Newsletter del 31 gennaio 2025 – Telemarketing, Garante privacy:…

NEWSLETTER N. 531 del 31 gennaio 2025

Telemarketing, Garante privacy: sanzione di oltre 890mila euro a fornitore luce e gas
Dati trattati a fini promozionali senza un’idonea base giuridica

Il Garante privacy ha comminato a E.ON Energia spa una sanzione di oltre 890mila euro per trattamento illecito di dati personali a fini di telemarketing. Il procedimento trae origine dai reclami di due persone che lamentavano la ricezione di numerose chiamate indesiderate e il mancato riscontro alle richieste di esercizio dei diritti sanciti dal Regolamento.

Nel corso dell’istruttoria il Garante ha rilevato, in un caso, che i consensi rilasciati in fase di attivazione delle forniture di luce e gas, erano stati trascritti in maniera errata da un dipendente della società. Errore che ha evidenziato una duplice criticità nei meccanismi di tutela dei dati dei clienti. Da un lato, E.ON non ha introdotto misure idonee a verificare ed assicurare la corrispondenza tra i consensi resi dagli interessati e le informazioni registrate sui sistemi aziendali, ed è così incorsa nella a realizzazione di attività di telemarketing senza un’idonea base giuridica. Dall’altro, è venuta meno agli obblighi di formazione e supervisione dei soggetti incaricati delle attività di telemarketing.

Per quanto riguarda il secondo reclamo, il Garante ha invece accertato l’avvenuta realizzazione di attività di telemarketing mediante l’utilizzo di dati personali raccolti con l’ausilio di un form pubblicato su Facebook nell’ambito di una campagna cd. digital, sebbene l’interessata in questione non avesse mai attivato un account social.

Anche in questo caso, il Garante ha riscontrato che E.ON non effettuava verifiche sulla legittima provenienza dei dati utilizzati per finalità commerciali, né sull’identità dei soggetti che rilasciavano i dati.

Sempre un errore materiale, secondo la società, aveva poi determinato il mancato riscontro all’istanza di esercizio dei diritti dell’interessata.

Oltre alla sanzione pecuniaria di 892.738 euro, l’Autorità ha ordinato alla Società di implementare misure adeguate affinché il trattamento dei dati personali degli interessati avvenga nel rispetto della normativa privacy lungo tutta la filiera del trattamento.

Data breach, FSE Molise: le sanzioni del Garante privacy

Con tre sanzioni di 10mila euro ciascuna, irrogate rispettivamente alla Regione Molise, alla Società Molise dati, e a Engineering ingegneria informatica S.p.A., il Garante privacy ha definito i procedimenti aperti dopo l’intrusione nel Portale regionale FSE verificatasi tra novembre e dicembre 2022.

Il data breach, causato da una vulnerabilità̀ del sistema informatico, aveva consentito a un cittadino autenticato con il ruolo di “assistito”, attraverso una manipolazione della URL, di effettuare una ricerca di informazioni relative a sette individui presenti nell’Anagrafe regionale del Molise. L’accesso non autorizzato aveva riguardato i dati anagrafici; di residenza e domicilio; e quelli contenuti in documenti e referti sanitari degli utenti coinvolti.

Nel corso dell’attività istruttoria, il Garante ha accertato che la violazione era stata provocata da un bug di sicurezza nel sistema di autenticazione con cui si accedeva al Fascicolo Sanitario Elettronico della Regione Molise.

Nel caso specifico, l’Autorità ha sanzionato la Regione Molise in quanto titolare del Portale e la Società Molise dati, in qualità di responsabile dell’attività di implementazione tecnica del FSE, per non aver effettuato verifiche finalizzate a valutare l’eventuale presenza di simili errori nel software sviluppato da Engineering, la società di cui quest’ultima si era avvalsa per lo sviluppo delle componenti tecniche del Portale.

Nel progettare i sistemi informatici utilizzati nell’ambito del FSE, inclusi i sistemi di autenticazione e autorizzazione, Engineering S.p.A., non aveva infatti adottato le misure adeguate a limitare l’accesso da parte degli utenti alle sole informazioni che li riguardavano. Ciò aveva quindi permesso l’illecito da parte di un soggetto terzo, che superata la procedura di autenticazione, aveva potuto utilizzare funzionalità a cui non era autorizzato, mediante la modifica della URL.

