Rivenditore auto on line sanzionato per violazione privacy

Ricevere email pubblicitarie non richieste è fastidioso, ma quando dietro questi messaggi si nascondono vere e proprie violazioni della privacy, è importante sapere che esistono strumenti di tutela. 

Lo dimostra il recente provvedimento del Garante per la protezione dei dati personali, che ha inflitto una sanzione di 45mila euro a un rivenditore di auto online per trattamento illecito dei dati personali a fini di marketing.

Cosa è successo?

La vicenda prende le mosse dal reclamo di un consumatore che, nonostante le ripetute richieste, continuava a ricevere numerose email pubblicitarie indesiderate. Il cliente, in particolare, lamentava che i messaggi arrivassero da indirizzi email sempre diversi, appartenenti a presunti "partner promozionali" della società, di cui però non aveva mai sentito parlare e a cui non aveva mai prestato il proprio consenso.

A seguito della segnalazione inoltrata al Garante, quest'ultimo ha avviato l'indagine.

Le irregolarità accertate

Dagli accertamenti del Garante sono emerse diverse criticità nel modo in cui il rivenditore gestiva i dati dei propri clienti. In particolare:

- Mancanza di controlli sui partner pubblicitari: la società non aveva predisposto adeguate misure per disciplinare i rapporti con i propri partner, i quali potevano così trattare liberamente i dati personali dei clienti senza alcun controllo e in violazione della normativa privacy.

- Assenza di un sistema di consenso valido: secondo la legge, per inviare comunicazioni promozionali è necessario ottenere un consenso espresso, chiaro e dimostrabile da parte dell'interessato. Tra le modalità più sicure c'è il cosiddetto double opt-in, un processo che richiede una doppia conferma da parte dell'utente prima di ricevere pubblicità. Nel caso in questione, questo meccanismo non era stato adottato.

- Diritti dei consumatori ignorati

Un altro aspetto grave evidenziato dal Garante riguarda il mancato rispetto delle richieste di opposizione da parte del cliente. Nonostante il consumatore avesse chiesto esplicitamente di non ricevere ulteriori comunicazioni, la società aveva semplicemente inserito il suo nominativo in una "black list" interna. Tuttavia, questo provvedimento si è rivelato inefficace, perché i partner esterni, non essendo stati correttamente gestiti, hanno continuato ad inviare email pubblicitarie.

Germania: maxi sanzione a Vodafone per violazione dei dati personali

Vodafone ancora costretta a pagare per le falle nel trattamento dei dati personali, ed in questo caso la sanzione è veramente importante: 45.000.000 di euro.

La notizia è arrivata dalla Germania, dove è esploso un caso che ha attirato l’attenzione di media e istituzioni: il Garante per la privacy tedesco (BfDI – Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) ha inflitto a Vodafone una multa pesantissima, dopo aver rilevato molte criticità nella gestione dei dati personali.

La vicenda dimostra, ancora una volta, che la questione della privacy e del trattamento dei dati personali è tutt'altro secondaria, sicché le società non possono abusarne e trarne un vantaggio.

Utilizzo illegittimo dati personali - corretta la sanzione del Garante Privacy

Non possiamo che essere d'accordo con il provvedimento n. 278 dello scorso 29 aprile 2025, con il quale il Garante Privacy ha sanzionato una società di intermediazione immobiliare per violazione dei dati personali.

Oggetto dell'intervento dell'Autorità garante è, ancora una volta, il marketing telefonico e l'uso improprio dei dati personali fatto da parte di professionisti, i quali sono più interessati a trovare nuovi clienti invece che trattare in modo adeguato le informazioni dei destinatari delle telefonate. 

Nel caso di specie, il Garante ha accertato diverse violazioni da parte della società, tra le quali la mancanza di controlli adeguati; gestione superficiale della privacy e una generale non conformità alle regole del GDPR. 

Sotto quest'ultimo aspetto, l'Autorità ha censurato la gestione delle informazioni operata dal professionista, il quale non ha saputo dimostrare di avere una organizzazione seria e responsabile dei dati personali.

La società è stata oggetto di sanzione per le seguenti carenze:

• mancanza di controlli interni sui flussi dati;
• assenza o incompletezza delle informative;
• registri trattamenti non aggiornati o inesistenti.

