Dopo la multa oltre 3 milioni di euro del 2021, il Garante per la protezione dei dati personali è tornato a sanzionare Sky Italia srl per numerose violazioni riscontrate durante le attività di telemarketing e di invio di comunicazioni commerciali.
I clienti acquistavano su internet prodotti per la sicurezza informatica da una società apprezzata da molte aziende ed enti governativi di alto profilo, peccato che era lo stesso fornitore a compromettere la sicurezza degli acquirenti, sconfessando così proprio quello che prometteva di fare.
Mano pesante del Garante per la privacy greco che ha sanzionato per 400 mila euro la OTE per violazione dei princìpi di accuratezza e di “privacy by design”, nonchè del diritto di opposizione previsto dal Gdpr.
Come ha evidenziato un rapporto dell’organizzazione non profit noyb.eu, se da una parte ogni anno vengono presentate oltre 100.000 denunce alle varie autorità nazionali dei paesi membri dell’Unione europea, le sanzioni per violazione del Gdpr vengono poi inflitte con il contagocce.
Solo a maggio scorso, secondo quanto ha fatto sapere il Garante della Privacy, gli attacchi informatici in Italia sono stati 140. Non tutti vanno a segno, e non tutti sono di dimensioni internazionali, ma i data breach, le violazioni dei dati gestiti dalle aziende, sono un fenomeno diffuso.
Bastavano il cellulare e il codice fiscale di un cittadino della provincia di Milano per sapere se era risultato positivo al Covid-19. Inserendo quei due dati su Milano Cor, il portale creato dall’agenzia della tutela della salute ambrosiana (Ats) per raccogliere informazioni sui contagiati nella provincia più colpita d’Italia dalla seconda ondata di coronavirus, il sito dichiarava in chiaro se l’utente era già registrato. Un indizio più che sufficiente per inquadrarlo come un caso positivo al test del Sars-Cov-2.
Un recente caso (Provv. 16 settembre 2021, doc. web n. 9704069) affrontato dal Garante ha riguardato un reclamo con il quale si denunciava che sul sito di un Comune nell’area «Documenti e dati»/«Albo pretorio»/«storico» era possibile visualizzare e scaricare liberamente una Determinazione di liquidazione che riportava in chiaro, nel testo e nell’oggetto, dati e informazioni personali, quali il nominativo del reclamante e del padre a suo carico con indicazione della relativa situazione di disabilità in quanto portatore di handicap.
Una telecamera nascosta era stata piazzata nel bagno dell'ospedale per spiare infermiere e dottoresse mentre facevano la doccia. La vicenda è accaduta all'ospedale San Giuseppe di Empoli.
Il consenso, inizialmente rilasciato da un cliente ad una società anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni infatti non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato. Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso.
Decine di lettere contenenti tessere sanitarie rinvenute abbandonate nei pressi di alcune cassette della posta nella zona Tivoli di Siracusa. La scoperta è stata fatta da alcuni residenti che hanno avvertito le forze dell’ordine.
