Con la Newsletter n. 509 dell’11 settembre 2023, il Garante Privacy ha dato notizia degli ultimi provvedimenti assunti. In particolare, sono stati affrontati i temi del telemarketing selvaggio con sanzioni a Tiscali e Comparafacile, del diritto di accesso del dipendente alla relazione investigativa, della videosorveglianza sulla gestione dei rifiuti ed infine della rimozione dell’indirizzo web di un sito falso da parte di Google.
Telemarketing selvaggio Prosegue l’azione di contrasto del Garante Privacy al telemarketing illegale. L’Autorità ha sanzionato Comparafacile e Tiscali per 40mila e 100mila euro . Il primo provvedimento trae origine dal reclamo di un cittadino che, nonostante fosse iscritto al Registro pubblico delle opposizioni Rpo , continuava a ricevere chiamate promozionali anche dopo la richiesta di cancellazione dei dati. È stato infatti accertato che Comparafacile, dopo aver acquistato le anagrafiche da un’azienda estera, contattava le persone per offerte commerciali e, in caso affermativo, inviava loro un sms con un link a una landing page in cui avrebbero potuto fornire il consenso. Il primo contatto telefonico avveniva quindi senza aver verificato il consenso e senza aver fornito alcuna informativa. Il Garante ha spiegato che tale meccanismo per acquisire l’informativa non è legittimo e che, di conseguenza, il consenso non informato non può essere considerato un valido. Il provvedimento nei confronti di Tiscali rientra nell'ambito delle attività ispettive del Garante. È emerso infatti che la società forniva una informativa lacunosa, senza indicare alcun termine temporale per la conservazione dei dati, in particolare per le finalità di marketing e profilazione. L’Autorità ha precisato che è sanzionabile anche un inidoneo adempimento dell’obbligo di informativa , a prescindere dall’aver cagionato o meno un pregiudizio all’interessato. Lavoro e accesso alla relazione investigativa Il lavoratore ha il diritto di accesso ai dati personali, compresi quelli contenuti nella relazione dell’agenzia investigativa incaricata dall’azienda di raccogliere informazioni sul suo conto. Il Garante ha infatti stabilito l' illiceità del trattamento dei dati effettuato da parte di un'azienda di servizi di pubblica utilità sanzionandola con una multa di 10mila euro. L’azienda aveva l’obbligo di fornire al lavoratore tutti i dati raccolti con la relazione investigativa , anche quelli che non erano stati trasferiti nella contestazione disciplinare fotografie, una rilevazione Gps, descrizioni di luoghi, persone e situazioni , conformemente agli artt. 12 e 15 del Regolamento. Informazioni che, in ipotesi, avrebbero anche potuto essere utili per l’esercizio del diritto di difesa. Videosorveglianza e rifiuti Una multa di 45mila euro è stata comminata dal Garante Privacy ad un Comune per aver installato alcune telecamere per il controllo della raccolta differenziata dei rifiuti in violazione della disciplina privacy . A seguito delle segnalazioni di un cittadino che aveva ricevuto delle multe per aver conferito rifiuti in modo errato, l’Autorità ha accertato che gli accertamenti erano stati condotti a distanza di un mese dalla registrazione e che i cittadini non erano stati adeguatamente informati della presenza delle telecamere posto che i cartelli non erano facilmente visibili né tantomeno esaustivi . Infatti il trattamento di dati personali mediante sistemi di videosorveglianza da parte di soggetti pubblici è generalmente ammesso se è necessario per adempiere un obbligo legale e la gestione dei rifiuti rientra tra le attività istituzionali affidate agli enti locali. Anche in presenza di una condizione di liceità il titolare del trattamento, ha ribadito il Garante, è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati , fra i quali quelli di liceità, correttezza e trasparenza. In particolare, è necessario adottare misure appropriate per fornire all'interessato tutte le informazioni previste dal GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile . Rimozione di un sito falso Il Garante ha infine ordinato a Google la rimozione dai risultati di ricerca di un Url collegato a un sito web falso , il cui indirizzo era formato dal nome e cognome di un imprenditore italiano e al cui interno erano riportate affermazioni lesive della reputazione personale e professionale. Il sito era stato creato da soggetti anonimi utilizzando i dati personali dell’interessato reperiti in rete, tra cui una foto e un indirizzo email la cui denominazione lasciava presupporre l’appartenenza ad un’organizzazione criminale. Il sito conteneva anche link a documenti pubblici relativi a supposte vicende giudiziarie. L’interessato si era rivolto a Google per ottenere la deindicizzazione globale, ma la società aveva dichiarato inammissibile il reclamo ritenendo che fosse basato sulla tutela della reputazione, dell’onore e dell’immagine e non sulla tutela dei dati personali. Il Garante Privacy ha accolto invece le ragioni del reclamante, che sosteneva l’uso improprio e a fini denigratori dei suoi dati personali all’interno del sito in questione, e ha precisato che il motore di ricerca non aveva considerato le plurime violazioni della disciplina privacy poste in essere dagli autori del sito, tra cui la mancanza di informativa e dei riferimenti dei titolari, che tutt’ora rendono impossibile esercitare i diritti di opposizione e di rettifica di cui all’art. 12 del Regolamento . Il Garante ha ricordato infine che nel valutare le richieste di deindicizzazione, occorre tenere conto, in particolare, oltre che del trascorrere del tempo, anche del criterio relativo all’esattezza del dato laddove si sottolinea l’esigenza di tenere in particolare conto di quelle informazioni che originino un’impressione inesatta, inadeguata o fuorviante rispetto alla persona interessata”, come raccomandato dalle Linee Guida EDPB sul diritto all’oblio del 2014 .