Di fatto, la gestione della privacy è risultata, o almeno così ci pare di comprendere, improvvisata da parte di una società che tratta i dati personali dei consumatori con continuità periodica. 

Provvedimento Garante Privacy n. 278 del 29 aprile 2025.

La sua privacy vale molto più di un like - le raccomandazioni per i genitori

Fonte: Garante privacy

Sky sanzionata per scarsa tutela dei dati personali dei clienti

La condanna di Sky da parte dell'Autorità per la protezione dei dati personali (provvedimento n. 553 del 12 settembre 2024) ci permette di tornare ad affrontare un argomento delicato, ossia la tutela dei dati personali da parte degli operatori on line.

L'indagine conclusa dal Garante privacy, infatti, ha accertato determinate violazioni da parte del professionista, nell' attività di telemarketing e di invio di comunicazioni commerciali ai propri clienti, sanzionando condotte che si sono reiterate negli anni (si consideri che l'indagine ha preso avvio a seguito di qualche centinaio di segnalazioni pervenute al garante tra il 2022 e il 2023).

All'esito dell'indagine avviata, il Garante ha potuto rilevare un errato trattamento dei dati personali da parte della società oggetto di indagine, in violazione del Regolamento Generale sulla Protezione dei Dati (GDPR).

Le censure sollevate verso Sky hanno riguardato, in particolare, la commercializzazione del servizio "NOWTV", avvenuta attraverso l'illegittimo utilizzo dei dati personali dei clienti, invitato a concludere nuovi rapporti commerciali con la società a seguito di comunicazioni inviate al consumatore in carenza di un preventivo preventivo consenso dell'interessato al trattamento dei dati personali, sul mero presupposto, ritenuto errato, che la sollecitazione commerciale fosse giustificata dalla mera esistenza di un pregresso account NOW.

Sotto questo profilo, l'Autorità ha censurato la condotta di Sky, lamentando un omesso consenso informato conferito dal consumatore, non informato sulla  finalità del trattamento dei dati personali a fini promozionali.

L'Autorità garante ha sollevato una seconda contestazione a Sky,  accusata di aver utilizzato i dati ottenuto da società terze, in assenza di una adeguata verifica della legittimità dei dati acquisiti, ai fini di comunicazioni commerciali mediante SMS o telefonate.

La società avrebbe svolto l'attività commerciale senza un preventivo controllo dei dati personali ottenuti, ed in particolare della legittimità della raccolta operata dal soggetto terzo.

Accade, di frequente, che a seguito di richiesta di comunicazione delle modalità attraverso la quale la società ha ottenuto i dati, gli operatori telefonici non sappiano (oppure non hanno intenzione) rendere noto al consumatore quale sia il consenso informato che li abbia legittimati al contatto commerciale. Ancora di recente, la Corte di giustizia dell'Unione europea ha ribadito il diritto del soggetto interessato a conoscere come siano utilizzati i dati personali e se siano stati oggetto di cessione (vedi qui).

Non è la prima sanzione per attività di telemarketing svolta in violazione dei dati personali del soggetto interessato, ma attesta come questo "mercato" sia decisamente attivo e portato avanti dalle aziende senza l'adozione di misure organizzative interne idonee alla tutela del cliente e nel rispetto delle norme vigenti.

Invero, nemmeno noi consumatori comprendiamo quanto tale materia sia delicata e che valore possano assumere i dati personali, anche sotto il profilo commerciale, e questo provvedimento ci dimostra come sia necessaria una maggiore sensibilità da parte nostra verso le pratiche di telemarketing scorrette.

Garante per la tutela dei dati personali - provvedimento n. 553/2024 del 12 settembre 2024 (visibile con browser Opera - VPN attivo)

OpenAI sanzionata per violazione dei dati personali

Fonte: comunicato stampa
20 dicembre 2024

Il Garante per la protezione dei dati personali ha adottato nei giorni scorsi un provvedimento correttivo e sanzionatorio nei confronti di OpenAI in relazione alla gestione del servizio ChatGPT.

Il provvedimento, che accerta le violazioni a suo tempo contestate alla società californiana, arriva all’esito di un’istruttoria avviata nel marzo del 2023 e dopo che l’EDPB (Comitato europeo per la protezione dei dati) ha pubblicato il parere con il quale identifica un approccio comune ad alcune delle più rilevanti questioni relative al trattamento dei dati personali nel contesto della progettazione, sviluppo e distribuzione di servizi basati sull’intelligenza artificiale.

