell’ambito dell’evento svoltosi il 16 e il 17 giugno organizzato dall’Ocse, dal Governo canadese e dall’Agenzia per l’innovazione digitale giapponese, ha tenuto una relazione sul ruolo delle Autorità di protezione dati personali nella promozione delle PETs, alla quale si sono aggiunte le riflessioni nel dibattito presentate dal dott. Ghiglia.
Al presidente Stanzione è stato poi chiesto un intervento di apertura ai lavori del G7 volto ad evidenziare il “passaggio di testimone” rispetto all’edizione romana del 2024. La vicepresidente ha, quindi, illustrato il volume preparato dal Garante italiano contenente i documenti e gli interventi del G7 2024, che è stato consegnato a tutti i partecipanti. Quanto ai contenuti più specifici, tra i vari temi affrontati dal Collegio del Garante nelle varie sessioni, il dott. Ghiglia è intervenuto sulla libera e responsabile circolazione dei dati sostenendo la crucialità della cooperazione tra le giurisdizioni, in particolar modo al di fuori dello Spazio economico europeo, per supportare e facilitare flussi di dati transfrontalieri sicuri, affidabili e conformi alla normativa sulla protezione dei dati personali.
L’avv. Scorza ha affrontato la questione delle nuove tecnologie con riguardo alle possibilità che esse possono aprire anche per la protezione dei dati personali, la prof.ssa Cerrina Feroni ha esaminato il ruolo dell’enforcement al fine di individuare strategie comuni alla luce delle analogie e delle differenze dei vari ordinamenti giuridici. Il Presidente ha concluso con un intervento sulle prospettive future del G7 sia sotto il profilo delle procedure che degli ambiti di azione futura.
L’avv. Scorza ha partecipato a Ottawa al Privacy Symposium del 20 giugno, intervenendo nell’ambito della tavola rotonda fra le varie autorità presenti al G7 per sottolineare come non si possa continuare a sacrificare il best interest del minore sull’altare del mercato e degli interessi commerciali, mentre il presidente Stanzione, la vicepresidente Cerrina Feroni, il componente Ghiglia a Montreal, invitati dalla McGill University, sono stati protagonisti di un dibattito pubblico sul ruolo del Garante italiano in ambito di intelligenza artificiale e dati sanitari e sui temi affrontati nel G7.
L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità
Il Collegio del Garante privacy incontra l’Ambasciatore d’Italia a Ottawa – Comunicato del 24 giugno 2025
Al via a Ottawa il quinto G7 delle Autorità privacy – Comunicato del 18 giugno 2025
Protezione dei dati personali: il Garante ospita una delegazione dalla Bosnia -Erzegovina per un ciclo di seminari – 9 giugno 2025
Sharenting: dal Garante privacy consigli per genitori troppo social. Nel secondo episodio del podcast del Garante l’eccessiva condivisione online di immagini dei figli piccoli – Comunicato del 4 giugno 2025
Fonte: garanteprivacy.it
