Il Garante Privacy, con la newsletter del 3 maggio 2024, numero 522, si è espresso in merito all’attivazione illecita di Sim e abbonamenti da parte delle società di telefonia, sulla possibilità per il lavoratore dipendente di accedere ai propri dati conservati dal datore di lavoro, e sul diritto all’anonimato delle donne vittime di violenza di genere.
Attivazione illecita di Sim e abbonamenti telefonici Il Garante Privacy ha sanzionato con 150mila euro di multa una società che gestisce due negozi di telefonia per aver attivato illecitamente Sim, abbonamenti e addebiti per l’acquisto di cellulari e localizzatori GPS utilizzando i dati personali di centinaia di utenti a loro insaputa. Il Garante ha accertato, in particolare, che la società aveva attivato 1300 schede telefoniche utilizzando i dati e i documenti di identità estrapolati dai sistemi del gestore telefonico di cui vendeva i prodotti o indebitamente conservati dai negozi. Non solo la società aveva attivato servizi non richiesti inducendo i clienti ad apporre firme, tramite un tablet, senza chiarire le conseguenze di tali consensi. Tra gli illeciti, anche la vendita di cellulari che non erano stati richiesti dai clienti né consegnati ai medesimi, che venivano a sapere dell’acquisto trovando gli addebiti rateali in fattura. Nello specifico, la società aveva progettato le proprie attività con l’intento di utilizzare la base di dati personali a sua disposizione per attivare forniture di servizi di telefonia non richiesti, ovvero ampliare indebitamente l’offerta contrattuale a suo tempo sottoscritta dai propri clienti. Diritto del lavoratore dipendente ad accedere ai propri dati personali Il lavoratore ha diritto di accedere ai propri dati conservati dal datore di lavoro, a prescindere dal motivo della richiesta. È quanto ha stabilito il Garante Privacy, che ha accolto il reclamo presentato da una donna che aveva chiesto alla banca di cui era stata dipendente di accedere al suo fascicolo personale per conoscere quali informazioni potevano aver dato origine ad una sanzione disciplinare nei suoi confronti. La banca non aveva dato un adeguato riscontro alla richiesta e aveva fornito solo un elenco incompleto della documentazione raccolta, omettendo alcune informazioni in base alle quali era stata irrogata la sanzione disciplinare nello specifico, l’istituto di credito sosteneva di non aver fornito all’ex dipendente tale documentazione per tutelare il diritto di difesa e la riservatezza dei terzi coinvolti, nonché per l’assenza di interesse all’accesso da parte della reclamante. Solo a seguito dell’avvio dell’istruttoria da parte dell’Autorità, l’istituto di credito aveva consegnato all’ex dipendente l’ulteriore documentazione contenuta nel fascicolo. In particolare, il Garante ha osservato che, in via generale, il diritto di accesso ha lo scopo di consentire all’interessato di avere il controllo sui propri dati personali e di verificarne l’esattezza. Tale diritto, tuttavia, non può essere negato o limitato a secondo della finalità della richiesta. Infatti, in base alle disposizioni del Regolamento, non è chiesto agli interessati di indicare un motivo o una particolare esigenza per giustificare le proprie richieste di esercizio dei diritti, né il titolare del trattamento può verificare i motivi della richiesta. L’Autorità ha quindi sanzionato la banca con 20mila euro di multa. Violenza di genere e anonimato Via libera del Garante Privacy allo schema di decreto del Ministro della salute che integra il Sistema informativo per il monitoraggio delle prestazioni erogate nell’ambito dell’assistenza sanitaria in emergenza-urgenza EMUR con un set di informazioni relative agli accessi in pronto soccorso delle vittime della violenza di genere. Lo schema di decreto tiene conto delle osservazioni formulate dall’Autorità nel corso delle interlocuzioni con il Ministero, che hanno riguardato in particolare l’anonimato delle donne vittima di violenza e di quelle che chiedono di partorire in anonimato, nonché l’aggiornamento di tutto il flusso di dati alla luce dei nuovi princìpi in materia di protezione dei dati personali dettati dal GDPR. Il Sistema infatti era stato istituito nel 2008, ben 10 anni prima della piena applicazione del GDPR. In particolare, il Garante Privacy ha chiesto l’aggiornamento del sistema di codifica e di aggregazione dei dati, l’individuazione del tempo di conservazione delle informazioni e dei ruoli privacy dei diversi soggetti che intervengono nelle operazioni di trattamento. Spring Conference Si terrà a Riga, capitale della Lettonia, dal 14 al 16 maggio 2024 la trentaduesima edizione della “Spring Conference”, l’annuale appuntamento di primavera che riunisce le Autorità europee di protezione dati, con l'obiettivo di stabilire un quadro comune per la protezione dei dati personali. La Conferenza sarà dedicata in particolare ad alcuni temi chiave, come l’analisi dei regolamenti UE, la tutela della privacy nelle tecnologie emergenti, la salvaguardia dei dati sanitari nell'era digitale e la promozione di una cooperazione efficace tra le Autorità di protezione dei dati, decisori e imprese.