Secondo il Garante la società statunitense, che ha creato e gestisce il chatbot di intelligenza artificiale generativa, oltre a non aver notificato all’Autorità la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un’adeguata base giuridica e ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Per di più, OpenAI non ha previsto meccanismi per la verifica dell’età, con il conseguente rischio di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

Trading on line truffa: i suggerimenti della Polizia postale

Fonte: Comunicato stampa

30 ottobre 2024

Falso trading online, la truffa informatica sulle attività di compravendita di azioni e titoli finanziari in rete, è un fenomeno criminale in espansione che produce un guadagno illecito di milioni di euro, rappresentando, nel panorama delle frodi online, la truffa che genera il profitto più cospicuo, alimentando peraltro l’interesse della criminalità organizzata.

Nel 2023 la Polizia Postale ha ricevuto oltre 3400 denunce di truffe legate alle false proposte di investimenti online, con un incremento del 12% rispetto all'anno precedente, per un valore complessivo dei fondi sottratti di oltre 111 milioni di euro.

I falsi investimenti finanziari vengono pubblicizzati con messaggi creati ad hoc, capaci di indurre gli utenti del web a fidarsi di proposte ingannevoli, grazie all’uso illecito di marchi e loghi di importanti aziende. Le potenzialità offerte dall’intelligenza artificiale rappresentano un prezioso strumento nelle mani dei cybercriminali: l’utilizzo di semplici software consente loro di realizzare video promozionali che riproducono voce e aspetto di amministratori delegati, politici, personalità amate dal pubblico, a cui vengono attribuite parole mai dette al fine di promuovere l’offerta.

La vittima dell’inganno viene “agganciata” al telefono, su social e siti d’incontri, indotta a comunicare i propri dati e infine persuasa a investire online, affidandosi ai consigli di un truffatore che si finge broker professionista con il versamento di una piccola somma iniziale. In un secondo momento, viene convinta a investire altro denaro, perché crede che il suo rendimento stia crescendo velocemente. L’ultima fase della truffa consiste nella richiesta del versamento di presunti “costi di sblocco” per recuperare il capitale investito, ma in nessun caso il denaro versato tornerà nella disponibilità della vittima.

L’arma più efficace per contrastare questo fenomeno criminale è la prevenzione. La realtà non è sempre quella che appare sulla Rete:

• Non credere alla promessa di guadagni fuori mercato
• Non condividere dati personali, bancari, credenziali di accesso con presunti agenti finanziari;
• Verifica l’attendibilità chi ti propone l’investimento, visitando i siti della Consob e della Banca D’Italia;
• Utilizza esclusivamente piattaforme ufficiali evitando di cliccare su banner pubblicitari;
• La richiesta di un pagamento ulteriore, con il pretesto di sbloccare il capitale investito, è la modalità utilizzata dai cybercriminali per estorcere altro denaro che non verrà comunque restituito. 

Se ti riconosci in questa tipologia di truffa, fai subito denuncia: la tempestività è fondamentale per attivare gli accertamenti volti all’identificazione degli autori e al possibile recupero delle somme.

Per informazioni e segnalazioni rivolgiti alla Polizia Postale tramite il sito ufficiale www.commissariatodips.it.

Qualunque cosa accada, hai diritto ad essere tutelato.

2139 exchange: nuovo grave esempio di truffa digitale

Un nuovo e grave episodio di truffa digitale sta colpendo i consumatori italiani rimasti nella rete di 2139 exchange, piattaforma digitale di falsi scambi di criptovalute che è stata oscurata da Consob alcuni giorni addietro.

Tre siti web sono stati utilizzati per creare un sistema di trading in criptovalute o per l'intermediazione di strumenti finanziari e, in quanto priva di autorizzazione, è stata oggetto del provvedimento della Consob.

In realtà, dietro il sistema di trading si nascondeva una caratteristica catena ove qualcuno ha guadagnato tantissimo a discapito della maggioranza (si parla di quasi 2.000 persone solo in Italia), rimasti nella rete della truffa digitale.

La piattaforma digitale garantiva una resa dell'1% giornaliero, quindi oggettivamente irrealizzabile, ma che evidentemente ha allettato gli avidi risparmiatori alla ricerca del guadagno facile.

