Secondo un comunicato stampa del 27 settembre 2024, la Commissione irlandese per la protezione dei dati (Data Protection Commission, DPC) ha multato Meta di 91 milioni di euro per aver archiviato “inavvertitamente” in chiaro le password degli utenti senza alcuna protezione crittografica, chiudendo un caso durato cinque anni.
Una ex dipendente del Comune di Greve in Chianti (Firenze) presentava reclamo all’Autorità Garante dolendosi della pubblicazione, nella sezione “Albo online” del sito web del Comune, di una determinazione al cui interno erano menzionati riferimenti a vicende relative al suo rapporto di lavoro. In particolare, la determinazione conteneva riferimenti alla propria persona, essendo seppur menzionata tramite le iniziali del proprio cognome e nome, nonché dati personali relativi a condanne penali e reati.
In particolar modo da quando è entrato in vigore il GDPR, le violazioni in materia di protezione dei dati personali si sono accumulate fino a diventare un fardello mastodontico che è arrivato a gravare complessivamente per 8,1 miliardi di euro sui bilanci dei giganti del web. Negli ultimi quattro anni, la più colpita in assoluto tra gli Over The Top è stata Facebook, (che da inizio del 2022 ha cambiato il proprio nome in “Meta”), a cui autorità e tribunali di vari paesi del mondo hanno ingiunto di pagare in totale 6,6 miliardi di euro per sanzioni e risarcimenti a causa di infrazioni sui dati personali.
Il Comune di Roma e la società dei servizi per la mobilità sono stati sanzionati dal Garante per la Privacy per non aver adeguatamente protetto i dati dei cittadini ai quali era stato assegnato il permesso di accesso alle zone a traffico limitato. Le sanzioni, per complessivi 410mila euro, sono arrivate all’esito dell’istruttoria avviata in seguito a una segnalazione e ad alcuni articoli della stampa sui problemi relativi al controllo dei pass ZTL.
Con la sentenza n. 18583/2025 la Corte di Cassazione ha affrontato per la prima volta un importante questione in materia di accertamento delle sanzioni derivanti dall’illecito trattamento dei dati personali.
Per leggere l'articolo integrale devi effettuare il login!
Anche se il sindaco prevede un consiglio comunale tumultuoso non è scontato che la polizia locale possa partecipare all'evento attivando la bodycam di servizio. In particolare se il comune non ha preventivamente regolato tutto l'impianto di videosorveglianza effettuando anche una preventiva valutazione di impatto privacy. Lo ha chiarito il Garante per la protezione dei dati personali con l'ordinanza ingiunzione dell'11 novembre 2021.
Per leggere l'articolo integrale devi effettuare il login!
L’autorità polacca per la protezione dei dati personali (Uodo) ha imposto la sua prima sanzione con il Gdpr per un importo di 943.000 zloty polacchi (circa 220.000 euro) per il mancato adempimento dell'obbligo di informazione. Lo rende noto l'European Data Protection Board sul proprio sito istituzionale.
Il Garante per la privacy polacco (UODO) ha inflitto una multa per un importo corrispondente a circa 660mila euro alla società Morele.net, perchè quest'ultima non aveva adottato misure organizzative e tecniche adeguate al rischio connesso al trattamento dei dati personali di oltre due milioni di utenti.
La banca aveva spedito un plico tramite corriere, ma la corrispondenza contente dati personali del cliente era andata smarrita. Da una situazione apparentemente priva di grosse conseguenze, in questo caso però è intervenuta l’autorità per la privacy con una sanzione all’istituto bancario. I motivi? perché si trattava a tutti gli effetti di un “data breach” e l’adempimento dell’obbligo di notifica non viene meno per il fatto che non si siano effettivamente verificate conseguenze negative per il cliente, ma vi si deve comunque ottemperare per la semplice possibilità che esse si verifichino.
Nonostante la risoluzione del rapporto di lavoro, un dipendente della banca aveva continuato ad avere l’abilitazione per l’accesso ai server dell’istituto, entrando cinque volte nella piattaforma e accedendo peraltro ai profili previdenziali dei suoi ex colleghi. Anche se da parte sua la banca aveva provveduto a notificare il data breach all’autorità per la protezione dei dati e ad avvisare i dipendenti della violazione della riservatezza sul portale, si limitava però a pubblicare un annuncio interno generico senza fare riferimento a un caso specifico, omettendo di segnalare gli effettivi rischi che correvano i dipendenti.
