Il 17 agosto la Autorità di protezione dei dati personali francese, la CNIL, ha comminato una sanzione di 600.000 euro alla catena alberghiera AccorHotels, che ha sede in Francia, per aver utilizzato una newsletter contenente offerte commerciali di suoi partners che veniva inviata automaticamente, senza alcun consenso esplicito da parte degli interessati e senza adeguata informativa sull’uso dei dati a tutti i clienti che avessero fatto una prenotazione direttamente presso uno dei suoi hotels o sul sito della stessa Accor per prenotare un stanza.
Per l’assunzione di vettori autonomi come prestatori di servizi, in Spagna Amazon chiedeva ai candidati vari documenti, tra cui anche un certificato di assenza di precedenti penali. E se tale prassi poteva già sembrare invasiva, il certificato di casellario giudiziale veniva pure inviato ad altre filiali della multinazionale con sede al di fuori dell'Unione Europea. Dal procedimento N. PS/00267/2020 condotto dall’autorità di controllo per la protezione dei dati iberica (AEPD) ne è infine scaturita una sanzione da 2 milioni di euro per la filiale del colosso dell’e-commerce americano.
Qualche anno fa un’ex dipendente aveva fatto causa per mobbing al Comune di Urago d’Oglio perdendo in primo grado, e l’amministrazione aveva pubblicato sul proprio sito istituzionale l’intera sentenza, nella quale vi erano dati sensibili dell’interessata, anche relativi alle sue condizioni di salute, motivo per cui la persona presentava un reclamo al Garante per la protezione dei dati personali.
I dati dei lavoratori non si trattano in base al loro consenso. Se si segue questa strada (sbagliata), al datore di lavoro può arrivare una sanzione molto salata. Come è successo a una grande società (Price Waterhouse Business Solution), sanzionata dal Garante della privacy greco a pagare 150 mila euro. Il provvedimento, n. 26/2019, si segnala anche per un altro motivo. Il Garante greco ha sanzionato per la violazione dell'articolo 5 del Gdpr, che è una disposizione formulata in maniera generalissima, tale da essere applicata per ogni violazione, piccola o grande, sostanziale o formale, anche quando non si accerta la violazione di una norma specifica.
Il recente provvedimento sanzionatorio emesso dal Garante per la Protezione dei Dati personali (provv. n. 90 dell'11 marzo 2021) consente di trarre dalla realtà concreta che quotidianamente deve affrontare chi si occupa di data protection spunti per riflettere su competenze, requisiti e qualità che un Data Protection Officer deve possedere, argomento che operativamente si riflette nelle selezioni dei DPO.
L’Autorità Garante per la protezione dei dati personali ha comminato una sanzione amministrativa pecuniaria di 100 mila euro a Banca Intesa San Paolo perché un proprio dipendente, funzionario dell’unità crediti della direzione regionale dell’istituto, aveva consultato tramite i terminali della banca i dati del conto corrente dell’ex compagna, correntista dell’istituto di credito.
Con la pubblicazione del D.Lgs. 10 agosto 2018, n. 101, si completa la prima fase del processo di adeguamento della disciplina italiana in materia di protezione dei dati personali a quella europea contenuta nel Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, com'è noto entrato in vigore lo scorso 25 maggio, che prevede un pesante apparato sanzionatorio. Il provvedimento, in vigore dal prossimo 19 settembre, arriva però con ritardo ma deve essere accolto favorevolmente in quanto armonizza le disposizioni contenute nel Codice in materia di protezione dei dati personali (D.Lgs. 196/2003), con quelle introdotte dal citato Regolamento europeo 2016/679; al tempo stesso mette anche fine anche ad alcuni rumors, risultati poi infondati, su alcune previsioni della versione definitiva del D.Lgs. n.101/2018.
Anche in materia di sanità pubblica il responsabile della protezione dei dati personali (DPO) è un mero consulente che non deve firmare le informative o assumere ruoli tipici del titolare del trattamento. La responsabilità e gli obblighi privacy gravano infatti su quest'ultimo soggetto ovvero l'azienda sanitaria locale con tutta la sua struttura organizzativa e dirigenziale. Così il Garante per la protezione dei dati personali con l'ordinanza ingiunzione 8/2022.
Il Garante Privacy ha comminato una sanzione di 10 milioni di euro ad Axpo Italia Spa, società fornitrice di energia elettrica e gas, per l’attivazione di contratti non richiesti nel mercato libero mediante il trattamento di dati inesatti e non aggiornati della clientela.
No a messaggi incomprensibili e a contatti promozionali indesiderati per spingere gli utenti telefonici, specialmente gli anziani, a sottoscrivere nuovi contratti. Lo ha ribadito il Garante privacy che ha sanzionato per 500 mila euro Vodafone Italia in seguito al reclamo presentato da una signora ultraottantenne, che si era vista trasferire, contro la sua volontà, la propria utenza telefonica da un altro operatore a Vodafone stessa.