E' evidente che l'artifizio è stato creato ad arte, facendo credere dell'esistenza di una società dietro i siti web, la quale avrebbe anche disposto di licenze per operare sui mercati finanziari negli Stati Uniti e a Singapore, con esperti del settore che garantivano presunte performance.

L'ignaro truffato veniva riempito di grafici ed prospetti che "disegnavano" un futuro con guadagni certi nel breve/medio periodo, così da incentivarlo a versare i propri denari in questo tipo di iniziativa.

Abbiamo diritto ad ottenere copia della cartella medica in modo gratuito. Così la Corte di giustizia

 Uno dei diritti meno conosciuti dai consumatori e quello loro spettante ad ottenere copia dei documenti che li riguardano.

Non di rado, infatti, a fronte di una richiesta avanzata verso un professionista o una società, si ottiene quale risposta "io le ho dato i documenti, cerchi meglio", ritenendo adempiuto tale obbligo e senza dover consegnare ulteriore documentazione al cliente.

Ed invece no!

Occorre ricordare che quando avete a che fare con un professionista, vi sono due regole fondamentali:

(1) il professionista deve conservare tutti i documenti relativi all'attività svolta in vostro favore per dieci anni;

(2) avete diritto ad ottenere copia della documentazione relativa al "fascicolo".

Quest'ultimo aspetto trova un riconoscimento, ormai consolidato, in ambito comunitario, come da ultima disciplina intervenuta con il Regolamento 2016/679 (GDPR), ove il legislatore comunitario ha voluto disciplinare in modo più completo e chiaro la materia, anche alla luce dei nuovi mercati telematici.

- Il diritto del consumatore al trattamento dei dati personali - obbligo informativo (art. 12 GDPR)

Il Regolamento comunitario ha descritto i diritti riservati al titolare dei dati personali e conseguenti doveri gravanti verso sulle imprese, chiamati ad ottenere un consenso da parte del cliente, conservare in modo idoneo i dati personali trattati, nonché renderli disponibili a fronte di una richiesta da parte del "proprietario".

Quest'ultimo aspetto è quello che più ci interessa, ossia la richiesta al titolare del trattamento in merito a come siano trattate le informazioni da noi ottenute.

L'art. 12 comma 3 del GDPR prevede che:" Il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. 

Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. 

Se l'interessato presenta la richiesta mediante mezzi elettronici, le  informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'interessato.".

La norma è chiara nello stabilire modalità e tempi entro i quali il titolare dei dati personali deve fornire le informazioni in merito a quali dati sono stati trattati, come sono trattati e come sono conservati.

Con il successivo art. 12 comma 5, viene previsto che: "Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell'articolo 34 sono gratuite. 

Se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere  ripetitivo, il titolare del trattamento può:

a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l'azione richiesta; oppure

b) rifiutare di soddisfare la richiesta.

Incombe al titolare del trattamento l'onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.".

La norma introduce un obbligo di risposta in capo al professionista che non può rifiutarsi di non dare adempimento alla richiesta formulata, ma al più può rifiutarsi di riscontrare la richiesta, perché manifestamente infondata, fornendo le dovute giustificazioni. 

- Diritto di accesso ai dati personali - diritto alla consegna di copia dei documenti contenenti dati personali (art. 15 GDPR)

Il consumatore, però, ha anche diritto di accesso ai dati personali, modifica o cancellazione, così come statuito all' art. 15 comma 1 del GDPR:" L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f) il diritto di proporre reclamo a un'autorità di controllo;

g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;

h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.".

Il successivo comma 3 prevede, in modo specifico, il diritto del titolare ad ottenere copia di tutti i documenti ove sono trattati i propri dati personali.

"Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. 

Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune.".

Esiste, quindi, il diritto per il consumatore di ottenere copia dei documenti relativi contenenti propri dati personali, anche se creati dall'operatore professionali, se al suo interno contengono informazioni relativi al titolare dei dati.

- Dati personali e ospedale: il diritto ad ottenere copia della cartella medica

Quanto fin qui esposto trova sua applicazione anche nei rapporti tra struttura ospedaliera ed utente (paziente), laddove quest'ultimo si rivolga all'ente pubblico (o alla società privata) per chiedere copia della cartella medica.

Di recente, la Corte di Giustizia dell'Unione europea ha avuto modo di chiarire alcuni aspetti riguardanti l'esercizio dei diritti spettanti al titolare dei dati personali in ambito sanitario.

