OLTRE 12 MILIONI DI EURO DI MULTA A POSTE ITALIANE
Come abbiamo più volte segnalato, le indagini dell’Authority privacy partono sempre dalle segnalazioni degli utenti e per Poste Italiane sono arrivate in due mesi del 2024 140 segnalazioni e12 reclami a proposito delle intrusioni negli smartphone di due app di Poste Italiane (Bancoposta e Postepay installate su Android). Il messaggio ricevuto chiedeva di accedere ai dati per verificare che non ci fossero malware. Chi non accettava dopo tre accessi, non poteva più utilizzare l’app. Poste Italiane in sostanza rispondeva che si trattava di piattaforme antifrode e che così veniva garantita la sicurezza delle transazioni. Il Garante nell’ispezione ha rilevato che utilizzando un responsabile e sub-responsabile, l’indagine antifrode entrava troppo nella privacy delle persone: “la specifica configurazione dell’applicativo ThreatMetrix appariva eccessivamente invasiva della sfera giuridica dell’interessato, in quanto il pur rilevante obiettivo di innalzare il livello di sicurezza informatica e di operare un maggiore controllo antifrode avrebbe potuto utilmente essere raggiunto dalle Società mediante l’utilizzo di strumenti, eventualmente anche tra loro combinati, meno impattanti sui diritti degli utenti finali”. Insomma andavano usati altri strumenti informatici. La multa per un totale di 12 milioni e mezzo, è relativa al fatto che l’interessato non era adeguatamente formato; il trattamento sfora le norme vigenti e la conservazione dei dati è eccessiva e non rispetta il principio di minimizzazione. Poste Italiane ha annunciato il ricorso ed ha espresso stupore rispetto al provvedimento.
RICONOSCIMENTO FACCIALE LINATE VIOLA GDPR
Il Garante ha nuovamente dichiarato illecito il sistema di trattamento dei dati biometrici dei viaggiatori dell’areoporto di Linate che da maggio 2024 a settembre 2025 ha coinvolto oltre 24 mila persone. La società Sea già a settembre 2025 aveva interrotto il ricorso a Faceboarding, il riconoscimento facciale per accedere all’area riservata ai soli passeggeri in partenza o transito. Il trattamento è stato giudicato illecito in quanto venivano conservati dal sistema i dati dei passeggeri. Il provvedimento fa riferimento anche a un’opinione emanata dall’EDPB, il board europeo, Opinion 11/2024 relativa proprio al riconoscimento facciale in ambito areoportuale. In pratica EDPB ha disposto che le chiavi crittografate del dato biometrico siano in mano al passeggero e non alla compagnia o al gestore dell’areoporto. Quindi detto dato viene utilizzato solo ai fini dell’identificazione e per un periodo molto lmitato. Il board europeo ha anche espresso nel suo parere parecchia preoccupazione circa l’eventuale esfiltrazione di una banca dati contente dati biometrici di migliaia di passeggeri, col rischio di un’allargato furto di identità. Il passeggero aderiva spontaneamente al Faceboarding per velocizzare le operazioni di imbarco, utilizzando un’iscrizione su un’app o a un chiosco. La conclusione dell’indagine sta in queste righe “il sistema Faceboarding prevede la memorizzazione dei template biometrici dei passeggeri in un archivio centralizzato presso il gestore aeroportuale; ciò senza garantire al contempo ai predetti interessati −come richiesto dall’EDPB nell’Opinion 11/2024− un potere di controllo esclusivo sui propri dati biometrici”. Per di più in un’Informativa si diceva invece che il passeggero controllava totalmente i suoi dati.
