Sanzione da due milioni di euro per mancata trasparenza.
Due milioni di euro di sanzione al Jö Bonus Club per violazione del Gdpr nella profilazione di circa 2,3 milioni di utenti nell’ambito del proprio programma di fidelizzazione dei clienti di Rewe (Billa, Bipa, Penny Market, Adeg), OMV e altri nove partner. Secondo quanto riporta il quotidiano online Der Standard, l’autorità per la protezione dei dati austriaca avrebbe contestato le dichiarazioni di consenso riportate nelle informative dei moduli di iscrizione per ricevere le carte fedeltà del club, che non indicavano chiaramente agli utenti che nel caso in cui avessero acconsentito sarebbero stati soggetti a profilazione online. Infatti, nelle opzioni di consenso disponibili veniva fatto riferimento alla possibilità di ricevere "vantaggi e promozioni esclusivi", dando l’impressione agli utenti che accettando avrebbero ottenuto sconti e buoni, mentre in realtà si trattava di un consenso alla profilazione non evidenziato con sufficiente chiarezza, e quindi in violazione del principio di trasparenza richiesto dall’art.5 del Gdpr, dando così
Sanzionato noto quotidiano francese per violazione GDPR
Il quotidiano francese “Le Figaro” è stato sanzionato per 50.000 euro dall'autorità di controllo per la protezione dei dati nazionale (CNIL) a seguito di alcune segnalazioni ricevute per cui il sito web del noto editore avrebbe installato cookie pubblicitari di terze parti sui dispositivi degli utenti senza il loro consenso, e che quindi sarebbero stati profilati a loro insaputa. La Commission Nationale de l'Informatique et des Libertés ha così imposto le sanzioni dopo che gli accertamenti condotti tra il 2020 e il 2021 avevano rivelato che effettivamente i cookie venivano automaticamente posizionati sui computer dei visitatori del sito lefigaro.fr, senza che venissero avvisati o chiedendo alcun consenso. Data la quantità di dati personali che spesso raccolgono i cookie, il GDPR richiede che i siti web acquisiscano il consenso degli utenti prima che essi vengano installati su computer e dispositivi degli utenti. Sempre a norma del Regolamento europeo sulla protezione dei dati personali, i
La ASL deve trasmettere i dati dei positivi al Covid-19 e li spedisce alla email generica
L'elenco delle persone in quarantena non può essere spedito dall'Asl ad un indirizzo generico del comune accessibile da qualunque dipendente. Lo ha chiarito il Garante della Privacy con provvedimento del 13 maggio 2021. Un comune ha segnalato all'autorità la possibile violazione della disciplina in materia di corretto trattamento dei dati personali da parte di una Asl piemontese che ha inviato l'elenco delle persone contagiate ad un indirizzo email del municipio pubblicato nella pagina dei contatti del sito del comune, accessibile a tutti i dipendenti. All'esito dell'attività istruttoria l'autorità ha riscontrato un effettivo trattamento illecito di dati personali ammonendo l'Asl ad una maggiore diligenza organizzativa. Ma senza applicare sanzioni amministrative. E' ben vero che il comune deve essere necessariamente coinvolto nell'iter di un provvedimento di profilassi sanitaria, specifica il collegio. Ma l'Asl non può comunicare dati personali particolari utilizzando una mail generica. L'Asl si è quindi organizzata in maniera più strutturata per assicurare il
Navigazione internet, non basta l’accordo sindacale: il lavoratore deve essere informato
In un recente provvedimento l’Autorità Garante ha sanzionato un Comune per aver implementato un sistema di controllo della navigazione in internet senza aver reso ai lavoratori una informativa ai sensi dell’articolo 13 del Regolamento UE 679/2016. Il caso affrontato dal Garante ha preso spunto da una sanzione disciplinare irrogata a un lavoratore pubblico che utilizzava il computer del Comune, per finalità non lavorative. In particolare, per aver consultato Facebook, Youtube e altre pagine web. Dagli accertamenti del Garante è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Il trattamento sarebbe avvenuto in assenza di un’informativa ai dipendenti in merito ai possibili controlli sugli accessi ad Internet da parte del datore di lavoro. Infatti, nel corso delle verifiche era emerso che,
I dati sanitari di una dipendente finiscono online, sanzionato un istituto scolastico
L’Autorità Garante è tornata sull’annosa questione del precario equilibrio tra obblighi di trasparenza, in capo alle PP.AA. – lato sensu – e i diritti degli interessati, infliggendo una sanzione amministrativa di Euro 2.000 per trattamento illecito dei dati personali con il provvedimento n. 255 del 24 giugno 2021. Il caso in questione riguarda la violazione dei diritti di una dipendente che vedeva pubblicati, nella sezione “Trasparenza Amministrativa” del sito internet dell’Istituto Scolastico, alcuni suoi dati personali riguardanti, in particolare, informazioni relative lo stato di salute (dati sanitari). I dati in questione erano stati caricati dalla stessa dipendente all’interno del portale intranet dell’Istituto a corredo di una propria domanda/istanza e ‘flaggati’ dal personale amministrativo dell’Istituto scolastico come documenti accessibili al pubblico e di libera consultazione. A seguito della segnatura quali documenti pubblici, i dati erano raggiungibili sia dalla pagina internet della scuola sia attraverso i motori di ricerca, in particolare Google, nei quali inserendo