Il Giudice comunitario ha ribadito che il paziente ha diritto ad ottenere copia gratuita dell'intera cartella medica, sia in forma cartacea o telematica, potendo al più, chiedere un mero rimborso delle spese sostenute.

Tale richiesta di rimborso, però, deve essere giustificata e non eccessivamente (ed inutilmente) eccessiva, al fine di evitare che sia utilizzato come escamotage per disincentivare il paziente ad esercitare i propri diritti ("non deve ledere i diritti e libertà"). 

Corte di Giustizia UE C-307/2022

Attivazione contratti non richiesti - Garante privacy sanziona Hera Comm

Fonte: newsletter
13 settembre 2024

Il Garante Privacy ha ordinato a Hera Comm S.p.A. il pagamento di una sanzione di 5milioni di euro per gravi violazioni riscontrate nel trattamento dei dati personali di oltre 2.300 clienti nell’ambito della fornitura di energia elettrica e gas.

L’Autorità è intervenuta a seguito di numerose segnalazioni e reclami riguardanti la conclusione di contratti non richiesti nel mercato libero, compilati con dati inesatti e non aggiornati di clienti della società.

In particolare, i reclamanti lamentavano di aver appreso dell’instaurazione del nuovo contratto, solo dopo la ricezione da parte di Hera di documentazione sottoscritta con firma apocrifa o di comunicazioni per aggiornare lo stato di attivazione della fornitura, senza aver mai avuto alcun contatto con la società. Alcuni reclami riguardavano inoltre l’inesatto o tardivo riscontro di Hera alle richieste di esercizio dei diritti ai sensi del Regolamento privacy.

Eni Plenitude condannata per violazione del Registro delle opposizioni

Ecco cosa succede agli operatori professionali che violano le regole e, contattando utenti iscritte al Registro delle Opposizioni, fanno sottoscrivere contratti per il servizio energia elettrica e gas non richiesti.

Ma quale vantaggio trae chi si è visto violare i propri diritti, ossia le migliaia di consumatori danneggiati? 

Per chiarire la questione, occorre premettere che il Garante per la protezione dei dati personali ha sanzionato Eni Plenitude per 6.419.631 euro, all'esito di una indagine con la quale è stata accertata la condotta scorretta della società, la quale attraverso pratiche di telemarketing, ha effettuato proposte promozionali - con cambio dei contratti - verso numeri di telefono di persone iscritte al Registro pubblico delle opposizioni.

L'Autorità garante ha contestato alla società, inoltre, l'aver omesso ogni attività di controllo sull'attività del telemarketing e sui contratti conclusi a mezzo di  contatti illeciti, violando i diritti dei consumatori che hanno cambiato il proprio contratto all'esito di condotte commerciali scorrette.

Queste violazioni sono state applicate dal Garante a seguito delle segnalazioni e reclami inoltrati dai consumatori danneggiati, avendo visto violati i propri dati personali e, non secondario, portati a concludere un contratto che avrebbero potuto anche non sottoscrivere.

Ma questi consumatori danneggiati quale vantaggio possono ottenere dall'intervento del Garante? fondamentalmente nessuno, visto che la procedura non prevede un risarcimento in loro favore.

E quindi, a cosa serve l'iscrizione al Registro delle opposizioni se anche nel caso di violazione, il consumatore non riceve alcun ristoro?

Avevamo già segnalato, tempo addietro, le criticità di questo sistema (leggi qui), e ci sembra che ancora oggi vi siano dei limiti al sistema, dal punto di vista del titolare dei dati personali.

Di seguito, il provvedimento del Garante privacy.

Dati personali: ASL sanzionata per la violazione del dossier telematico

Fonte: Newsletter
10 aprile 2024

Il Garante Privacy ha sanzionato per 75mila euro una Asl per non aver configurato correttamente le modalità di accesso al dossier sanitario elettronico (Dse). L’Autorità si è attivata a seguito di alcuni reclami e segnalazioni che lamentavano il trattamento illecito di dati personali effettuato tramite il sistema di archiviazione e refertazione delle prestazioni erogate dall’azienda sanitaria. In particolare, erano stati segnalati ripetuti accessi al Dse da parte di personale sanitario non coinvolto nel processo di cura dei pazienti. In un caso, una professionista della Asl era infatti riuscita a visionare gli esami di laboratorio dell’ex marito a sua insaputa pur essendo quest’ultimo non in cura da lei.

