Con la Newsletter n. 507 del 26 luglio 2023 il Garante per la Privacy ha diffuso 4 provvedimenti con i quali ha sanzionato diverse aziende per violazione della privacy e illecito trattamento dei dati personali. Infine, l'Autorità ha reso noto l'intervento del Comitato europeo per la protezione dei dati Edpb che ha adottato una nota informativa rivolta alle persone fisiche e alle organizzazioni che trasferiscono dati negli Stati Uniti.
La tutela della privacy vale anche per i personaggi famosi sanzionato un giornale Il Garante per la Privacy ha comminato una sanzione da 40mila euro ad un periodico per aver pubblicato scatti fotografici che riprendevano momenti della vita privata di un vip mentre si trovava nella propria abitazione. Le immagini ritraevano l’interessata, a sua insaputa, mentre era in compagnia di un conoscente all’interno del proprio appartamento. Illecite ad avviso dell’Autorità le modalità di acquisizione delle foto e la loro successiva divulgazione , reperite attraverso l’uso di tecniche invasive e raccogliendo dati personali, anche strettamente privati, al solo fine di realizzare uno scoop ossia la relazione sentimentale tra l’interessata e l’uomo ritratto in foto . Il Garante, a tale proposito, è chiaro nemmeno l’interesse pubblico ad un certo tipo di informazione può giustificare la compromissione del diritto al rispetto della vita privata del cittadino, se pur personaggio noto, a maggior ragione se egli si trova nella propria abitazione, dove è legittima l’aspettativa di riservatezza. L’Autorità, oltre ad aver comminato la sanzione, ha altresì disposto il divieto di ulteriore diffusione delle fotografie. Sanzionata un’azienda che viola la privacy dei propri dipendenti attraverso controlli a distanza ll Garante ha comminato una sanzione da 20mila euro ad un’azienda per aver installato un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori. Tale sistema, attraverso un GPS, tracciava in tempo reale la posizione del dipendente mentre svolgeva le proprie mansioni, mentre il sistema di videosorveglianza era in grado di captare suoni e fare registrazioni. Il trattamento dei dati veniva effettuato senza che i lavoratori avessero avuto adeguata informativa, né era stato preventivamente autorizzato attraverso un accordo sindacale o mediante l’autorizzazione dell’Ispettorato del lavoro. L’Autorità rileva che i trattamenti dei dati nell’ambito di un rapporto di lavoro sono legittimi solo quando necessari ad assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato, e devono inoltre essere previsti da una disposizione normativa, circostanze del tutto assenti nel caso di specie. Oltre ad aver comminato la sanzione, il Garante ha disposto il divieto del trattamento dei dati raccolti mediante il sistema di videosorveglianza e il monitoraggio continuo della posizione del lavoratore. Raccolta e utilizzo di dati non anonimizzati sanzioni da parte del Garante ll Garante ha comminato una sanzione da 15mila euro ad un’azienda per aver trattato illecitamente i dati sanitari di numerosi pazienti raccolti presso circa 7mila medici di medicina generale, senza adottare idonee tecniche di anonimizzazione. La società sanzionata era impegnata in un progetto internazionale volto a migliorare le cure dei pazienti attraverso la raccolta e l’analisi di dati sanitari. Nell’accertare l’irregolarità delle rilevazioni, il Garante ha richiamato un precedente parere del 2014, in base al quale affidarsi semplicemente alla solidità del meccanismo di crittografia quale misura di anonimizzazione di un insieme di dati è fuorviante, in quanto molti altri fattori tecnici e organizzativi incidono sulla sicurezza generale di un meccanismo di crittografia o di una funzione di hash . Nel caso di specie, l’azienda sostituiva l’ID attribuito ai pazienti con un sistema di crittografia o un codice hash irreversibile, sistema che non costituisce misura idonea a qualificare l’operazione di trattamento come un’anonimizzazione. Trasferimento dati in USA chiarimenti sulla sicurezza Il Comitato europeo per la protezione dei dati Edpb ha adottato una nota informativa rivolta alle persone fisiche e alle organizzazioni che trasferiscono dati negli Stati Uniti. Il documento chiarisce che i trasferimenti basati su decisioni di adeguatezza non devono essere integrati da misure supplementari, mentre i trasferimenti verso gli Stati Uniti richiedono tutele adeguate, come clausole tipo di protezione dei dati o norme vincolanti d’impresa. La nota informativa specifica, inoltre, che nell'ambito della sicurezza nazionale, i cittadini dell'UE, per potersi avvalere del nuovo meccanismo di ricorso, possono presentare un reclamo alla propria Autorità nazionale di protezione dati, indipendentemente dallo strumento utilizzato per trasferire i dati personali negli Stati Uniti. Con la decisione adottata il 10 luglio 2023, la Commissione europea ha stabilito che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall'UE a quelle organizzazioni statunitensi incluse nella lista indicata dal Data Privacy Framework, che è gestita e pubblicata dal Dipartimento del commercio Usa.