Il tribunale distrettuale di Tagansky a Mosca ha multato Facebook e Twitter per non aver rispettato la legge russa sulla gestione dei dati degli utenti internet. Le due società di social media dovranno pagare una multa da 4 milioni di rubli (circa 58mila euro) al governo russo.
Dentista sanzionato 20 mila euro per avere raccolto il dato sull'Hiv e altre malattie infettive del paziente, senza avere iniziato le cure. È la decisione del Garante della privacy (ordinanza n. 239 del 10 giugno 2021). Nel caso specifico un odontoiatra ha chiesto al paziente di compilare un questionario nel quale si doveva indicare se si ha avuto (o si sospetta) di avere malattie infettive, quali tubercolosi, epatite e Hiv (Aids). Secondo l'interessato, alla dichiarazione di positività all'infezione da Hiv, il medico avrebbe rifiutato le prestazioni.
Il garante per la privacy spagnolo (AEPD) ha sanzionato una catena di supermercati per 2,5 milioni di euro per uso illecito di un sistema di videosorveglianza dotato di riconoscimento facciale che identificava il volto dei clienti raccogliendo una serie di dati biometrici che venivano automaticamente confrontati con una banca dati per determinare se il cliente aveva pendenze con la giustizia, bloccandone in tal caso l’ingresso e facendo scattare un allarme per richiedere l’intervento del personale della sicurezza.
Sbaglia il computer e i dati sono mandati in giro per errore? Paga chi lo usa. Come è successo a due aziende sanitarie sanzionate dal Garante della privacy rispettivamente 120 mila e 150 mila euro (ordinanze 211 e 212 del 27 maggio 2021). Nella prima vicenda, a causa di un bug del software usato per caricare i dati dei pazienti sul fascicolo sanitario elettronico (FSE), il programma non ha registrato la volontà dei pazienti di non trasmettere il referto al medico di famiglia.
I clienti acquistavano su internet prodotti per la sicurezza informatica da una società apprezzata da molte aziende ed enti governativi di alto profilo, peccato che era lo stesso fornitore a compromettere la sicurezza degli acquirenti, sconfessando così proprio quello che prometteva di fare.
Mano pesante del Garante per la privacy greco che ha sanzionato per 400 mila euro la OTE per violazione dei princìpi di accuratezza e di “privacy by design”, nonchè del diritto di opposizione previsto dal Gdpr.
Solo a maggio scorso, secondo quanto ha fatto sapere il Garante della Privacy, gli attacchi informatici in Italia sono stati 140. Non tutti vanno a segno, e non tutti sono di dimensioni internazionali, ma i data breach, le violazioni dei dati gestiti dalle aziende, sono un fenomeno diffuso.
Bastavano il cellulare e il codice fiscale di un cittadino della provincia di Milano per sapere se era risultato positivo al Covid-19. Inserendo quei due dati su Milano Cor, il portale creato dall’agenzia della tutela della salute ambrosiana (Ats) per raccogliere informazioni sui contagiati nella provincia più colpita d’Italia dalla seconda ondata di coronavirus, il sito dichiarava in chiaro se l’utente era già registrato. Un indizio più che sufficiente per inquadrarlo come un caso positivo al test del Sars-Cov-2.
Un recente caso (Provv. 16 settembre 2021, doc. web n. 9704069) affrontato dal Garante ha riguardato un reclamo con il quale si denunciava che sul sito di un Comune nell’area «Documenti e dati»/«Albo pretorio»/«storico» era possibile visualizzare e scaricare liberamente una Determinazione di liquidazione che riportava in chiaro, nel testo e nell’oggetto, dati e informazioni personali, quali il nominativo del reclamante e del padre a suo carico con indicazione della relativa situazione di disabilità in quanto portatore di handicap.
Il consenso, inizialmente rilasciato da un cliente ad una società anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni infatti non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato. Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso.