Dalle verifiche effettuate dall’Autorità è emerso che il sistema di gestione del Dse consentiva agli operatori sanitari di inserire manualmente, mediante autocertificazione, la motivazione per cui si rendeva necessario l’accesso al dossier sanitario. L’accesso al documento era inoltre consentito, per impostazione predefinita, ad una ampia lista di figure professionali che niente avevano a che fare con il percorso di cura dei pazienti, compreso il personale amministrativo.

Il tutto in violazione di quanto stabilito dal Garante Privacy con le “Linee guida in materia di Dossier sanitario” del giugno 2015, con cui l’Autorità ha stabilito che “il titolare del trattamento deve porre particolare attenzione nell’individuazione dei profili di autorizzazione, adottando modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso proprie di ciascuna struttura” garantendo che l’accesso al dossier sia limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente.

Il Garante Privacy ha infine accertato ulteriori illeciti, tra cui la mancata predisposizione di un sistema di alert, volto ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati al trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi).

Oltre ad applicare la sanzione amministrativa, l’Autorità ha dunque ordinato all’Asl di mettere in atto tutte le misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali trattati e scongiurare nuovi accessi abusivi.

Polizia Postale: attenti alla falsa convocazione giudiziaria!

Fonte: comunicato stampa

2 aprile 2024

È in corso una nuova campagna di phishing riguardante false convocazioni giudiziarie a firma del Capo della Polizia – Direttore Generale della Pubblica Sicurezza.

La convocazione, proveniente dalla Direzione Centrale della Polizia di Prevenzione – Brigata dei Giovani della Repubblica Italiana e recante sullo sfondo il logo dell’Agenzia Nazionale per la Cybersicurezza (ACN), prospetta alla vittima un’inesistente indagine penale nei suoi confronti per i reati di pornografia infantile, pedofilia, esibizionismo e pornografia informatica. Lo scopo è quello di causare nel destinatario uno stato di agitazione e di indurlo a ricontattare il truffatore entro 72 ore, inviando le proprie giustificazioni. Successivamente, alla vittima verrà chiesto il pagamento di una somma di denaro per evitare le condanna.

La Polizia Postale raccomanda di diffidare da simili messaggi: nessuna forza di Polizia contatterebbe mai direttamente i cittadini, attraverso email o messaggi, per chiedere loro dati personali o pagamenti in denaro, con la minaccia procedimenti penali a loro carico. 

Di seguito, un esempio di phishing.

Video sorveglianza ed altri casi. I suggerimenti del Garante privacy

Fonte: Garante privacy

Bene il Garante privacy che multa Enel Energia!

Fonte: comunicato stampa
29 febbraio 2024

Il Garante Privacy ha inflitto a Enel Energia una sanzione di oltre 79 milioni di euro per le gravi carenze nei trattamenti dei dati personali di numerosi utenti del settore dell’energia elettrica e del gas, realizzati ai fini di telemarketing.

Il procedimento ha tratto origine da un’indagine della Guardia di finanza a seguito della quale l’Autorità aveva a suo tempo già applicato a quattro società sanzioni per 1 milione e 800mila euro e confiscato alcune banche dati utilizzate per attività illecite.

Dagli ulteriori accertamenti svolti dal Garante è emerso che Enel Energia aveva acquisito ben 978 contratti dalle quattro società, nonostante queste non appartenessero alla rete di vendita della compagnia energetica.

Inoltre, a seguito di successive ispezioni presso Enel Energia, l’Autorità ha accertato che i sistemi informativi destinati alla gestione dei clienti e all’attivazione dei servizi da parte della compagnia mostravano gravi carenze di sicurezza. Enel non aveva messo in atto tutte le necessarie misure per prevenire le attività illecite dei procacciatori abusivi che - individuando agevoli “porte d’ingresso” nei sistemi informativi della compagnia - hanno alimentato per anni un business illecito realizzato mediante chiamate di disturbo, promozioni di servizi e sottoscrizione di contratti senza reali vantaggi economici per i clienti.

Alla luce delle gravi violazioni riscontrate, che nel corso del tempo hanno riguardato l’attivazione di almeno 9300 contratti, il Garante ha pertanto irrogato ad Enel Energia una sanzione di 79.107.101 euro, la più alta mai applicata dall’Autorità.

