Profilazione illecita: H&M multata per 35 milioni di euro per raccolta di informazioni sulla vita privata dei propri dipendenti

2020-10-12T10:44:44+02:0030 Set 2020|Categorie: Articolo, In evidenza|Tag: , , , |

Il 1° ottobre 2020, la Commissione per la protezione dei dati e la libertà di informazione di Amburgo (l'“Autorità”) ha comminato una sanzione pari a circa 35 milioni di euro nei confronti della nota società di moda H&M Hennes & Mauritz Online Shop A.B. & Co KG (la “Società” o “H&M”) per aver monitorato e profilato diverse centinaia di dipendenti, dando luogo quindi a una grave violazione dei diritti dei dipendenti stessi. I FATTI CONTESTATI   A partire dal 2014, la Società ha avviato un’operazione di raccolta di informazioni relative alla vita privata dei dipendenti, finalizzata alla creazione di profili personali ben dettagliati da utilizzare o tenere in considerazione sia per la valutazione della performance lavorativa dei dipendenti, sia nell’ambito di decisioni riguardanti il loro impiego. La Società ha ottenuto tali informazioni attraverso le cd. “Welcome back talks” con i dipendenti, organizzate dalla stessa a seguito di vacanze o assenze per motivi di salute in occasione delle quali i dipendenti erano chiamati a condividere con i propri referenti aziendali dettagli della loro vita privata, come ad esempio racconti delle vacanze e delle esperienze ivi vissute o informazioni inerenti al proprio stato di salute e quindi eventuali sintomi e diagnosi di [...]

Operatori telefonici e trattamenti per finalità promozionali: il Garante Privacy sanziona Wind Tre S.p.A. per 17 milioni di Euro

2020-07-30T18:04:08+02:0030 Lug 2020|Categorie: Articolo|Tag: , , , |

L’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”), nell’ambito dello svolgimento della sua attività di controllo e a seguito di numerose segnalazioni e reclami da parte degli interessati, con il provvedimento n. 143 del 9 luglio 2020 (il “Provvedimento”), ha irrogato nei confronti della società Wind Tre S.p.A. (la “Società” o “Wind Tre”) una sanzione pari a circa 17 milioni di Euro per trattamenti illeciti di dati personali posti in essere dalla stessa, legati prevalentemente, ma non esclusivamente, ad attività promozionali.   In aggiunta, il Provvedimento ha comportato la determinazione della sanzione nei confronti della Società anche alla luce di alcuni trattamenti illeciti effettuati da quest’ultima emersi a seguito di un secondo e parallelo procedimento istruttorio, avviato a seguito di segnalazioni pervenute all’Autorità, inerente alcuni aspetti delle attività promozionali poste in essere per conto della stessa dalla filiera di subagenti e partner commerciali della Società (il “Procedimento Parallelo”). Il Procedimento Parallelo ha determinato l’irrogazione di una sanzione pari a 200 mila Euro – nonché il conseguente divieto di utilizzo dei dati raccolti e trattati – nei confronti di uno dei partner di Wind Tre, il quale aveva sub-affidato intere fasi dei trattamenti effettuati ad alcuni [...]

Commissione UE: guida sulle app per la lotta contro il COVID-19 e protezione dei dati personali

