Sanzione da 5 milioni di euro a un fornitore di luce e gas, design ingannevole, giornalismo e d.lgs. resilienza dei soggetti critici questi i temi affrontati dalla NL del Garante Privacy pubblicata il 13 settembre 2024, numero 527.
Sanzione di 5 milioni di euro a un fornitore di luce e gas Il Garante privacy ha emesso una sanzione di 5 milioni di euro nei confronti di Hera Comm S.p.A a causa delle gravi violazioni riscontrate nel trattamento dei dati personali di oltre 2.300 clienti nell’ambito della fornitura di energia elettrica e gas. L’Autorità è intervenuta a seguito di numerose segnalazioni. I reclamanti lamentavano l’instaurazione di contratti mai stipulati, di cui venivano a conoscenza solo a seguito della ricezione, da parte di Hera, di documentazione sottoscritta con firma apocrifa o di comunicazioni finalizzate ad aggiornare lo stato di attivazione della fornitura senza però, aver mai avuto alcun contatto con la società. Inoltre, si segnalava l’inesatto o tardivo riscontro di Hera alle richieste di esercizio dei diritti ai sensi del Regolamento privacy. Le indagini esperite hanno portato ad accertate che la società non aveva adottato le misure necessarie e adeguate a evitare l’utilizzo illecito dei dati dei clienti da parte degli agenti porta a porta. E’ emerso infatti, che quest’ultimi acquisivano le generalità degli interessati mediante l’uso di dispositivi personali scattavano foto del documento di riconoscimento del malcapitato per poi procedere, a sua insaputa, all’attivazione della fornitura. Spesso inoltre, insieme ai contratti, attivavano polizze assicurative sottoscritte con firma falsa. Si è poi rilevato inadeguato, anche il sistema di monitoraggio utilizzato dalla società mediante telefonate di controllo volte a verificare l’effettiva volontà del cliente l’attivazione in molti casi, avveniva anche quando il cliente era irreperibile. A seguito di tali risultanze dunque, il Garante ha ordinato a Hera Comm S.p.a. non solo il pagamento di una sanzione da 5 milioni di euro, ma anche la necessaria adozione di misure correttive e la doverosa indicazione di specifici tempi di conservazione dei dati, distinti per categoria e finalità di trattamento. Design ingannevole l’indagine internazionale Dall’analisi svolta dal Garante per la protezione dei dati personali nell’ambito del Privacy Sweep, indagine conoscitiva della rete internazionale del GPEN dedicata, quest’anno ai modelli di design ingannevole c.d. dark pattern, è emerso che sono ancora numerosi gli ostacoli che gli utenti devono affrontare nel gestire i cookie o cancellare i propri account su siti web e app. 26 autorità di protezione dati del GPEN, tra il 29 gennaio e il 2 febbraio 2024, hanno rilevato che, su 899 siti web e 111 app, nel 97% dei casi vi è la presenza di almeno una tipologia di design ingannevole. Nello specifico, il Garante privacy italiano si è concentrato su 50 siti web c.d. “compratori di servizi” e sui loro cookie banner nonché sulle modalità di cancellazione degli account utente. E’ emerso che in più del 60% dei casi, i banner mostravano con maggiore enfasi l’opzione meno favorevole per la privacy degli utenti, per rifiutare tale opzione inoltre, nel 40% dei casi, l’utente era costretto a un maggior numero di passaggi, nel 30% era addirittura presente, la sola accettazione di tutti i cookie. Infine, dai siti esaminati si rileva che anche la cancellazione di un account risulta articolata per l’utente a causa dell’assenza di una specifica funzionalità di cancellazione o per l’eccessivo numero di click per raggiungerla, per l’utilizzo di un linguaggio volto a orientare e dissuadere l’utente. Giornalismo nei fatti di cronaca è necessario oscurare nomi e dettagli del minore Il Garante Privacy, nel sanzionare una rivista online che aveva pubblicato una sentenza di un Tribunale in cui venivano riportati i nomi, le residenze nonché il periodo di permanenza dei minori presso strutture di accoglienza, ha ribadito che «nel pubblicare articoli che riportano fatti di cronaca e sentenze che riguardano i minore, occorre sempre verificare che siano oscurati nomi e dettagli che possano ledere la loro riservatezza e dignità». Parere favorevole del Garante sul d.lgs. resilienza Il Garante si è espresso positivamente sullo schema di decreto legislativo che recepisce la Direttiva europea sulla resilienza dei soggetti critici, operativi in settori particolarmente delicati come la sicurezza pubblica, l’ambiente. Ha però, sottolineato che sono necessarie alcune integrazioni relative alla verifica dei precedenti penali per coloro che ricoprono ruoli sensibili all’interno delle strutture. L’Autorità ha, infatti, chiesto di precisare quali sono le categorie di precedenti ritenuti “rilevanti” e di disciplinare le modalità e i tempi di conservazione dei certificati del casellario giudiziale europeo acquisiti.