Garante Privacy, più tutele per i dati degli abbonati: sanzionata un’azienda di trasporti che aveva raccolto consensi marketing non validi
Anche quando sottoscriviamo un abbonamento per i trasporti abbiamo diritto a fare libere scelte sul trattamento dei nostri dati. Il Garante Privacy ha sanzionato un’azienda di trasporto dell’Emilia Romagna con 50.000 euro di multa per aver utilizzato un modulo per la sottoscrizione degli abbonamenti al servizio di trasporto pubblico locale non conforme alla disciplina in materia di protezione dei dati. L’istruttoria dell’Autorità, che ha preso il via da una segnalazione, ha accertato che l’informativa resa ai passeggeri al momento della sottoscrizione degli abbonamenti, priva di molti elementi essenziali, non consentiva di prestare un consenso libero, specifico e informato. Il modulo per il rilascio della tessera di abbonamento non permetteva infatti ai viaggiatori di distinguere tra dati obbligatori e dati facoltativi (come ad esempio il numero di cellulare e l’indirizzo e-mail) e non segnalava chiaramente agli utenti il diritto di opporsi al trattamento per finalità di marketing diretto. L’azienda, che serve un bacino di utenza di
Furti di dati in aumento del 45%, allertati più della metà degli utenti.
Crescono le credenziali di account compromessi in circolazione sul dark web. Nel 2023, secondo l’ultima edizione dell’Osservatorio Cyber di Crif, si contavano oltre 7,5 miliardi di dati accessibili sul dark web o su piattaforme di messaggistica a livello globale, in rialzo del 44,8% rispetto all’anno precedente. Le segnalazioni di dati rilevati su dark web sono ammontate complessivamente nel 2023 a poco più di 1,8 milioni, con una crescita del 15,9% su base annua. “Ci sono alcuni trend da tenere in considerazione sui rischi cyber: per il furto di dati personali, i cybercriminali utilizzano malware e applicativi che col tempo sono diventati sempre più sofisticati e difficili da distinguere da quelli ufficiali, diventando una trappola per le persone”, ha commentato Beatrice Rubini, executive director di Crif. “Inoltre – prosegue – gli hacker che utilizzano anche l'intelligenza artificiale per colpire i consumatori stanno diventando una vera minaccia a causa di truffe e-mail sempre
L’espediente ‘paga o acconsenti ai cookies di Facebook e Instagram viola la privacy’.
Otto gruppi di associazioni di tutela dei consumatori europei della rete BEUC hanno presentato reclami alle rispettive autorità nazionali per la protezione dei dati contro Meta, sulla base del fatto che il colosso della tecnologia non aderirebbe ai principi di trattamento corretto, minimizzazione dei dati, e limitazione delle finalità del GDPR. (Vedasi riepilogo del contenuto dei reclami depositati) Inoltre, Meta non disporrebbe di una valida base giuridica per giustificare la sua raccolta massiva di dati personali degli utenti di Facebook e Instagram, poiché la scelta che impone ai propri utenti non può portare ad un loro consenso libero e informato. Con le sue pratiche illegali, Meta alimenterebbe il sistema pubblicitario basato sulla sorveglianza che traccia i consumatori online e raccoglie grandi quantità di dati personali allo scopo di mostrare loro annunci pubblicitari personalizzati basati sui loro gusti e sulle loro abitudini di consumo, tecnica che è anche il core business con cui Meta realizza i
La formazione e l’istruzione degli addetti che trattano dati personali non possono essere uguali per tutti.
Nel corso degli ultimi mesi, l’intensificazione dei controlli relativamente alle buone e corrette policy aziendali in materia di privacy, ha, purtroppo, scoperto un nervo ancora troppo dolente; infatti sempre troppo spesso l’azienda sensibilizzata sì alla creazione di una policy aziendale, dopo aver formalizzato un discreto apparato teorico, nel divenire delle problematiche giornaliere del lavoro, abbandona le procedure operative creando, così, un terreno scivoloso e propenso a qualsiasi “incidente” sulla gestione dei dati. Il fulcro troppo spesso poco considerato è l’importanza di talune indicazioni dei combinati disposti degli artt. 29 GDPR “chiunque abbia accesso a dati personali”, art. 32 “chiunque agisca sotto la loro autorità e abbia accesso a dati personali”, art 39 “formazione del personale che partecipa ai trattamenti”, art. 2-quaterdecies, Dlgs 196/2003 come modificato dal Dlgs 101/2018 “attribuiti a persone fisiche, espressamente designate”. Di cosa, dunque, stiamo parlando? Di coloro che, istruiti dal titolare del trattamento dati o dal responsabile del trattamento dati se
No del Garante Privacy al riconoscimento facciale per controllo presenze dei lavoratori
Il riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti. Non esiste al momento alcuna norma che consenta l’uso di dati biometrici, come prevede il Regolamento, per svolgere una tale attività. Per questo motivo il Garante privacy ha sanzionato cinque società - impegnate a vario titolo presso lo stesso sito di smaltimento dei rifiuti - con sanzioni rispettivamente di 70mila, 20mila, 6mila, 5mila e 2mila euro, per aver trattato in modo illecito i dati biometrici di un numero elevato di lavoratori. [Vedasi provvedimenti doc. web n. 9995680, 9995701, 9995741, 9995762, 9995785] L’Autorità, intervenuta a seguito dei reclami di diversi dipendenti, ha anche evidenziato i particolari rischi per i diritti dei lavoratori connessi all’uso dei sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell’ordinamento nazionale che in quello europeo. Dall’attività ispettiva del Garante, svolta in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di
