MULTA DI 45 MILA EURO A COMUNE PER VIDEO SU CONFERIMENTO RIFIUTI Il Comune siciliano di Modica, per contrastare l’abbandono di rifiuti o il conferimento non corretto dei rifiuti nei cassonetti, ha pensato bene di mettere delle telecamere in prossimità ed è stato multato dal Garante Privacy italiano con 45 mila euro. Dall’indagine infatti è emerso che il Comune ha utilizzato due aziende per installare i dispositivi di videosorveglianza senza chiedere alcuna autorizzazione, quindi di fatto venivano raccolti a video dati personali di potenziali 53 mila abitanti. La contestazione è pervenuta da un cittadino che aveva ricevuto alcune contestazioni sulla differenziazione erronea dei rifiuti urbani. La multa era basata su riprese video, ma sui cassonetti era posto solo un cartello che avvisava delle riprese, senza dettagli sul titolare del trattamento. Ai quesiti del Garante il Comune ha risposto che le ditte ausiliarie della Polizia locale sono state nominate Responsabile del trattamento, che per visionare i filmati e comminare la multa interveniva la polizia locale stessa e che le telecamere funzionanti sono solo quattro. Il Garante ha contestato il cartello presente in prossimità in quanto dava informazioni non esaustive e non rimandava all’informativa completa di secondo livello, spiegando ad esempio se c’è un trasferimento di dati in paesi terzi. Inoltre l’informativa completa non risulta neppure sul sito del Comune né deliberata dalla giunta. Il Garante ha insistito sull’esplicazione delle motivazioni dell’installazione: il Comune scriveva che le telecamere servivano ai fini del “legittimo interesse”, mentre secondo l’Authority andava scritto che erano “a fini di igiene pubblica e incolumità pubblica”, in quanto nel Comune di Modica ci sono stati incendi in prossimità dei cassonetti e anche che “il […] trattamento [delle immagini] risponde all’esigenza del perseguimento dell’interesse della tutela delle persone e dei beni rispetto agli atti illeciti (aggressioni, furti e rapine) e di raccolta dei mezzi di prova”. Altro aspetto interessante è stata l’attenzione al periodo di conservazione che in generale è di 7 giorni, ma che il Comune in un’esigenza particolare aveva esteso di altri 15 giorni per un certo periodo. Il Comune avrebbe dovuto informarne i cittadini e spiegare il perché dell’estensione della conservazione. Vista la mole di violazioni il Garante ha comminato la sanzione di 45 mila euro.
LAVORATORE LICENZIATO CHIEDE MATERIALE INDAGINE
Un’azienda che ha negato l’accesso a riprese e foto della vita privata di un lavoratore licenziato è stata multata con 10 mila euro. L’azienda ha infatti fatto seguire da un’agenzia privata un suo dipendente per diverso tempo e quindi gli ha inviato un comunicazione disciplinare e lo ha licenziato. Il lavoratore per un anno ha cercato di aver accesso agli atti e ai documenti senza successo. Di fatto gli veniva negato l’accesso agli atti. Solo nel 2022 il lavoratore ha scoperto durante il processo di opposizione al licenziamento di essere stato seguito da un’agenzia investigativa privata. Il lavoratore è quindi ricorso al Garante Privacy per esercitare i diritti di interessato rispetto a documentazione che lo riguarda. In particolare il lavoratore voleva accedere alla propria cartella mail e ai documenti grazie ai quali l’azienda contestava l’abbandono dell’ufficio dopo la timbratura del cartellino e che quindi sapere come gli venisse contestato di non espletava gli ordini inviati dai colleghi. Il Garante ha rimarcato che il diritto di accesso dell’interessato ai propri dati è legittimo anche quando la richiesta viene fatta in termini generici e che quindi l’interessato aveva tutti i diritti a ricevere dati come posizione GPS, persone incontrate, foto e materiale video dell’investigazione. Quindi sulla base della violazione dell’art. 15, 5 ed altri articoli è stata comminata una multa di 10 mila euro.
SOCIETA’ SERVIZI CREA REGISTRO DEI DIPENDENTI A BERLINO: MULTATA
In Germania, a Berlino, una società di servizi posseduta a 100 per cento da un noto museo cittadino, ha creato un registro in cui venivano annotati comportamenti non idonei dei dipendenti, creando di fatto una sorta di black-list dei lavoratori che ricevevano poi innumerevoli contestazioni disciplinari. Il registro era stato avviato dai dirigenti senza consultare in alcun modo il DPO del Museo. Il Garante di Berlino (in Germania ce n’è uno per Land) ha deciso di avviare un’indagine dopo che diverse segnalazioni dei dipendenti sono arrivati sui giornali. Alla fine la società in house ha preso una multa di 215 mila euro. Il caso ha fatto un certo scalpore.
NUOVE SANZIONI PER MARKETING SELVAGGIO A COMPARA FACILE E TISCALI
Sono iscritti al Registro delle opposizioni eppure ricevono continuamente chiamate pubblicitarie. Il Garante italiano per la protezione dei dati personali è riuscito a dimostrare che Comparafacile si è servita di liste avute da un dataprovider moldavo, non in grado di dimostrare di avere il consenso degli interessati. Di fatto i “clienti” venivano contattati per avere il consenso al trattamento dei loro dati anche tramite sms. Anche qui è bastata la segnalazione di un interessato che lamentava telefonate ricevute quasi tutti i giorni per far scattare l’indagine che ha comportato per la piattaforma 40 mila euro di multa. 100 mila euro invece sono andati a carico di Tiscali per informativa non precisa che non forniva i tempi di conservazione dei dati, specie per marketing e profilazione, durante la fusione con un’altra azienda. Di fatto la blacklist per la gestione delle disiscrizioni e dei dinieghi era gestita tenendo presente solo le ultime scelte del cliente. Inoltre in quattro mesi la società ha contattato 160 mila utenti che non avevano dato il consenso a comunicazioni commerciali sostenendo che si trattasse di soft spam. Ricordiamo che l’invio di mail con newsletter è consentito dalla normativa solo per conto del titolare e deve riguardare prodotti per i quali l’interessato ha già dimostrato interesse acquistandoli in passato. La comunicazione infine può avvenire solo via mail e con la dicitura disiscriviti.
ENISA: MAGGIOR ATTENZIONE SUI FORNITORI
Secondo uno recente rapporto di Enisa, l’Agenzia dell’Unione europea per la sicurezza informatica il 62 per cento degli attacchi avviene attraverso la supply chain, catena di fornitura, ovvero approfittando delle debolezze dei fornitori, che hanno dichiarato di non essersi neppure accorti dell’attacco informatico. E’ opportuno quindi che ci siano accordi/contratti vincolanti per i Responsabili del trattamento dei dati che li vincolino alla comunicazione di data breach in tempi rapidi. Questi sono aspetti che il titolare deve gestire col proprio DPO.
Con nostra grande soddisfazione Federprivacy, associazione che raduna professionisti della protezione dei dati personali, ha scelto di dare il nostro ultimo volume “La privacy dei dati digitali” come strenna ai nuovi iscritti all’associazione.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021), acquistabile anche in digitale sul sito francoangeli.it. E’ in libreria il nostro nuovo volume, ‘La Privacy dei dati digitali’, un manuale pratico in aiuto alle aziende e ai Dpo, pubblicato sempre per FrancoAngeli editore.
