Il mese scorso era stata sanzionata dall’autorità francese per la privacy (CNIL) con una bacchettata da 400.000 euro, ma i guai sui dati personali sembrano non finire per la RAPT. Infatti, la società francese che gestisce gran parte dei trasporti a Parigi e un gran numero di linee nei quartieri e comuni periferici con autobus, metro, e tram, nei giorni scorsi è finita di nuovo sotto la lente per un data breach che ha visto mettere a repentaglio i dati di 57mila dipendenti.
Mail contenenti i dati personali dei clienti inviate per sbaglio ad altri clienti, invio errato di sms di addebito per bonifici mai effettuati, spedizione di documenti bancari tramite WhatsApp ai destinatari sbagliati, spedizione ripetuta di messaggi pubblicitari nonostante l’opposizione dei clienti, procedure interne che finiscono per ostacolare l’esercizio dei diritti, e pure la profilazione senza consenso degli utenti dell’home banking per analizzare quanto usavano la stampante per riprodurre gli estratti conto. Questi sono alcuni dei motivi che hanno generato le più recenti sanzioni inflitte dalle autorità per la protezione dei dati personali agli istituti bancari.
Ancora cattive notizie sul trattamento dei dati degli utenti da parte delle compagnie che operano nel digitale. La Federal Trade Commission (FTC) americana si è mossa per impedire alla società di consulenza online BetterHelp (che offre supporto psicologico) di condividere i dati sensibili degli utenti - comprese le informazioni sulla salute mentale - con le piattaforme social. Un comportamento che le è costato ben 7,8 milioni di dollari da pagare agli stessi consumatori, per saldare le accuse di aver condiviso dati sensibili per scopi pubblicitari dopo aver promesso di mantenere private le informazioni.
Le modifiche al codice della privacy per adeguare la normativa italiana al GDPR introducono nuove ipotesi di reato per chi non è in regola. L’obiettivo è aggiornare la disciplina in materia di trattamento dei dati alle esigenze della digital transformation, all’impiego delle nuove tecnologie, al fenomeno dei big data e dei grandi archivi. Innovativa, tra le altre, è l’ipotesi di reato di “comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”, che punisce chiunque comunichi o diffonda un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala.
A quattro anni dall’entrata in vigore del GDPR, può risultare interessante effettuare una analisi degli interventi delle Autorità Garanti per trarne delle indicazioni, delle lesson learned utili per i diversi attori per operare in maniera consapevole il trattamento dei dati personali. In questa sede si pone l’attenzione sul contesto della Pubblica Amministrazione, che svolge un ruolo primario nell’ecosistema privacy, sia per il rispetto dei diritti dei cittadini, sia per il ruolo propulsivo che può avere nei confronti della sfera privatistica delle nostre società.
Come si ricorderà, nell’agosto 2020 in piena emergenza pandemica, ebbe clamore sulle prime pagine estive dei giornali l’attività che l’Inps stava conducendo per procedere all’erogazione del bonus Covid-19, per supposti riflessi sulla privacy di chi ricopriva incarichi di parlamentare o di amministratore regionale o locale. E il prosieguo della questione fornisce utili spunti di riflessione: al ricorso promosso dall’Inps è seguita, in questi giorni, la sentenza n. 4735 / 2022 della XVIII sezione civile del Tribunale di Roma che ha annullato la sanzione comminata a suo tempo dal Garante.
Il datore di lavoro può raccogliere i log di navigazione in Internet e i metadati delle e-mail dei dipendenti solo in presenza di specifiche condizioni e garanzie. Lo ha affermato il Garante privacy nel comminare una sanzione di 50mila euro alla Regione Lombardia.
Sono state 341 le sanzioni per violazioni della protezione dei dati personali lo scorso anno nei 30 paesi dello SEE. Ben 133 dei 341 provvedimenti amministrativi complessivi sono stati irrogati dal garante spagnolo, ma l’autorità più severa è quella francese con 138,3 milioni di euro concentrati in soli 8 procedimenti. Nel 59% dei casi le multe riguardano trattamenti illeciti per scarsa trasparenza, mancanza di consenso o altra valida base giuridica. Bernardi: “Mercato digitale è un’opportunità ma necessario sviluppare maggiore sensibilità per i temi della privacy”. Settore più bersagliato quello delle telecomunicazioni con 69 sanzioni.
Attenzione a chiedere la carta d’identità all’interessato che desidera esercitare il diritto di accesso ai suoi dati personali, perché una prassi del genere potrebbe violare la privacy della persona e costare cara alla vostra azienda. È questo il caso di una società editoriale che esigeva copia del documento d’identità in formato digitale, e per questo si è vista infliggere una sanzione di oltre mezzo milione di euro.
Non sono esenti dalle sanzioni del Garante della protezione dei dati personali neppure le associazioni che di solito tutelano esse stesse i cittadini e li difendono dalle violazioni in materia di privacy. Lo ha sperimentato Altroconsumo, che ha ricevuto una multa da 100.000 euro dall’autorità di Piazza Venezia.
