Sanzione del Garante Privacy contro Eni luce e gas S.p.A.

Il Garante Privacy ha comminato due sanzioni, per complessivi 11,5 milioni di Euro, nei confronti di Eni luce e gas S.p.A (“Eni”) a seguito di violazioni commesse nell’ambito di attività promozionali e della conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Nella determinazione delle sanzioni, sono stati considerati i criteri indicati nel Regolamento Ue sulla protezione dei dati personali 679/2016 (il “GDPR”), quali l’elevato numero dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Eni. Si segnala che si tratta della prima sanzione irrogata dal Garante Privacy a seguito dell’entrata in vigore del GDPR. Telemarketing e teleselling: La prima sanzione di 8,5 milioni di euro concerne trattamenti illeciti nelle attività di telemarketing e teleselling. Tali attività sono svolte da Eni mediante una rete di agenzie nominate responsabili del trattamento dei dati personali le quali contattano telefonicamente gli interessati, utilizzando delle liste di anagrafiche presenti nella customer base societaria, ovvero acquistate da list provider (che a loro volta possono acquisirle da soggetti terzi denominati “editori”), oppure auto-generate tramite la compilazione, da parte degli stessi interessati, di appositi form presenti sul sito di Eni. Le liste acquistate dai list provider/editori [...]

2020-01-23T15:47:42+01:0023 Gen 2020|Categorie: In evidenza|Tag: , , , |

Garante Privacy: attività ispettive per il periodo luglio-dicembre 2019

L'Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’"Autorità") ha reso pubblico il Piano Ispettivo per il secondo semestre del 2019, ossia il periodo da luglio a dicembre 2019. L’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche tramite la Guardia di finanza riguarderà: accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di trattamenti di dati personali effettuati: mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing); da istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti; da intermediari per la fatturazione elettronica; da società per attività di marketing; da Enti pubblici, con riferimento a banche dati di notevoli dimensioni; da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione; da società rientranti nel settore del “Food Delivery”; da parte di società private in ambito sanitario. controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee relativamente a: presupposti di liceità del trattamento; condizioni per il consenso qualora il trattamento sia basato su tale presupposto; obbligo dell’informativa; durata della conservazione dei dati. L’Autorità, inoltre, presterà anche specifica attenzione a profili sostanziali del trattamento che comportano significativi effetti sugli [...]

2019-10-29T19:11:31+01:0028 Ott 2019|Categorie: Articolo, In evidenza|Tag: |

Modello di notifica di Data Breach

Il Garante per la protezione dei dati personali ha pubblicato un modello da utilizzare per la notifica di violazione dei dati personali (c.d. data breach) prevista dall'art. 33 del GDPR, disponibile qui. I titolari di trattamento dei dati personali sono tenuti a notificare al Garante le violazioni dei dati personali che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell'ambito delle comunicazioni elettroniche, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati. La notifica deve essere inviata al Garante tramite posta elettronica all'indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest'ultimo caso la notifica deve essere presentata unitamente alla copia del documento d'identità del firmatario. L'oggetto del messaggio deve contenere obbligatoriamente la dicitura “notifica violazione dati personali” e opzionalmente la denominazione del titolare del trattamento.

2019-08-08T10:48:26+02:0006 Ago 2019|Categorie: Articolo|Tag: , , |