Nuova Newsletter dal Garante Privacy

Telemarketing, Data breach, illecita diffusione di foto sui social, pseudonimizzazione  questi i temi affrontati dal Garante Privacy nella newsletter del 31 gennaio 2025, numero 531.

Multa per trattamento illecito di dati personali a fini di telemarketing Un recente episodio ha visto il Garante della Privacy infliggere una sanzione significativa, superiore a 890mila euro, a un fornitore di servizi di energia e gas per un'illecita gestione dei dati personali nell'ambito delle attività di telemarketing. L'intera vicenda ha preso avvio da reclami avanzati da due cittadini che si sono lamentati del ricevimento ripetuto di chiamate indesiderate e dell'omissione di risposte alle loro richieste relative ai diritti garantiti dal Regolamento sulla privacy. Durante l'indagine ispettiva condotta dal Garante, sono emerse diverse criticità riguardo alla gestione dei dati da parte della società coinvolta. In un caso specifico, è stato scoperto che i consensi acquisiti al momento dell'attivazione dei servizi di luce e gas erano stati erroneamente trascritti da un dipendente dell'azienda, mettendo in luce una carenza doppia nei meccanismi di tutela dei dati. Da un lato, la Società non aveva implementato misure adeguate a garantire la corrispondenza tra i consensi dei clienti e i dati presenti nei sistemi aziendali dall'altro lato, l'azienda non aveva adempiuto agli obblighi di formazione e supervisione del personale coinvolto nelle campagne di telemarketing. Relativamente al secondo reclamo, il Garante ha rilevato che il fornitore di luce e gas aveva condotto attività di telemarketing utilizzando dati personali raccolti tramite un modulo di iscrizione su Facebook, nonostante la persona coinvolta non avesse un account attivo sui social media. Anche in questo caso, la Società non aveva eseguito controlli sulla provenienza legittima dei dati utilizzati a fini commerciali , né sulla corretta identificazione dei fornitori di tali informazioni. Dopo aver constatato anche un'altra problematica legata alla gestione irregolare di una richiesta da parte di un individuo di esercitare i propri diritti, a causa di un errore materiale , l'Autorità ha ordinato alla Società di adottare misure adeguate a garantire che il trattamento dei dati personali dei soggetti interessati sia conforme alla normativa sulla privacy lungo l'intero processo del trattamento. Data breach le sanzioni del Garante per misure di sicurezza inadeguate Il Garante della Privacy ha emesso sanzioni di 10.000 euro ciascuna verso la Regione Molise, la Società Molise Dati e Engineering Ingegneria Informatica S.p.A. in merito a un incidente nel Portale regionale FSE nel periodo tra novembre e dicembre 2022. Un data breach , causato da una vulnerabilità nel sistema informatico, ha consentito a un cittadino autenticato come «assistito» di accedere illecitamente a dati riguardanti sette individui nell'Anagrafe regionale del Molise mediante manipolazione dell'URL. Questi dati includevano informazioni anagrafiche, di residenza, domicilio e documenti sanitari degli utenti interessati. L'indagine del Garante ha confermato che la violazione era dovuta a un problema di sicurezza nel sistema di autenticazione del Fascicolo Sanitario Elettronico del Molise la regione è stata, dunque, sanzionata in qualità di responsabile del portale e la Società Molise Dati per carenze nei controlli sulle vulnerabilità del software di Engineering, la Società di cui quest’ultima si era avvalsa per lo sviluppo delle componenti tecniche del Portale. Engineering S.p.A., nella progettazione dei sistemi informatici del FSE, inclusi quelli di autenticazione e autorizzazione, non ha adottato sufficienti misure per impedire l'accesso improprio , permettendo a un terzo, superata la procedura di autenticazione, di utilizzare funzioni non autorizzate attraverso la manipolazione dell'URL. Diffusione foto del trattamento sui social il Garante sanziona un chirurgo Il Garante Privacy ha irrogato una pesante sanzione ad un chirurgo per aver pubblicato su Instagram le foto di una paziente prima e dopo un lifting al volto senza ottenere il consenso all'utilizzo delle immagini. L'intervento dell'Autorità è scaturito da una segnalazione della paziente, preoccupata per la divulgazione delle foto riconoscibili sul profilo social del medico. Durante l'indagine, il medico ha sostenuto che le foto erano destinate a uso interno e che la pubblicazione era stata un malinteso legato alla gestione dei consensi tra i professionisti coinvolti nell'operazione. Tuttavia, il Garante ha ritenuto tali giustificazioni insufficienti e dichiarato illecito il trattamento dei dati sanitari della paziente , poiché effettuato al di fuori delle finalità curative e in violazione della normativa sulla privacy. Nella determinazione della sanzione, il Garante ha considerato la natura sensibile dei dati personali diffusi e il contesto particolare della violazione, in cui l'aspettativa legittima della paziente sulla riservatezza era particolarmente alta, soprattutto considerando il rapporto professionale e di fiducia con il medico.  Pseudonimizzazione dei dati le Linee Guida europee Il Comitato europeo per la protezione dei dati EDPB ha adottato Linee Guida sulla pseudonimizzazione , redatte anche con la partecipazione del Garante Privacy. Secondo tali linee guida, i dati pseudonimizzati sono sempre considerati dati personali anche se le informazioni necessarie per identificare specifici individui sono separate, se possono essere ricollegati a persone fisiche da chi gestisce i dati o da terzi, restano dati personali e soggetti alle normative del GDPR. La pseudonimizzazione è una misura che consente di dissociare i dati personali da un individuo senza utilizzare informazioni aggiuntive, a condizione che quest’ultime siano conservate separatamente e protette da adeguate misure di sicurezza. Le Linee Guida evidenziano che la misura in esame offre benefici quali la riduzione del rischio e l'applicazione efficace dei principi di protezione dei dati, in linea con il concetto di privacy by design . Inoltre, il documento esamina le misure tecniche necessarie per garantire la confidenzialità delle informazioni e prevenire l'identificazione non autorizzata degli interessati nell'uso dei dati pseudonimizzati. Il Comitato europeo sottolinea che la pseudonimizzazione agevola l'utilizzo del legittimo interesse come base giuridica per il trattamento , a condizione che siano rispettati tutti gli altri requisiti del GDPR e che vi sia coerenza con la finalità iniziale del trattamento dei dati.