Mondo connesso e nuove tecnologie. I suggerimenti del Garante privacy

Fonte: Garante privacy

Vita dello studente. I suggerimenti del Garante privacy

Fonte: Garante dati personali

Videosorveglianza - no alla telecamera che riprende gli spazi pubblici

Questa domenica proponiamo la lettura di un provvedimento reso dal Garante per la protezione dei dati personali che ha affrontato una questione tutt'altro che rara, ossia la possibilità per il privato di poter installare una telecamera per la videosorveglianza che inquadri anche una zona pubblica.

Nel caso di specie, la telecamera era stata predisposta con finalità di sorveglianza di una zona privata, ma anche una zona pubblica - un parco - era oggetto delle riprese del dispositivo elettronico.

Occorre premettere che l'installazione di un dispositivo idoneo alla riproduzione video deve essere rispettosa delle norme previste in materia di tutela dei dati personali, in particolare laddove la telecamera viene installata in un ambiente esterno.

La predisposizione dell'apparecchio video non è soggetta a preventiva approvazione da parte dell'autorità pubblica, nemmeno il garante, ma deve rispettare una serie di liceità, proporzionalità, finalità e necessità.

Senza volerci addentrare troppo nelle linee guida stilate dal Garante, occorre che il dispositivo video sia installato per reale necessità, tutelando sia gli interessi del privato che di tutela della riservatezza dei terzi.

Per tale ragione, ad esempio, sussiste l'obbligo di conservazione del video per sole 24 ore, al massimo 48 ore, nonché l'obbligo di metterlo a disposizione dell'autorità giudiziaria che ne faccia richiesta per ragioni di indagine.

Si ricorda, a tal proposito, che anche per tali dati vi è l'obbligo di indicazione di un titolare chiamato a trattare le immagini e rispondere nel caso di violazione delle norme in materia di protezione dei dati personali.

Il provvedimento in oggetto riguarda la fattispecie ove la macchina da ripresa del video vada a impattare anche su un luogo pubblico, non solo sotto il profilo delle immagini, ma anche dal punto di vista audio, in quanto il dispositivo riprendeva anche le conversazioni di coloro che passeggiavano in quella zona.

Il Garante ha condannato questo tipo di condotta, evidenziando che la telecamera che riprende zone pubbliche deve rispettare i principi di liceità e necessità previsti dalla normativa nazionale, e nel caso di specie sono stati violati gli art. 5, par.1, lett. a), c) e 6, par. 1, del Regolamento, nonché l’art. 13 del Regolamento.

Qui di seguito il provvedimento n. 477 del 12 ottobre 2023 del Garante privacy. 

Garante privacy: ChatGPT garantisce la protezione dei dati personali dei consumatori italiani

Fonte: comunicato stampa

28 aprile 2023

OpenAI, la società statunitense che gestisce ChatGPT, ha fatto pervenire al Garante per la protezione dei dati personali una nota nella quale illustra le misure introdotte in ottemperanza alle richieste dell’Autorità contenute nel provvedimento dello scorso 11 aprile, spiegando di aver messo a disposizione degli utenti e non utenti europei e, in alcuni casi, anche extra-europei, una serie di informazioni aggiuntive, di aver modificato e chiarito alcuni punti e riconosciuto a utenti e non utenti soluzioni accessibili per l’esercizio dei loro diritti.  Alla luce di questi miglioramenti OpenAI ha reso nuovamente accessibile ChatGPT agli utenti italiani.

OpenAI, in particolare, ha:

•    predisposto e pubblicato sul proprio sito un’informativa rivolta a tutti gli utenti e non utenti, in Europa e nel resto del mondo, per illustrare quali dati personali e con quali modalità sono trattati per l’addestramento degli algoritmi e per ricordare che chiunque ha diritto di opporsi a tale trattamento;

•    ampliato l’informativa sul trattamento dei dati riservata agli utenti del servizio rendendola ora accessibile anche nella maschera di registrazione prima che un utente si registri al servizio;

•    riconosciuto a tutte le persone che vivono in Europa, anche non utenti, il diritto di opporsi a che i loro dati personali siano trattati per l’addestramento degli algoritmi anche attraverso un apposito modulo compilabile online e facilmente accessibile;