2020-05-07T17:25:31+02:0018 Apr 2020|Categorie: Articolo|Tag: , , , , |

La Commissione europea (la "Commissione UE") ha pubblicato la guida “Guidance on Apps supporting the fight against COVID-19 pandemic in relation to data protection” (la “Guida”) che segue alla recente pubblicazione della raccomandazione su un approccio comune dell’Unione europea per l’uso di applicazioni mobili e di dati da dispositivi mobili e accompagna il c.d. “toolbox UE” sulle applicazioni di contact tracing. La Guida mira ad offrire il quadro di riferimento necessario per garantire ai cittadini una sufficiente protezione dei loro dati personali e la limitazione di misure invasive nell’uso delle applicazioni mobili di contact tracing (“App”). Il Comitato europeo per la protezione dei dati personali è stato consultato sulla Guida e ha espresso le proprie considerazioni in una lettera pubblicata in data 14 aprile 2020. La Guida si concentra sulle App basate su adesione volontaria con una o più delle seguenti funzionalità: informazioni accurate per gli utenti sul COVID-19; questionari per l’autovalutazione e una guida per gli utenti (i.e. funzionalità di verifica dei sintomi); avvisi per gli utenti che si sono trovati in prossimità di una persona infetta per sottoporsi al test o per l’autoisolamento (i.e. funzionalità di tracciamento dei contatti e di avviso); un forum di comunicazione tra i [...]

Audizione informale del Presidente del Garante Privacy sull’uso delle nuove tecnologie e della rete nell’ambito del COVID-19

2020-05-07T17:16:59+02:0010 Apr 2020|Categorie: Articolo|Tag: , , , |

In data 8 aprile 2020 si è tenuta l’audizione informale del presidente dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), Antonello Soro, alla Camera dei Deputati sull’uso delle nuove tecnologie e della rete per contrastare la diffusione del COVID-19. In particolare, l’intervento del Garante Privacy si è concentrato sui seguenti aspetti: deroghe e misure limitative della protezione dei dati personali; misure relative alla raccolta dei dati sull’ubicazione o sull’interazione dei dispositivi mobili dei soggetti risultati positivi, con altri dispositivi, al fine di analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi, tramite gps, bluetooth e droni; contact tracing. In riferimento alle diverse misure ipotizzabili per il monitoraggio dei soggetti risultati positivi, il Garante Privacy raccomanda di privilegiare un criterio di gradualità al fine di valutare misure meno invasive ma sufficienti per la prevenzione epidemiologica. Sarebbe, altresì, preferibile il ricorso a sistemi fondati sulla volontaria adesione dei singoli, quale un’app bluetooth, che permettano il tracciamento della propria posizione, purché il consenso al trattamento dei dati non risulti in alcun modo condizionato (pertanto, non connesso all’erogazione di servizi ma alla tutela della salute). Con riferimento alla conservazione dei dati rilevati, in vista del loro eventuale, successivo utilizzo per allertare [...]

Autorità di controllo svedese sanziona Google per violazione del diritto alla cancellazione

2020-03-20T10:18:28+01:0020 Mar 2020|Categorie: Articolo|Tag: , , |

L’Autorità di controllo svedese (“Autorità di controllo”) ha irrogato una sanzione amministrativa di 75 milioni di corone svedesi (circa 7 milioni di Euro) a Google, in qualità di operatore di motore di ricerca, per non aver adempiuto agli obblighi previsti dal Regolamento generale UE sulla protezione dei dati personali 679/2016 (“GDPR”) in materia di diritto alla cancellazione, e più specificamente, alla deindicizzazione (c.d. delisting), ossia il diritto dei soggetti interessati a chiedere e ottenere la rimozione dai risultati di ricerca ove le informazioni che li riguardano non siano più aggiornate, accurate o rilevanti. L’Autorità di controllo ha condotto rispettivamente due indagini sulle modalità tramite cui Google gestisce il diritto dei soggetti interessati alla rimozione dei risultati di ricerca. Nel 2017, l’Autorità di controllo ha rilevato che diversi risultati delle ricerche su Google dovevano essere eliminati e ha pertanto ingiunto a Google di rimuoverli. Nel 2018, a seguito di alcune segnalazioni di cittadini svedesi in base alle quali Google non aveva pienamente  rispettato l’ingiunzione emessa in quanto la rimozione dall’elenco dei risultati di ricerca non era stata effettuata in due casi, l’Autorità di controllo ha avviato una seconda indagine, asserendo la violazione dell’art. 17 GDPR da parte di Google. L’Autorità di [...]