Foto di un lifting sui social: il Garante sanziona un chirurgo
Sul profilo del medico le immagini in chiaro di una paziente

Una sanzione di 20mila euro è stata comminata dal Garante Privacy ad un chirurgo per aver pubblicato sul proprio profilo Instagram le foto di una paziente prima e dopo un intervento di lifting del volto, peraltro, senza avere acquisito il consenso alla diffusione delle immagini. L’Autorità è intervenuta a seguito del reclamo della paziente che lamentava la pubblicazione, sul profilo social del medico, di foto che la ritraevano in modo riconoscibile durante l’operazione.

Nel corso dell’istruttoria, il medico ha affermato che le immagini fossero state scattate per uso interno e che la pubblicazione fosse dovuta a un equivoco legato alla gestione dei consensi tra i diversi professionisti coinvolti nell’intervento. Giustificazione ritenuta non sufficiente dal Garante il quale ha dichiarato illecito il trattamento dei dati sanitari della paziente, in quanto effettuato al di fuori delle finalità di cura in violazione della normativa privacy.

Nel determinare la sanzione, il Garante ha considerato la natura sensibile dei dati personali diffusi e il contesto particolare in cui è avvenuta la violazione, nel quale la legittima aspettativa della reclamante di confidenzialità e riservatezza era elevata, anche in considerazione del rapporto professionale e fiduciario con il medico.

Pseudonimizzazione, in consultazione le linee guida dei Garanti privacy europei
L’Autorità italiana ha partecipato alla stesura del documento

I dati pseudonimizzati sono sempre dati personali. È quanto affermano le Linee guida sulla pseudonimizzazione adottate nel corso dell’ultima plenaria del Comitato europeo per la protezione dei dati (EDPB), alla cui stesura ha partecipato il Garante privacy in qualità di co-rapporteur.

Le Linee guida sono ora disponibili in consultazione pubblica fino al 28 febbraio, al termine della quale verranno adottate in versione definitiva.

In base alla definizione fornita dal GDPR, la pseudonimizzazione è una misura che permette di non attribuire i dati personali a uno specifico interessato senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure di sicurezza tecniche e organizzative.

L’EDPB chiarisce che i dati pseudonimizzati sono sempre dati personali, anche se le informazioni necessarie per identificare una persona sono tenute separate. Infatti, se i dati possono essere ricondotti a persone fisiche dal titolare del trattamento o da altri, rimangono dati personali e sono dunque soggetti agli obblighi dettati dal GDPR.

Le linee guida indicano inoltre ambito e vantaggi della pseudonimizzazione: si tratta di una misura di riduzione del rischio e di efficace applicazione dei principi della protezione dei dati secondo il paradigma della privacy by design.

Il documento del Board, inoltre, esamina le misure tecniche e le salvaguardie, nell’utilizzo della pseudonimizzazione, per assicurare la confidenzialità delle informazioni ed evitare l’identificazione non autorizzata degli interessati. La pseudonimizzazione – evidenzia ancora il Comitato europeo – facilita l’utilizzo del legittimo interesse come base giuridica per il trattamento, a condizione che siano soddisfatti tutti gli altri requisiti del GDPR e la verifica della compatibilità con la finalità originaria di un ulteriore trattamento.

L’ATTIVITÀ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

• Intelligenza artificiale: il Garante privacy blocca DeepSeek – Comunicato del 30 gennaio 2025

• IA: il Garante privacy chiede informazioni a DeepSeek. Possibile rischio per i dati di milioni di persone in Italia – Comunicato del 28 gennaio 2025

• Le sfide dell’I.A. – La protezione dei dati nell’era del cambiamento. Il convegno del Garante privacy in occasione della Giornata europea. Il 29 gennaio a Roma presso la Sala del Refettorio di Palazzo San Macuto – Comunicato del 22 gennaio 2025

• “La sua privacy vale più di un like”. Al via il nuovo spot del Garante privacy a tutela dei minori. La campagna di comunicazione è rivolta ai genitori che pubblicano online le foto dei propri figli – Comunicato del 14 gennaio 2025

• Data breach InfoCert: il Garante privacy ha chiesto informazioni alla società – Comunicato del 7 gennaio 2025

   

   

   

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 – 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it