Telemarketing e illecito trattamento di dati personali: il Garante Privacy sanziona Vodafone per oltre 12 milioni di euro

2020-11-23T10:04:07+01:0023 Nov 2020|Categorie: Articolo, In evidenza|Tag: , , , , , , |

L’Autorità garante per la protezione dei dati personali (“Garante Privacy” o “Autorità”) - con il provvedimento n. 224 del 12 novembre 2020 - ha irrogato a Vodafone Italia S.p.A. (“Vodafone” o “Società”) una sanzione pecuniaria pari a 12.251.601 euro per aver trattato in modo illecito i dati personali di milioni di utenti a fini di telemarketing. La sanzione è stata comminata all’esito di una complessa istruttoria avviata dal Garante Privacy a seguito di centinaia di segnalazioni e reclami inviati da interessati, che lamentavano continui contatti telefonici indesiderati effettuati dalla Società per promuovere i propri servizi di telefonia e internet. Gli accertamenti svolti dall’Autorità hanno evidenziato importanti criticità “di sistema”, che riguardano la violazione di numerose previsioni del Regolamento (UE) 2016/679 (“Regolamento” o “GDPR”), tra cui i principi di privacy by design (art. 25, GDPR)[1] e di responsabilizzazione (art. 24, GDPR)[2], nonché l’obbligo di adottare idonee misure di sicurezza (art. 32, GDPR)[3]. In particolare, nel corso dell’istruttoria è emerso che la Società non ha implementato controlli sulla filiera dei dati personali acquisiti nella fase di promozione dei servizi, idonei a escludere contatti provenienti da numerazioni sconosciute (riconducibili al “sottobosco” dei call center abusivi) e, in generale, a garantire la correttezza dell’attività [...]

Profilazione illecita: H&M multata per 35 milioni di euro per raccolta di informazioni sulla vita privata dei propri dipendenti

2020-10-12T10:44:44+02:0030 Set 2020|Categorie: Articolo, In evidenza|Tag: , , , |

Il 1° ottobre 2020, la Commissione per la protezione dei dati e la libertà di informazione di Amburgo (l'“Autorità”) ha comminato una sanzione pari a circa 35 milioni di euro nei confronti della nota società di moda H&M Hennes & Mauritz Online Shop A.B. & Co KG (la “Società” o “H&M”) per aver monitorato e profilato diverse centinaia di dipendenti, dando luogo quindi a una grave violazione dei diritti dei dipendenti stessi. I FATTI CONTESTATI   A partire dal 2014, la Società ha avviato un’operazione di raccolta di informazioni relative alla vita privata dei dipendenti, finalizzata alla creazione di profili personali ben dettagliati da utilizzare o tenere in considerazione sia per la valutazione della performance lavorativa dei dipendenti, sia nell’ambito di decisioni riguardanti il loro impiego. La Società ha ottenuto tali informazioni attraverso le cd. “Welcome back talks” con i dipendenti, organizzate dalla stessa a seguito di vacanze o assenze per motivi di salute in occasione delle quali i dipendenti erano chiamati a condividere con i propri referenti aziendali dettagli della loro vita privata, come ad esempio racconti delle vacanze e delle esperienze ivi vissute o informazioni inerenti al proprio stato di salute e quindi eventuali sintomi e diagnosi di [...]

Operatori telefonici e trattamenti per finalità promozionali: il Garante Privacy sanziona Wind Tre S.p.A. per 17 milioni di Euro

2020-07-30T18:04:08+02:0030 Lug 2020|Categorie: Articolo|Tag: , , , |

L’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”), nell’ambito dello svolgimento della sua attività di controllo e a seguito di numerose segnalazioni e reclami da parte degli interessati, con il provvedimento n. 143 del 9 luglio 2020 (il “Provvedimento”), ha irrogato nei confronti della società Wind Tre S.p.A. (la “Società” o “Wind Tre”) una sanzione pari a circa 17 milioni di Euro per trattamenti illeciti di dati personali posti in essere dalla stessa, legati prevalentemente, ma non esclusivamente, ad attività promozionali.   In aggiunta, il Provvedimento ha comportato la determinazione della sanzione nei confronti della Società anche alla luce di alcuni trattamenti illeciti effettuati da quest’ultima emersi a seguito di un secondo e parallelo procedimento istruttorio, avviato a seguito di segnalazioni pervenute all’Autorità, inerente alcuni aspetti delle attività promozionali poste in essere per conto della stessa dalla filiera di subagenti e partner commerciali della Società (il “Procedimento Parallelo”). Il Procedimento Parallelo ha determinato l’irrogazione di una sanzione pari a 200 mila Euro – nonché il conseguente divieto di utilizzo dei dati raccolti e trattati – nei confronti di uno dei partner di Wind Tre, il quale aveva sub-affidato intere fasi dei trattamenti effettuati ad alcuni [...]

Sanzione del Garante Belga: DPO e conflitti di interesse nel contesto aziendale

2020-07-06T10:21:14+02:0014 Mag 2020|Categorie: Articolo, In evidenza|Tag: , , , |

In data 28 aprile 2020, l'Autorità belga per la protezione dei dati personali (l’"Autorità Garante Belga" o l’”Autorità”) ha irrogato una sanzione pari a 50 mila Euro nei confronti di una azienda belga (l’”Azienda”) per violazione dei requisiti di indipendenza necessari per lo svolgimento della funzione di “Data Protection Officer” (“DPO”) e conseguente sussistenza di un conflitto di interessi in capo al DPO, come previsto dall’art. 38, co. 6 del Regolamento UE 679/2016 (“GDPR”). Normativa di riferimento applicabile al DPO Al fine di meglio inquadrare il caso di specie, si precisa che gli artt. 37 -39 del GDPR disciplinano la figura del DPO, specificando i casi in cui è necessario nominarlo, le modalità, le sue funzioni, nonché i requisiti necessari per ricoprire tale ruolo in conformità con la normativa. Tra le disposizioni previste, rileva l’art. 37, co. 6 del GDPR, il quale prevede che gli enti possano nominare tanto un dipendente, quanto un soggetto esterno che svolga le sue funzioni in base ad un contratto di servizi. Inoltre, l’art. 38, co. 6 del GDPR precisa che il DPO possa svolgere altri compiti e funzioni ma, in questo caso, è necessario che il titolare del trattamento garantisca un’assoluta mancanza di conflitto [...]

Torna in cima