Questi gli ultimi provvedimenti del Garante per la protezione dei dati personali contenuti nella newsletter numero 498 del 22 dicembre 2022.
Energia sanzionata Areti s.p.a. La società, impiegata nella distribuzione di energia elettrica nella Capitale, classificava migliaia di utenti come “morosi”, i quali non riuscivano pertanto a passare ad un altro fornitore, perdendo di fatto il i possibili vantaggi e risparmi derivati dalla liberalizzazione del mercato energetico. A seguito dell’istanza di un cliente, il Garante per la protezione dei dati personali ha dichiarato illecito il trattamento di dati effettuato dalla Società e ha comminato una sanzione di 1 milione di euro. L’impossibilità dei clienti di cambiare fornitore era dovuta a un trattamento di dati inesatti e non aggiornati e causato da un disallineamento dei sistemi interni della Società, che ha comportato l’errata comunicazione in ordine alla morosità in corso al Sistema informativo integrato SII , la banca dati consultata da tutti i fornitori prima di sottoscrivere un nuovo contratto e che permette ai fornitori di valutare la convenienza nell’acquisto di nuovi clienti. A causa dell’errore di Areti, oltre 47mila potenziali clienti si erano visti negare l’attivazione di fornitura energetica. Dall’istruttoria del Garante sono emerse altresì inadeguate tempistiche nella conservazione dei dati, migrazione di dati non esatti nell’ambito dei propri sistemi e inidoneo riscontro all’istanza con la quale il reclamante aveva esercitato i propri diritti. È stata pertanto contestata anche una violazione del principio di accountability in quanto le misure tecniche adottate per conformare il trattamento dati al Regolamento europeo non sono risultate adeguate. Lavoro no alle impronte digitali per rilevare le presenze. È stata irrogata una sanzione di 20mila euro a una società sportiva che aveva introdotto un sistema di rilevazione delle impronte digitali per accertare la presenza dei dipendenti. Il Garante ha ricordato che il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario all’adempimento di obblighi o in esercizio di diritti del datore di lavoro previsti, con adeguate garanzie, dalla legge. L’istruttoria, che ha preso il via a seguito della segnalazione di una organizzazione sindacale, ha rilevato come per ben quattro anni la società avesse rilevato le impronte digitali dei 132 dipendenti senza alcun fondamento normativo. Violando i principi di minimizzazione e proporzionalità, aveva trattato una tipologia di dati protetta dal Regolamento europeo solo per scopi di ordinaria gestione. HIV il referto va nel FSE solo dopo la comunicazione al paziente. Questo è quanto prevede la l. numero 135/1990. Il Garante ha ricordato che è la legge sulla lotta all’AIDS a stabilire che la comunicazione dei risultati diagnostici venga data esclusivamente alla persona a cui sono riferiti gli esami, alla quale va data la massima tutela vista anche la delicatezza della patologia. Una volta svolto l’incontro con il medico, il referto può essere reso disponibile anche tramite il Fascicolo sanitario elettronico FSE . L’intervento dell’Autorità si è reso necessario a seguito di diverse segnalazioni che lamentavano come alcune Regioni non consentissero agli interessati di ricevere il referto sul proprio FSE a causa di supposti limiti derivanti dalla normativa sulla protezione dei dati personali. Il Garante ha per questo ricordato che l’indisponibilità nel Fascicolo non dipende dalla normativa sulla privacy, ma dalla legge sopra richiamata.