NEWSLETTER N. 522 del 3 maggio 2024

• Tlc: il Garante sanziona un dealer per attivazione illecita di sim e abbonamenti
• Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati
• Violenza di genere: anonimato garantito in data base prestazioni d’urgenza
• Tecnologie emergenti e antiriciclaggio tra i temi della Spring Conference a Riga

Tlc: il Garante sanziona un dealer per attivazione illecita di sim e abbonamenti
150mila euro di multa per aver utilizzato i dati personali di centinaia di utenti a loro insaputa

Una società che gestisce due negozi di telefonia dovrà pagare una multa di 150mila euro per aver attivato illecitamente Sim, abbonamenti e addebiti per l’acquisto di cellulari e localizzatori GPS utilizzando i dati personali di centinaia di utenti a loro insaputa.

Lo ha stabilito il Garante Privacy definendo il procedimento avviato su segnalazione della Guardia di Finanza che aveva ricevuto la denuncia di una utente per addebiti sulla propria carta di credito relativi all’attivazione di un nuovo contratto a nome del marito deceduto.

Numerose e gravi le violazioni riscontrate nel corso dell’istruttoria svolta dall’Autorità.

Il Garante ha accertato, in particolare, che la società aveva attivato 1300 schede telefoniche utilizzando i dati e i documenti di identità estrapolati dai sistemi del gestore telefonico di cui vendeva i prodotti o indebitamente conservati dai negozi.

Non solo: la società aveva attivato servizi non richiesti inducendo i clienti ad apporre firme, tramite un tablet, senza chiarire le conseguenze di tali consensi. Tra gli illeciti, anche la vendita di cellulari che non erano stati richiesti dai clienti né consegnati ai medesimi, che venivano a sapere dell’acquisto trovando gli addebiti rateali in fattura.

Dall’istruttoria del Garante è inoltre emerso che la società aveva eluso i controlli del gestore telefonico e le relative disposizioni in materia di trattamento dei dati degli utenti, agendo quindi come titolare autonomo. Nello specifico la società aveva progettato le proprie attività con l’intento di utilizzare la base di dati personali a sua disposizione per attivare forniture di servizi di telefonia non richiesti ovvero ampliare indebitamente l’offerta contrattuale a suo tempo sottoscritta dai propri clienti. Il tutto per un giro di affari di oltre 80mila euro, realizzato coinvolgendo i propri dipendenti in attività volte ad eludere sistematicamente i princìpi di liceità, correttezza e trasparenza previsti dal Regolamento europeo.

Per tali ragioni e data la condotta riconducibile al fenomeno complessivo delle attivazioni illecite di carte telefoniche, potenzialmente idoneo a creare ulteriori e ben più allarmanti indotti di illiceità e ostacoli alle attività di repressione di reati, il Garante ha applicato alla società una sanzione di 150mila euro e ha disposto il divieto di ulteriori trattamenti dei dati dei clienti.

Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati
Sanzione di 20mila euro ad una banca

Il lavoratore ha diritto di accedere ai propri dati conservati dal datore di lavoro, a prescindere dal motivo della richiesta.

È quanto ha ribadito il Garante privacy accogliendo il reclamo presentato da una donna che aveva chiesto, alla banca di cui era stata dipendente, di accedere al suo fascicolo personale per conoscere quali informazioni potevano aver dato origine ad una sanzione disciplinare nei suoi confronti.

La banca non aveva dato un adeguato riscontro alla richiesta e aveva fornito solo un elenco incompleto della documentazione raccolta, omettendo alcune informazioni in base alle quali era stata irrogata la sanzione disciplinare.

Solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità, l’istituto di credito aveva consegnato all’ex dipendente l’ulteriore documentazione contenuta nel fascicolo.

Si trattava, in particolare, della corrispondenza intrattenuta dalla banca con una terza persona, che lamentava l’illecita comunicazione di informazioni riservate del marito correntista alla reclamante, che le aveva utilizzate nell’ambito di un procedimento giudiziario.

La banca, nelle note di riscontro all’Autorità, ha sostenuto di non aver fornito all’ex dipendente tale documentazione per tutelare il diritto di difesa e la riservatezza dei terzi coinvolti, nonché per l’assenza di interesse all’accesso da parte della reclamante.

