La panoramica delle più recenti sanzioni inflitte alle banche per violazioni del Gdpr

Mail contenenti i dati personali dei clienti inviate per sbaglio ad altri clienti, invio errato di sms di addebito per bonifici mai effettuati, spedizione di documenti bancari tramite WhatsApp ai destinatari sbagliati, spedizione ripetuta di messaggi pubblicitari nonostante l’opposizione dei clienti, procedure interne che finiscono per ostacolare l’esercizio dei diritti, e pure la profilazione senza consenso degli utenti dell’home banking per analizzare quanto usavano la stampante per riprodurre gli estratti conto. Questi sono alcuni dei motivi che hanno generato le più recenti sanzioni inflitte dalle autorità per la protezione dei dati personali agli istituti bancari.

Decreto Trasparenza: non tutti i trattamenti automatizzati prevedono necessariamente una componente decisionale

Il D.lgs 104/2022 “Decreto trasparenza” è stato pubblicato da poco più di un mese e già si sono aperti molti dibattiti, vista la complessità delle tematiche trattate e l'indeterminatezza di alcuni aspetti. Recenti Circolari, la n. 4 dell'Ispettorato Nazionale del Lavoro e la n. 20 del Ministero del Lavoro, hanno cercato di chiarire alcuni punti. In questo articolo si affronteranno alcune tematiche relative alla protezione dei dati personali; nello specifico:

Il ruolo privacy dei produttori di applicazioni, servizi e prodotti basati sul trattamento di dati personali

Nessuna responsabilità in relazione al trattamento dei dati personali è attribuita dalla normativa eurounitaria sulla privacy (GDPR) ai produttori degli strumenti utilizzati da titolari e responsabili per eseguire i trattamenti.

Il coinvolgimento del DPO nella gestione della sicurezza dei trattamenti di dati personali

Da quanto rilevato nel sondaggio condotto da Federprivacy, la maggior parte dei DPO si dicono preoccupati per la gestione delle situazioni di emergenza e in particolare per le minacce ransomware. L’ambito più ampio in cui tali evenienze si inseriscono è la sicurezza dei trattamenti, in rapporto al quale dunque è fondamentale comprendere qual è il ruolo svolto dal Data Protection Officer in modo tale che l’organizzazione non incorra in false o inesatte aspettative nei confronti di tale figura, circostanza che spesso dà luogo non solo a incomprensioni ma è causa di violazione diretta di alcune prescrizioni del GDPR.

Accesso civico ai dati sull’emergenza sanitaria detenuti da una scuola: necessario rispettare la privacy dei minori

Un caso affrontato dal Garante della Privacy durante la pandemia ha riguardato un comitato, costituito da famiglie, professionisti della scuola e studenti attivi nella società civile, con l’obiettivo unico di rendere piena trasparenza dello stato di diffusione del Covid-19 nelle Scuole. A questo fine inoltrò istanze di accesso civico generalizzato – ai sensi dell’art. 5 comma 2, del d. lgs. n. 33/2013 – a diversi Istituti scolastici per ottenere dati sotto la forma di «“Report Sars-Cov2”.

Costa una sanzione da oltre mezzo milione di euro all'azienda che aveva nominato il DPO in conflitto d'interessi

Aver nominato un Data Protection Officer in conflitto di interessi è costato una sanzione da 525.000 euro a una filiale di un gruppo tedesco di e-commerce.