Autorità di controllo croata: sanziona un istituto di credito per violazione del diritto di accesso dei soggetti interessati

2020-03-29T12:40:36+02:0018 Mar 2020|Categorie: Articolo|Tag: , , , |

L’autorità croata per la protezione dei dati personali (“AZOP”) ha irrogato una sanzione amministrativa di 20 milioni di Euro ad un istituto di credito per aver negato il diritto di accesso dei soggetti interessati, riconosciuto loro dall’art. 15 del Regolamento UE 679/2016 (“GDPR”). A partire da ottobre 2018, l’AZOP ha ricevuto numerosi reclami da parte di soggetti interessati riguardanti uno degli istituti di credito croati con sede a Zagabria. Attraverso questi reclami, i soggetti interessati chiedevano all’istituto di credito di ricevere una copia dei loro dati personali. Tale richiesta, però, veniva sempre respinta. Ai sensi dell'articolo 15, paragrafi 1 e 3 del GDPR, i soggetti interessati possono esercitare il diritto di accesso ai propri dati personali, richiedendo la copia della documentazione di credito relativa alle carte contabili, i piani di rimborso e la revisione delle variazioni dei tassi di interesse nell’ambito dei prestiti bancari, ovvero tutti documenti contenenti dati personali dell’interessato. Ciò nonostante, l’istituto di credito ha deciso di non dare seguito alla richiesta di accesso ai dati personali avanzata dai soggetti interessati, affermando che, ai sensi della legge sul credito al consumo e di altri regolamenti specifici, non vi era alcun obbligo di fornire l’accesso a tale documentazione dato [...]

Coronavirus: Garante Privacy, no a iniziative “fai da te” nella raccolta dei dati di soggetti pubblici e privati

2020-03-06T11:22:08+01:0002 Mar 2020|Categorie: In evidenza|Tag: , , |

A seguito dell’emergenza “Coronavirus”, l'Autorità Garante per la protezione dei dati personali (“Garante Privacy”) ha ricevuto numerosi quesiti da parte di soggetti, sia pubblici che privati, in merito alla possibilità di raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio. I datori di lavoro hanno altresì richiesto di poter raccogliere un’autodichiarazione dei dipendenti, nella quale affermano di non avere sintomi influenzali. In particolare, il Garante Privacy segnala che la normativa d’urgenza, adottata nelle ultime settimane, prevede che chiunque negli ultimi 14 giorni abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, sia tenuto a comunicarlo, anche per il tramite del medico di base, alla azienda sanitaria territoriale, la quale provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario. Pertanto, il Garante Privacy precisa che i datori di lavoro devono astenersi dal raccogliere informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. Tale raccolta, infatti, risulterebbe sistematica e generalizzata e permetterebbe al datore di lavoro di effettuare indagini non consentite. La finalità di [...]

Garante Privacy: sanziona l’Università degli Studi di Roma “La Sapienza” per la divulgazione dei dati personali dei segnalanti di condotte illecite-23 gennaio 2020

2020-03-06T11:36:02+01:0020 Feb 2020|Categorie: Articolo|Tag: , , , |

Il caso sottoposto all’esame dell’Autorità Garante per la protezione dei dati personali: Nel dicembre 2018 l’Università degli Studi di Roma La Sapienza (“Ateneo”) notificava all’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) l’avvenuta diffusione di dati personali trattati per il tramite della piattaforma che l’Ateneo utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi nell’ambito della disciplina del c.d. whistleblowing. In particolare, si dichiarava che era intervenuta una dispersione di dati personali comuni – nome, cognome, sede, telefono, e-mail del segnalante, data della segnalazione - relativi a due segnalanti che avevano utilizzato la piattaforma whistleblowing. Inoltre, tali dati erano stati indicizzati da alcuni motori di ricerca fintanto che l’Ateneo, edotto del problema, era intervenuto per farli deindicizzare e cancellare le relative copie cache.   Le risultanze dell’attività istruttoria: A seguito dell’attività istruttoria emergeva che l’Ateneo aveva correttamente notificato la violazione dei dati personali al Garante Privacy entro le 72 ore dal momento in cui veniva a conoscenza del fatto e che i dati personali interessati dal data breach non rientravano nell’ambito di categorie particolari di dati trattandosi di dati personali comuni, mentre il contenuto delle segnalazioni non veniva in [...]