Il Garante ha osservato che, in via generale, il diritto di accesso ha lo scopo di consentire all’interessato di avere il controllo sui propri dati personali e di verificarne l’esattezza. Tale diritto, tuttavia, non può essere negato o limitato a secondo della finalità della richiesta. Infatti, in base alle disposizioni del Regolamento, non è chiesto agli interessati di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né il titolare del trattamento può verificare i motivi della richiesta. Tale interpretazione è stata chiarita anche dal Comitato europeo per la protezione dei dati (EDPB) mediante l’approvazione delle Linee guida sul diritto di accesso ed è frutto di un costante orientamento giurisprudenziale della Corte di Giustizia.

Nel sanzionare la banca per 20mila euro l’Autorità ha tenuto conto della natura, gravità e durata della violazione, ma anche dell’assenza di precedenti analoghi.

Violenza di genere: anonimato garantito in data base prestazioni d’urgenza

Via libera del Garante Privacy allo schema di decreto del Ministro della salute che integra il Sistema informativo per il monitoraggio delle prestazioni erogate nell’ambito dell’assistenza sanitaria in emergenza-urgenza (EMUR) con un set di informazioni relative agli accessi in pronto soccorso delle vittime della violenza di genere.

Lo schema di decreto tiene conto delle osservazioni formulate dall’Autorità nel corso delle interlocuzioni con il Ministero, che hanno riguardato in particolare l’anonimato delle donne vittima di violenza e di quelle che chiedono di partorire in anonimato nonché l’aggiornamento di tutto il flusso di dati alla luce dei nuovi princìpi in materia di protezione dei dati personali dettati dal GDPR. Il Sistema infatti era stato istituito nel 2008, ben 10 anni prima della piena applicazione del GDPR. In particolare, il Garante Privacy ha chiesto l’aggiornamento del sistema di codifica e di aggregazione dei dati, l’individuazione del tempo di conservazione delle informazioni e dei ruoli privacy dei diversi soggetti che intervengono nelle operazioni di trattamento.

Tecnologie emergenti e antiriciclaggio tra i temi della Spring Conference a Riga

Sarà Riga, capitale della Lettonia, a ospitare dal 14 al 16 maggio 2024 la trentaduesima edizione della “Spring Conference”, l’annuale appuntamento di primavera che riunisce le Autorità europee di protezione dati, con l'obiettivo di stabilire un quadro comune per la protezione dei dati personali.

La Conferenza sarà dedicata in particolare ad alcuni temi chiave, come l’analisi dei regolamenti UE, la tutela della privacy nelle tecnologie emergenti, la salvaguardia dei dati sanitari nell'era digitale e la promozione di una cooperazione efficace tra le Autorità di protezione dei dati, decisori e imprese. Come già lo scorso anno a Budapest, l’agenda dell’edizione 2024 prevede, accanto agli appuntamenti a porte chiuse, anche un panel aperto al pubblico, in presenza e da remoto (il 16 maggio), che sarà incentrato sul rapporto sempre più stretto fra le normative antiriciclaggio e quelle di protezione dati, con l’obiettivo di identificare strategie utili a rafforzare la conformità a entrambe le discipline attraverso un approccio collaborativo. Per il Garante sarà presente il componente Guido Scorza, che interverrà al panel dedicato a protezione dati e tecnologie emergenti e alle conseguenti sfide poste da un contesto sempre più dinamico alla salvaguardia della privacy degli utenti, in particolare i bambini, e garantire la conformità normativa.

Sin dalla sua nascita nel 1991, quando le Autorità di Belgio, Danimarca, Francia, Germania, Irlanda, Lussemburgo, Paesi Bassi e Regno Unito si incontrarono a L’Aia, la “Conferenza di primavera” rappresenta un momento chiave per i Garanti europei nell’individuazione delle questioni di interesse comune, nello scambio di informazioni sulle migliori pratiche e nella promozione della cooperazione.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• Protezione dati: al via il gemellaggio con la Bosnia-Erzegovina – 2 maggio 2024

• “Privacy Tour 2024”. L’iniziativa del Garante per promuovere la cultura della protezione dei dati e l’uso consapevole delle nuove tecnologie al Sud e nei piccoli centri. Seconda tappa Lecce, 20 aprile.
  Prossima tappa Messina, 3 maggio

• Privacy: bilaterale, avviata stretta cooperazione tra Garante italiano e Garante federale tedesco - Comunicato del 21 aprile 2024

• Privacy: bilaterale tra il Garante italiano e Garante federale tedesco - Comunicato del 18 aprile 2024

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it