Il Garante privacy ha sanzionato un’azienda di autotrasporti per aver controllato in modo illecito circa 50 dipendenti, durante la loro attività lavorativa, utilizzando un sistema Gps installato sui veicoli aziendali.
La Cassazione ha accolto il ricorso del Garante dopo la sanzione irrogata a un ente pubblico sanitario regionale per illecito trattamento di dati personali “in chiaro” di pazienti in violazione degli artt. 5, 9, 14 e 35 del GDPR e dell’art. 2 sexies del Dlgs. n.196/2003 per classificare gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19.
Se volevano mangiare alla mensa dovevano passare dal rilevatore biometrico e lasciare le loro impronte digitali per ottenere il nulla osta ad accedere al servizio ristoro. Non erano però le misure di sicurezza adottate nei confronti dei detenuti di un carcere, ma quello che fin dal 2015 avveniva ai 680 giovanissimi alunni di una scuola elementare, ai quali era richiesto di fornire l'impronta del loro dito indice per verificare che i genitori avessero regolarmente pagato la retta mensile dei pasti.
Quando un’azienda decide di svolgere una campagna promozionale tramite posta elettronica utilizzando banche dati acquisite da agenzie di marketing o da altri broker di dati che spesso si limitano a proporle come “conformi al GDPR” senza farsi troppi scrupoli, è sempre opportuno accertarsi di essere poi in grado di dimostrare che gli interessati abbiano effettivamente dato il consenso a cedere i loro dati a terzi, e che siano stati messi a conoscenza di quali siano le società a cui vengono cedute le informazioni che li riguardano, altrimenti si rischia di andare incontro a sanzioni salate. Lo ha imparato a sue spese la EDF, che in Francia è la prima azienda di energia elettrica.
Bastava chiamare il call center e fornire al sistema di assistenza automatizzato il nome e la data di nascita di un qualsiasi cliente per ottenere ampie informazioni ed ulteriori dati personali dell’interessato. Il caso era stato infatti sollevato nel 2018, quando una donna aveva chiamato la hotline, e con questa escamotage aveva ottenuto il nuovo numero di cellulare del suo ex marito.
L’autorità per la protezione dei dati personali del Belgio ha sanzionato gli aeroporti Zaventem e Charleroi-Bruxelles Sud di Bruxelles per aver effettuato controlli della temperatura corporea dei passeggeri e somministrato loro questionari anamnestici nell'ambito della lotta al Covid-19 senza disporre di una valida base giuridica e senza aver neppure fatto una valutazione d’impatto prima di raccogliere i dati sanitari dei viaggiatori.
L'Autorità belga per la protezione dei dati ha multato un'associazione che, sostenendo di avere un legittimo interesse, aveva inviato messaggi di marketing diretto a degli ex donatori che anni prima avevano contribuito a delle raccolte fondi, i quali nel frattempo avevano però esercitato il loro diritto di opposizione al trattamento ai sensi dell’21 del Gdpr, richiedendo al titolare la cancellazione dei loro dati personali ai sensi dell’art.17 del Gdpr.
Patteggiamento per le violazioni privacy. Alcune società belghe (settore media) hanno raggiunto un accordo con il locale Garante della privacy e, senza riconoscimento della loro responsabilità, hanno accettato di pagare 10 mila euro per alcune violazioni della privacy. Il provvedimento (decisione n. 151/2022 del 21/10/2022) rappresenta il primo caso, di cui si ha notizia, di accordi di questo tipo. L'episodio mette sotto i riflettori il sistema sanzionatorio del regolamento Ue sulla privacy 2016/679.
La Vueling Airlines è stata sanzionata dal Garante per la privacy spagnolo perché giudicata non adeguata al Gdpr in materia di cookies, in quanto visitando il sito web della compagnia area gli utenti non avevano la reale possibilità di rifiutare o accettare i cookies sui propri dispositivi.
In Brasile, Facebook è stato condannato dal Segretariato nazionale dei consumatori (Senacon) a pagare una multa di 6,6 milioni di real, (pari a circa 1,25 milioni di euro) per la fuga di dati personali degli utenti brasiliani nell’ambito della vicenda “Cambridge Analytica”.
