Nella newsletter del 17 aprile 2023, n. 502, l'Autorità ha affrontato le questioni inerenti all'uso di modalità ingannevoli da parte di una digital company, alla privacy dei siti web della Pubblica Amministrazione e all'invio telematico dei dati sugli abbonamenti ai mezzi pubblici.
Marketing e modalità ingannevoli Becca una sanzione da 300mila euro la società che offre servizi di digital marketing per aver trattato in modo illecito dati personali a fini di marketing. Questa la cifra a cui ammonta la multa che il Garante Privacy ha comminato ad una digital company, che veicolava agli utenti presenti nel proprio database i messaggi ricevuti dalle società sue clienti tutte di medio-grande dimensione e alcune molto conosciute per effettuare campagne promozionali via sms, e-mail e attraverso chiamate automatizzate. A seguito di alcune verifiche, è emerso che in alcuni dei portali di proprietà della società, venivano utilizzati i cosiddetti modelli oscuri” dark patterns che, attraverso interfacce grafiche opportunamente realizzate e altre modalità potenzialmente ingannevoli, invogliavano l’utente a prestare il consenso al trattamento dei dati per finalità di marketing e alla comunicazione dei dati a terzi sempre per la stessa finalità. Altre le violazioni rinvenute, a partire dalla incapacità della società di dimostrare, in alcuni casi, l’acquisizione del consenso per l’invio di messaggi promozionali, fino all’obbligo per l’utente di fornire risposte sulle sue abitudini di acquisto o alla richiesta di inserire i dati di contatto nome, e-mail di amici potenzialmente interessati ai servizi offerti. L’Autorità, inoltre, ricordando le verifiche da effettuare nel caso di acquisizione di banche dati da terzi, si è pronunciata in merito alla corretta ripartizione dei ruoli in ordine al trattamento dei dati personali tra le parti commerciali coinvolte nella filiera del marketing digitale. Entro il termine stabilito, la società ha definito la controversia pagando un importo pari alla metà della sanzione comminata. PA e privacy Il Garante Privacy ha comminato una sanzione di 50mila euro all’Asl di Bari, per aver diffuso informazioni sullo stato di salute di centinaia di interessati all’interno di una sezione del sito istituzionale, denominata Parlano bene di noi”, e dedicata a raccogliere gli elogi ricevuti da utenti e associazioni. Lo scopo era quello di informare sul miglioramento dei rapporti con i cittadini, ma nei documenti consultabili on line erano presenti dati anagrafici e di contatto degli assistiti e numerose informazioni relative allo stato di salute dei soggetti che avevano presentato l’elogio. In alcuni elogi pubblicati, i riferimenti erano stati cancellati, in modo approssimativo, con il tratto di un pennarello nero, che non impediva di leggere le parti oscurate e da cui era possibile identificare gli autori. Nel sanzionare la struttura, l'Autorità ha affermato che l’uso del pennarello nero o del bianchetto non rappresenta una modalità efficace per rendere anonimi i dati personali degli utenti che vengono pubblicati on line. Anche nella pubblicazione dei feedback positivi sulla loro attività, le amministrazioni pubbliche devono tener presente la disciplina privacy, specialmente quando si tratta di dati sanitari inoltre, la procedura di cancellazione manuale con pennarello o con bianchetto, per sua natura imprecisa e non definitiva, non può essere definita idonea a rendere anonime le informazioni personali degli interessati, né può definirsi una procedura di pseudonimizzazione”, anche se eseguita in modo efficace, quanto piuttosto una semplice procedura manuale di oscuramento delle generalità degli interessati . Invio telematico dei dati sugli abbonamenti ai mezzi pubblici Il Garante Privacy si è espresso favorevolmente sullo schema di decreto del Ministro dell’economia e delle finanze riguardante l’invio telematico all’Agenzia delle Entrate dei dati relativi alle spese per l’acquisto degli abbonamenti al trasporto pubblico locale, regionale e interregionale ai fini della richiesta di detrazione nella dichiarazione dei redditi precompilata il testo del decreto recepisce infatti le indicazioni fornite dall’Autorità nel corso delle interlocuzioni con il Ministero, volte a garantire il rispetto della protezione dei dati personali trattati. In particolare, il decreto ministeriale stabilisce che gli enti pubblici e i soggetti privati affidatari del servizio di trasporto trasmettano telematicamente all’Agenzia delle Entrate una comunicazione contenente le spese dei cittadini, con l'indicazione dei dati identificativi dei titolari degli abbonamenti e di coloro che hanno sostenuto le spese anche i soggetti che erogano i rimborsi sono tenuti alle medesime comunicazioni. Seguirà uno schema di decreto per le modalità tecniche di utilizzo dei dati predisposto dall’Agenzia delle Entrate su cui il Garante si riserva di esprimere le proprie valutazioni. Conferenza di primavera dei Garanti Ue Si terrà a Budapest, dal 10 al 12 maggio, la Conferenza di primavera delle Autorità europee di protezione dati. L’evento sarà per la prima volta aperto al pubblico, con un open day che avrà come tema principale il DPO, il suo ruolo all’interno delle organizzazioni e il rapporto con le Autorità.