Nuova Newsletter dal Garante Privacy

Telemarketing

Il Garante per la protezione dei dati personali ha multato Sky Italia srl per varie violazioni avvenute durante le attività di telemarketing e invio di comunicazioni commerciali. In risposta a 275 segnalazioni tra il 1° aprile 2022 e il 28 marzo 2023, l'Autorità ha accertato che Sky ha condotto operazioni di marketing telefonico e tramite sms senza controlli sufficienti in materia di informativa e consenso.

L'investigazione ha rivelato che alcune utenze sono state contattate basandosi su consensi ottenuti molto tempo prima, alcune anche prima che il GDPR fosse pienamente efficace, senza ulteriori verifiche da parte di Sky. I consensi acquisiti attraverso società fornitrici di dati non sono stati documentati in modo chiaro, in quanto Sky conservava i dettagli in fogli Excel modificabili.

Il Garante ha inflitto una multa di 842mila euro a Sky, chiedendo alla società di verificare la liceità delle utenze contattate e di adottare misure per chiarire la volontà degli interessati a ricevere telefonate promozionali. Inoltre, è stato ordinato a Sky di registrare i dettagli relativi alla raccolta dei dati personali nei sistemi, anche tramite controlli a campione.

L'Autorità ha vietato a Sky di procedere con ulteriori trattamenti promozionali dei dati personali relativi agli account NOW senza il consenso degli interessati: il possesso di un account NOW, infatti, non implica automaticamente il consenso a ricevere comunicazioni promozionali.

Concorsi PA

Il Garante Privacy ha multato l'INPS con 50.000 euro per aver divulgato online i dati personali di migliaia di partecipanti a un concorso indetto dall'Istituto. Oltre ai nomi, cognomi e date di nascita dei candidati, sono stati resi pubblici il punteggio medio ottenuto nelle prove scritte e orali, i punteggi relativi ai titoli, l'ammissione con riserva, inclusi dettagli sulla salute di più di 5.000 partecipanti tra vincitori e idonei.

L'indagine è iniziata in seguito a controlli eseguiti durante un precedente procedimento in cui il Garante aveva inflitto una multa di 20.000 euro all'Istituto per la divulgazione di documenti intermedi relativi allo stesso concorso, che sono poi stati diffusi anche sui social media da terzi.

Successive indagini dell'Autorità hanno rivelato che anche le graduatorie finali divulgate online contenevano molte informazioni dettagliate sulla vita personale e familiare dei partecipanti, mettendo a rischio la reputazione delle persone coinvolte.

Il Garante ha ribadito che la pubblicazione delle graduatorie deve avvenire nel rispetto delle normative di settore, includendo solo i dati essenziali dei vincitori per garantire trasparenza. La divulgazione online dei dati, diversamente dai mezzi pubblicitari tradizionali, permette a chiunque di accedere a un vasto insieme di informazioni personali tramite motori di ricerca esterni ai siti, non sempre aggiornate e di natura differente. Una volta che i dati sono pubblicati e indicizzati online, c'è il rischio che restino in rete per un periodo indefinito e possano essere utilizzati per altri scopi.

Foto di minori di 14 anni sui social network

Affinché vengano pubblicate sui social network immagini di minori di 14 anni, è necessario il consenso preventivo di entrambi i genitori. Diversamente, se il minore ha superato i quattordici anni, la legge italiana gli concede il diritto di decidere autonomamente sulla pubblicazione.

Lo ha affermato il Garante per la protezione dei dati personali in risposta alla lamentela di una madre, che si era opposta alla pubblicazione di una foto del figlio, ancora minorenne, sul profilo Facebook del padre. La foto ritraeva il bambino insieme al fratello, anch'egli minorenne, e il padre aveva aggiunto un commento sulla loro somiglianza pur essendo nati da madri diverse. Secondo l'Autorità, il consenso di entrambi i genitori è obbligatorio per pubblicare foto di minori di quattordici anni, anche se i genitori hanno l'affidamento condiviso dei figli. Pertanto, ha concluso il Garante, la pubblicazione della foto del minore sulla “piazza virtuale” dei social è da considerarsi illecita.

Il Garante ha ammonito il padre e ha disposto il divieto di pubblicare l'immagine del figlio senza l'approvazione di entrambi i genitori. Il padre, inoltre, dovrà comunicare entro 30 giorni le azioni intraprese per rispettare le disposizioni del Garante.

Codice di condotta per i produttori di software gestionali

Il Garante Privacy ha approvato il Codice di condotta presentato da Assosoftware, l'Associazione italiana dei produttori di software in Italia, concernente il trattamento dei dati personali da parte delle imprese sviluppatrici e produttrici di software gestionali (SWH).

Questi software, utilizzati da aziende, associazioni, professionisti ed enti pubblici, garantiscono il rispetto degli obblighi fiscali, previdenziali, assistenziali e gestionali, includendo la preparazione dei bilanci, la gestione del personale e le pratiche societarie, con un impatto significativo sulla protezione dei dati personali.

In particolare, questi software automatizzano i processi interni delle aziende per quanto riguarda la gestione della fatturazione, le relazioni con i clienti e, per i professionisti, la gestione delle attività contabili, tributarie, lavorative e legali.

Dato il livello di sensibilità dei dati trattati, il Codice mira a stabilire una serie di regole e misure tecniche e organizzative per garantire che i software sviluppati e resi disponibili sul mercato dalle aziende aderenti ad Assosoftware siano conformi ai principi di protezione dei dati sin dalla fase di progettazione (by design) e per impostazione predefinita (by default).

L'obiettivo è promuovere il rispetto del Regolamento UE e fornire agli utenti strumenti adeguati per adempiere agli obblighi di protezione dei dati relativi ai trattamenti effettuati tramite i software.

Oltre ad approvare il Codice di condotta, il Garante ha anche accreditato l'Organismo di monitoraggio correlato, composto da esperti del settore ICT con competenze specifiche sulla protezione dei dati personali. Il Codice è stato pubblicato nella Gazzetta Ufficiale n. 278 del 27 novembre 2024.