Marketing: il Garante privacy sanziona Tim S.p.A. per 27 milioni e 800 mila Euro

2020-03-06T11:21:26+01:0002 Feb 2020|Categorie: In evidenza|Tag: , , , |

L'Autorità Garante per la protezione dei dati personali (il “Garante Privacy”) ha irrogato una sanzione pari a 27 milioni e 800 mila Euro nei confronti di TIM S.p.A. (“TIM” o la “Società”) a seguito di numerosi trattamenti effettuati, nell’ambito di attività di marketing, in violazione delle norme del Regolamento UE 679/2016 (“GDPR”), in considerazione, altresì, dell’elevato numero di soggetti coinvolti. SEGNALAZIONI E RECLAMI Nel periodo compreso tra gennaio 2017 e i primi mesi del 2019, il Garante Privacy ha ricevuto numerose segnalazioni e reclami relativi a: chiamate indesiderate effettuate (i) senza il consenso degli interessati; (ii) nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni; e (iii) anche a seguito dell’esercizio del diritto di opposizione nei confronti di TIM; mancato riscontro alle richieste di esercizio, in particolare, dei diritti di accesso e di opposizione al trattamento per finalità promozionali formulate dagli interessati; mancata richiesta del consenso per finalità di marketing (il cui rilascio è obbligatorio) in sede di attivazione del programma “TIM Party”; raccolta di un consenso unico e indistinto per i trattamenti di dati effettuati per diverse finalità (quali, a titolo esemplificativo, finalità statistiche, di profilazione e di marketing). ATTIVITÀ ISTRUTTORIA DEL GARANTE PRIVACY A seguito delle segnalazioni [...]

Sanzione del Garante Privacy contro Eni Gas e Luce S.p.A.

2020-03-06T14:51:45+01:0023 Gen 2020|Categorie: Articolo|Tag: , , , |

L'Autorità Garante per la protezione dei dati personali (il "Garante Privacy") ha irrogato due sanzioni, per complessivi 11,5 milioni di Euro, nei confronti di Eni Gas e Luce S.p.A (“Eni”) a seguito di violazioni commesse nell'ambito di attività promozionali e della conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Nella determinazione delle sanzioni, sono stati considerati i criteri indicati nel Regolamento UE 679/2016 (il “GDPR”), quali l’elevato numero dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione e le condizioni economiche di Eni. Telemarketing e teleselling La prima sanzione di 8,5 milioni di Euro concerne trattamenti illeciti nelle attività di telemarketing e teleselling. Tali attività sono state svolte da Eni mediante una rete di agenzie, nominate responsabili del trattamento dei dati personali le quali contattavano telefonicamente gli interessati, utilizzando delle liste di anagrafiche presenti nella customer base societaria, ovvero acquistate da list provider (che a loro volta potevano acquisirle da soggetti terzi denominati “editori”), oppure auto-generate tramite la compilazione, da parte degli stessi interessati, di appositi form presenti sul sito di Eni. Le liste acquistate dai list provider/editori includevano sia numeri presenti nel Database Unico degli abbonati ai servizi di telefonia fissa [...]