LE NUOVE LINEE GUIDA SUL TRACCIAMENTO PIXEL ONLINE
Considerata l’attività di tracciamento, monitoraggio comportamenti e abitudini che sempre di più viene portata avanti da gestori di siti, fornitori di servizi online o anche intermediari, il Garante italiano a metà aprile ha pubblicato delle Linee Guida destinati quindi a chi opera sul web e utilizza pixel di tracciamento sulle mail. Infatti, oltre a cookie, fingerprint, javascript e widget, vengono spesso utilizzati anche questi pixel di tracciamento nascosti nelle mail. Questi pixel che sono trasparenti e non visibili, non riescono ad accedere al contenuto della mail, ma possono registrare gli orari dell’apertura, l’utilizzo di una certa rete IP e funzionano solo se è attivato il download delle immagini. In sostanza il Garante ritiene che in caso il gestore dell’account o il mittente o chiunque opera nelle rete ricorra ai pixel di tracciamento, deve informare il ricevente, quindi deve esserci un’Informativa. In generale serve anche il consenso a meno che il gestore non voglia fare: 1 uno studio statistico relativo all’apertura delle mail; 2 si vogliamo implementare le misure di sicurezza su chi apre la mail e verificare l’identità; 3 ci sia un obbligo normativo per il titolare di inoltrare una certa mail a istituzioni o terzi (ad esempio gli istituti bancari). In tutti gli altri casi è necessario il consenso. Teniamo presente che i pixel di tracciamento vengono usati per sondare anche l’apertura o meno di newsletter. Il Garante raccomanda in generale, di conservare il consenso, di dare modo agli interessati di annullare facilmente il consenso e di non produrre una pletora di consensi ad ogni piè sospinto. Quindi suggerisce ad esempio, nelle Linee Guida, di raccogliere un consenso per attività promozionali. Preghiamo tutti i lettori di consultare i vostri DPO in caso facciate uso a qualsiasi titolo di questi pixel nelle Vostre aziende, in modo da uniformarVI alle nuove Linee Guida. I soggetti hanno 6 mesi di adeguamento rispetto alla pubblicazione delle Linee Guida sulla Gazzetta ufficiale.
MULTA A ENI SPA DI 96 MILA EURO PER AVER PUBBLICATO ATTO DI CITAZIONE
Sono finiti sul sito di Eni Spa i nomi, cognomi, partite iva, codici fiscali e indirizzi di residenza di dodici cittadini che avevano inoltrato all’azienda un’atto di citazione aderendo a un’iniziativa di Greenpeace e ReCommon APS. Eni ha risposto che intendeva tutelare la posizione dell’azienda rispetto all’Accordo di Parigi e la lotta la cambiamento climatico. Ma il Garante ha reputato che non c’era nessuna necessità di pubblicare in chiaro i dati personali dei firmatari che dovevano invece essere oscurati.
CASELLA DI POSTA DELL’EX DIPENDENTE DEVE ESSERE CONSEGNATA
Abbiamo un ennesimo provvedimento su un ex dipendente che chiede accesso alla propria casella di posta. Questa si tratta di un ex lavoratore di Itas Mutua, compagnia assicurativa, che ha contestato l’accesso non integrale alla propria casella di mail predisposto dall’azienda dopo il licenziamento. Il Garante in sostanza sostiene che può essere negato l’accesso dopo l’uscita dagli uffici solo se nelle mail ci sono segreti aziendali. La compagnia assicurativa del dipendente in questione aveva invece inoltrato solo i messaggi ritenuti personali del lavoratore. Il Garante ha anche ritenuto non idonee rispetto alle finalità dichiarate le data retention di 5 anni per le mail (senza che i dipendenti ne fossero assolutamente informati) e di 12 mesi per i dati di navigazione o file di log finalizzati alla difesa dei diritti dell’azienda in giudizio, e quindi al controllo del lavoratore – desume il Garante. Morale, l’azienda è stata multata con 50 mila euro.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avv. Gianluca Amarù, l’Avv. Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) , Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020), Privacy in progress (editore FrancoAngeli, giugno 2021) e La Privacy dei dati digitali (FrancoAngeli editore, 2023), La Privacy del dato sanitario (FrancoAngeli, 2024), a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. Nel 2025 è uscito per Mondadori l’instant book Smetti di farti spiare, a cura del presidente di Federprivacy Nicola Bernardi, con Amarù, Fava, Fossi. Infine Amarù, Fava, Fossi, Maschio hanno pubblicato NIS2: come rafforzare la cybersicurezza (FrancoAngeli, 2025).