Eurostat: gli italiani fra i meno attenti di tutti alla privacy online
Secondo un'indagine di Eurostat, l'Italia è uno dei Paesi dell'Unione Europea che dimostra meno attenzione alla privacy online. I finlandesi, invece, si dimostrano tra i più attenti d'Europa. Secondo il rapporto di Eurostat, nel corso del 2023, il 36% degli europei tra i 16 e i 74 anni che utilizzano Internet, hanno modificato le configurazioni del proprio browser per evitare il monitoraggio delle proprie attività online, come profilazione delle abitudini di navigazione con fini di marketing. Questo avviene attraverso l'utilizzo di diverse tecnologie, come i famosissimi cookie, che permettono di registrare le pagine visitate, i click effettuati, i tempi di permanenza e altri dati utili a ricostruire il profilo dell'utente. Le informazioni raccolte possono essere utilizzate per diversi scopi, come migliorare l'esperienza di navigazione, personalizzare la pubblicità o analizzare il comportamento degli utenti. D’altro canto questa pratica limita l’anonimato delle persone che navigano e profila l’utente, proponendo annunci personalizzati ma anche volutamente
Enel Energia, sanzione record da 79 milioni di euro per violazione della privacy nei trattamenti dei dati degli utenti
Il Garante Privacy ha inflitto a Enel Energia una sanzione di oltre 79 milioni di euro per le gravi carenze nei trattamenti dei dati personali di numerosi utenti del settore dell’energia elettrica e del gas, realizzati ai fini di telemarketing. Il procedimento ha tratto origine da un’indagine della Guardia di finanza a seguito della quale l’Autorità aveva a suo tempo già applicato a quattro società sanzioni per 1 milione e 800mila euro e confiscato alcune banche dati utilizzate per attività illecite. Dagli ulteriori accertamenti svolti dal Garante è emerso che Enel Energia aveva acquisito ben 978 contratti dalle quattro società, nonostante queste non appartenessero alla rete di vendita della compagnia energetica. Inoltre, a seguito di successive ispezioni presso Enel Energia, l’Autorità ha accertato che i sistemi informativi destinati alla gestione dei clienti e all’attivazione dei servizi da parte della compagnia mostravano gravi carenze di sicurezza. Enel non aveva messo in atto tutte le necessarie misure
Antivirus prometteva di proteggere la privacy degli utenti ma in realtà faceva l’esatto opposto, Avast sanzionata per 16,5 milioni di dollari
La Federal Trade Commission ha inflitto una multa di 16,5 milioni di dollari ad Avast per aver raccolto e venduto i dati di navigazione degli utenti senza renderli consapevoli e senza chiedere il loro consenso. L’agenzia governativa degli Stati Uniti ha inoltre imposto alla software house di interrompere questa pratica. Avast prometteva di proteggere la privacy degli utenti con i suoi prodotti, ma in realtà faceva l’esatto opposto La FTC accusa Avast di aver ingannato gli utenti affermando che il software antivirus avrebbe protetto la privacy degli utenti bloccando il tracciamento da parte di terzi, non informandoli però adeguatamente che avrebbe venduto i loro dati di navigazione dettagliati e riconoscibili. Questi dati erano stati poi venduti dalla sussidiaria Jumpshot ad oltre 100 aziende di terze parti a scopo pubblicitario e marketing. All’epoca, Avast aveva oltre 435 milioni di utenti nel mondo. Jumpshot ha avuto accesso ai dati di oltre 100 milioni di dispositivi,
Centro di medicina estetica viola la privacy di un paziente pubblicando il suo volto riconoscibile su Instagram
Riconosce il proprio volto in un video postato sul profilo social del centro di medicina estetica dove si era sottoposto ad alcuni trattamenti al naso. Si rivolge al Garante Privacy che sanziona il centro medico con una multa di 8mila euro per trattamento illecito di dati sanitari. L’Autorità ha accertato che effettivamente il video, postato dal centro medico per scopi divulgativi, riprendeva il volto riconoscibile del paziente per più di 30 secondi, senza che l’interessato avesse rilasciato uno specifico consenso alle riprese e alla relativa diffusione. Inoltre, il filmato era rimasto online accessibile a chiunque per 45 giorni, prima di venire rimosso dal centro medico a seguito della richiesta di cancellazione del paziente. Con il provvedimento sanzionatorio, l’Autorità ha ribadito che è necessario prestare particolare attenzione nel diffondere immagini e informazioni riferite a casi clinici per scopi divulgativi o scientifici. Prima di farlo, occorre sempre accertarsi che il paziente sia stato preventivamente informato, abbia
La privacy non è un diritto assoluto del lavoratore ma il trattamento dei suoi dati personali deve essere ridotto al minimo necessario
Con riferimento alla materia del lavoro, la disciplina di protezione dei dati personali prevede che il datore di lavoro può trattare i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1 del Regolamento UE 2016/679), dei dipendenti se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c), 9, par. 2, lett. b), e 4, e 88 del GDPR). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento” ovvero, quando “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del