Bozza di posizione del Consiglio dell’Unione Europea sull’applicazione del GDPR

2020-03-06T15:08:08+01:0021 Gen 2020|Categorie: Articolo|Tag: , , |

Recentemente i membri delle Rappresentanze permanenti degli Stati membri dell’UE presso il Consiglio dell’Unione europea (il “Consiglio”) hanno pubblicato una bozza di posizione sull'applicazione del Regolamento UE 679/2016 (il “GDPR”). Dopo che tale progetto sarà stato formalmente adottato dal Consiglio, sarà trasmesso alla Commissione Europea (la “Commissione”). Ciò fa parte del processo di valutazione del GDPR ai sensi dell'articolo 97 dello stesso, che prevede che la Commissione pubblichi una relazione sulla valutazione e la revisione del GDPR entro il 25 maggio 2020. La bozza di posizione riconosce che il GDPR ha rafforzato la protezione dei dati personali, ma ritiene che vi siano ancora alcune questioni che richiedono un miglioramento, anche nei seguenti settori: ambito di applicazione della revisione del GDPR: sebbene l'articolo 97, paragrafo 2, del GDPR imponga alla Commissione di esaminare in particolare le questioni GDPR relative ai trasferimenti internazionali di dati e al meccanismo di cooperazione e coerenza tra le autorità di controllo, il Consiglio invita la Commissione a condurre una revisione più completa del GDPR al di là di quanto specificamente menzionato nell'articolo 97; consenso dei minori: il margine lasciato agli Stati membri dell’UE per stabilire le proprie norme in relazione all'età del consenso dei minori ha [...]

ICO sanziona una farmacia per l’archiviazione imprudente dei dati dei clienti

2020-03-06T15:14:17+01:0020 Dic 2019|Categorie: Senza categoria|Tag: , |

Il Garante Privacy inglese (l’”ICO”) ha multato Doorstep Dispensaree Ltd. (“Doorstep”), una farmacia con sede a Londra, con una sanzione di 275 mila Sterline per non aver garantito la sicurezza di categorie particolari di dati e per non aver informato adeguatamente i soggetti interessati. In particolare, sono stati violati rispettivamente i seguenti articoli del Regolamento UE 679/ 2016 ("GDPR"): artt. 5.1 (f), 24 (1), 32 del GDPR, in quanto Doorstep non ha attuato le misure organizzative adeguate per garantire la sicurezza dei dati personali da essa trattati; artt. 13 e 14 del GDPR, in quanto Doorstep non ha fornito ai soggetti interessati tutte le informazioni ivi richieste (es. non sono indicate le basi giuridiche del trattamento, le categorie di dati personali trattati, i destinatari degli stessi). Si tratta della prima sanzione amministrativa emessa dall’ICO ai sensi del GDPR, entrato in vigore il 25 maggio 2018. Doorstep , farmacia che fornisce medicinali ai clienti e alle case di cura, ha lasciato circa 500.000 documenti in contenitori sul retro della sua sede in Edgware senza alcuna misura di sicurezza. I documenti includevano nomi, indirizzi, date di nascita, informazioni mediche e prescrizioni appartenenti a un numero indefinito di persone. I documenti, alcuni dei quali non [...]

Manuale sul diritto europeo in materia di protezione dei dati

2019-05-20T10:41:34+02:0020 Mag 2019|Categorie: Articolo|Tag: , |

L’Agenzia dell’Unione Europea per i Diritti Fondamentali ha pubblicato la seconda edizione del “Manuale sul diritto europeo in materia di protezione dei dati”. Il Garante Privacy ha collaborato alla realizzazione della versione italiana (disponibile qui). Il Manuale fornisce una panoramica dell'attuale quadro giuridico applicabile a livello europeo in materia di protezione dei dati personali, tenendo conto degli ultimi rilevanti sviluppi normativi (GDPR e la Convenzione 108/81 rivista) nonché della giurisprudenza, ivi incluse le principali sentenze sia della Corte di giustizia dell'Unione europea che della Corte europea dei diritti dell'uomo.

Regolamento UE 2016/679

2019-05-07T16:35:59+02:0027 Apr 2016|Tag: |

Regolamento del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (c.d. "Regolamento generale sulla protezione dei dati" o "GDPR").

Torna in cima