Data Retention: Urgente una riforma
Il Garante per la protezione dei dati personali ha inviato una segnalazione al Parlamento e al Governo con la quale chiede di valutare l’opportunità di una riforma della disciplina della conservazione dei dati di traffico telefonico e telematico a fini di giustizia. La modifica più volte sollecitata dall’Autorità si è resa ora ulteriormente necessaria a seguito della sentenza della CGUE del 2 marzo scorso (causa C-746/18). Tale pronuncia, infatti, sviluppa e precisa un indirizzo già consolidato, a partire dalla sentenza Digital Rights Ireland dell’8 aprile 2014 con cui la Corte di Giustizia ha dichiarato l’illegittimità della direttiva 2006/24/Ce in materia di data retention per violazione del principio di proporzionalità nel bilanciamento tra protezione dati ed esigenze di pubblica sicurezza. Una carenza di proporzionalità che nel caso italiano è stata ulteriormente accentuata dalla legge 167/2017 che ha esteso a sei anni il termine massimo di conservazione dei tabulati prima stabilito in due anni per i
Le app per combattere le dipendenze da sostanze condividono dati personali degli utenti con Google e Facebook
App utilizzate da migliaia di persone in cerca di supporto per guarire dalla dipendenza da oppiacei accedono a informazioni personali sensibili e possono inviarle a Google e Facebook, che a loro volta sono in grado di identificare gli utenti. A renderlo noto è il Financial Times menzionando una ricerca pubblicata nei giorni scorsi da ExpressVPN Digital Security Lab, che ha esaminato il codice sorgente di 10 di queste applicazioni Android scoprendo che molte di esse stavano accedendo a dati privati come il numero di telefono, l’operatore telefonico e l’indirizzo IP dell’utente. Dopo essere state aggregate, queste informazioni possono essere infatti utilizzate per identificare gli utenti, i quali potrebbero essere presi di mira da terze parti come inserzionisti o autorità di paesi in cui l’uso di droghe è punito dalla legge. In alcuni casi, è stato scoperto che informazioni come i dati Gps sulla posizione dell’utente vengono condivise con Facebook e altre terze parti. La pubblicazione
Dipendente asporta informazioni di diecimila pazienti
Le aziende investono sempre più risorse in cybersicurezza per proteggere i loro dati, ma non sempre chi li viola è un hacker, e non sempre chi se ne appropria è un malintenzionato che attacca dall’esterno. Anzi, più del 50% delle organizzazioni intervistate nell’ambito di uno studio di Cyber Security Researcher hanno confermato che gli attacchi che hanno subìto a danno dei propri sistemi informatici sono avvenuti dall’interno. Ne è un esempio il caso di un dipendente del reparto IT di un centro di ricerca clinica per la diagnosi di malattie genetiche rare, che prima di lasciare il suo posto di lavoro ha copiato tutte le informazioni sensibili di 10.000 pazienti sia adulti che bambini. A dare notizia del data breach è stata l’autorità di controllo turca (KVKK) che, secondo quanto previsto dalla Legge nazionale sulla protezione dei dati personali n. 6698/2016, nei giorni scorsi ha pubblicato un comunicato stampa per rendere nota
Chiave elettronica dell’auto: le informazioni sono dati personali
Con l'affermarsi dei Big Data si espande anche la nozione di "dati personali" e dunque la necessità che il relativo trattamento avvenga nel rispetto della Privacy. Con una decisione inedita, la n. 19270/2021, la Corte di Cassazione ha infatti accolto, con rinvio, il ricorso di un automobilista che chiedeva la condanna di una nota casa automobilistica tedesca al risarcimento di tutti i danni, patrimoniali e non patrimoniali, subiti per aver rilasciato un duplicato della chiave elettronica dell'auto a un truffatore. La macchina è stata poi rubata ma il contenzioso davanti alla Suprema corte riguarda la cessione a terzi di un dispositivo – la chiave elettronica appunto – contenente una serie di dati in grado fornire informazioni sul soggetto proprietario. II Tribunale, invece, aveva rigettato la domanda non ravvisando alcun illecito trattamento "poiché il numero di telaio era già in possesso del truffatore, allorché questi si era recato dal concessionario". La condotta avrebbe
Cookie, non basta invocare il legittimo interesse.
Il legittimo interesse non c'entra niente con i cookie di profilazione. Ci vuole il consenso dell'interessato per mettere sui dispositivi di chi si collega a un sito web i cookie che tracciano il profilo delle persone; e non basta invocare il diverso presupposto del legittimo interesse. Finalmente è arrivata la parola definitiva del Garante della privacy, che, nelle Linee guida cookie e altri strumenti di tracciamento (provvedimento 10 giugno 2021 n. 231), ha chiarito che i banner sui cookie di profilazione non possono contenere un riferimento alla base giuridica del legittimo interesse, tralasciando il consenso. Ora gli editori dei siti internet hanno tempo fino al 10 gennaio 2022 per mettersi in regola (e cioè fino al termine accordato dallo stesso provvedimento del Garante: sei mesi di tempo decorrenti dalla pubblicazione sulla Gazzetta ufficiale delle citate Linee guida, avvenuta sul numero 163 del 9 luglio 2021). E sono molti gli interessati, in