•    ha introdotto una schermata di benvenuto alla riattivazione di ChatGPT in Italia, con i rimandi alla nuova informativa sulla privacy e alle modalità di trattamento dei dati personali per il training degli algoritmi;

•    ha previsto per gli interessati la possibilità di far cancellare le informazioni ritenute errate dichiarandosi, allo stato, tecnicamente impossibilitata a correggere gli errori;

•    ha chiarito, nell’informativa riservata agli utenti, che mentre continuerà a trattare taluni dati personali per garantire il corretto funzionamento del servizio sulla base del contratto, tratterà i loro dati personali ai fini dell’addestramento degli algoritmi, salvo che esercitino il diritto di opposizione, sulla base del legittimo interesse; 

•    ha implementato per gli utenti già nei giorni scorsi un modulo che consente a tutti gli utenti europei di esercitare il diritto di opposizione al trattamento dei propri dati personali e poter così escludere le conversazioni e la relativa cronologia dal training dei propri algoritmi; 

•    ha inserito nella schermata di benvenuto riservata agli utenti italiani già registrati al servizio un pulsante attraverso il quale, per riaccedere al servizio, dovranno dichiarare di essere maggiorenni o ultratredicenni e, in questo caso, di avere il consenso dei genitori;

•    ha inserito nella maschera di registrazione al servizio la richiesta della data di nascita prevedendo un blocco alla registrazione per gli utenti infratredicenni e prevedendo, nell’ipotesi di utenti ultratredicenni ma minorenni che debbano confermare di avere il consenso dei genitori all’uso del servizio.

L’Autorità esprime soddisfazione per le misure intraprese e auspica che OpenAI, nelle prossime settimane, ottemperi alle ulteriori richieste impartitele con lo stesso provvedimento dell’11 aprile con particolare riferimento all’implementazione di un sistema di verifica dell’età e alla pianificazione e realizzazione di una campagna di comunicazione finalizzata a informare tutti gli italiani di quanto accaduto e della possibilità di opporsi all’utilizzo dei propri dati personali ai fini dell’addestramento degli algoritmi.

L’Autorità riconosce i passi in avanti compiuti per coniugare il progresso tecnologico con il rispetto dei diritti delle persone e auspica che la società prosegua lungo questo percorso di adeguamento alla normativa europea sulla protezione dati.

L’Autorità proseguirà dunque nell’attività istruttoria avviata nei confronti di OpenAI e nel lavoro che porterà avanti la apposita task force costituita in seno al Comitato che riunisce le Autorità per la privacy dell’Unione europea.

Il consumatore ha diritto di sapere a chi sono stati ceduti i suoi dati personali

La Corte di Giustizia ha, con la recente sentenza che trovate di seguito, ribadito il principio secondo il quale il consumatore che cede i propri dati al professionista, ha diritto di sapere come vengono utilizzate le informazioni ricevute e, in particolare, a chi sono state cedute.

Si richiama, a tal proposito, l'art. 15 della Direttiva 679/2016 (GDPR), la quale prevede: 

"1. L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f) il diritto di proporre reclamo a un'autorità di controllo;

g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;

h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.".

La medesima norma prevede, inoltre, che se i dati sono stati ceduti in altro paese dell'Unione, è onere del professionista di comunicarlo e garantire il rispetto delle tutele della riservatezza dei dati personali, così come disciplinati dalla normativa comunitaria.

E il diritto ad ottenere le informazioni dei destinatari dei dati personali del consumatori non è sindacabile o limitabile dalla controparte come ribadito dalla Corte, la quale ha enucleato il seguente principio: "il diritto di accesso dell’interessato ai dati personali che lo riguardano, previsto da tale disposizione, implica, qualora tali dati siano stati o saranno comunicati a destinatari, l’obbligo per il titolare del trattamento di fornire a detto interessato l’identità stessa di tali destinatari, a meno che sia impossibile identificare detti destinatari o che il suddetto titolare del trattamento  dimostri che le richieste di accesso dell’interessato sono manifestamente infondate o eccessive, ai sensi dell’articolo 12, paragrafo 5, del regolamento 2016/679, nel qual caso il titolare del trattamento può indicare a detto interessato unicamente  le categorie di destinatari di cui trattasi.".

Di seguito, il provvedimento C - 124/2021 della Corte di giustizia dell'Unione europea.