Telemarketing, illecito trattamento dei dati personali riportati sulle sepolture dei feti, telemedicina questi i temi affrontati dal Garante Privacy nella newsletter del 28 febbraio 2025, numero 532.
Nuove sanzioni del Garante contro il telemarketing selvaggio L’Autorità ha ordinato a Wind Tre S.p.A. il pagamento di una pesante sanzione a causa del trattamento illecito di dati personali a fini promozionali e della mancata adozione di misure tecniche e organizzative in grado di garantire la privacy dei clienti all’interno delle aree riservate del proprio sito. Il Garante privacy ha concluso un'istruttoria sollecitata da varie segnalazioni riguardanti telefonate promozionali indesiderate e la denuncia di un cliente che, all'interno della sua area riservata, aveva visualizzato i dati personali di un altro utente. In particolare, l'Autorità ha riscontrato che Wind Tre, per l'attività di telemarketing, si era affidata a partner commerciali che utilizzavano elenchi di contatti ottenuti in modo illecito . Molte liste erano state create da entità al di fuori dell'Unione Europea senza adeguate garanzie, i consensi non erano documentati in modo soddisfacente e i tempi di conservazione dei dati erano eccessivamente prolungati o non specificati. Inoltre, il Garante ha accertato anche un'evidente inadeguatezza delle misure tecnico-organizzative collegate al sistema di registrazione all’area riservata dei clienti e la mancata notifica all’Autorità dell’avvenuta violazione dei dati. Il ruolo di RDP è incompatibile con quello di rappresentante legale della stessa società A seguito di una segnalazione della Banca d’Italia, il Garante, sanzionando una società di riabilitazione creditizia per diverse violazioni in materia di protezione dati, ha condannato anche il fatto che la stessa avesse designato come Responsabile della protezione dei dati personali, senza peraltro darne comunicazione all’Autorità, il suo rappresentante legale non considerando che le due cariche sono incompatibili . Quanto al trattamento illecito dei dati, l’Azienda, secondo l'Autorità, non aveva mai provveduto, dopo la cessazione del rapporto contrattuale, alla cancellazione dei dati non più necessari e non aveva individuato precise tempistiche di conservazione degli stessi . Taluni trattamenti erano effettuati, per conto della società, da alcuni soggetti - persone fisiche e giuridiche – in assenza di un contratto che ne disciplinasse i rapporti. Cimitero dei feti le sanzioni per il Comune di Brescia Il Garante privacy ha emesso una sanzione nei confronti del Comune di Brescia per il trattamento illecito dei dati personali riportati sulle sepolture dei feti e nel portale online dei servizi cimiteriali della città . Il caso riguarda la presenza, in una sezione specifica di un cimitero comunale, di sepolture che riportavano un nome di fantasia convenzionale attribuito ai feti, il cognome della madre e la data di interruzione di gravidanza coincidente con la nascita/morte. Nel processo decisionale, il Garante ha stabilito che la diffusione di tali dati è stata illecita, poiché non aveva alcuna base giuridica e violava il divieto di divulgazione di informazioni sulla salute , tra cui rientra l'indicazione della interruzione di gravidanza. L'Autorità ha sottolineato che l'associazione del cognome della donna o del partner al nome convenzionale del feto e alla data di interruzione di gravidanza potrebbe implicitamente permettere l'identificazione della donna coinvolta . Inoltre, secondo le normative vigenti, l'indicazione del nome, cognome e data del decesso è riservata esclusivamente per l'identificazione di defunti e nati morti . Per porre rimedio alle violazioni accertate, l'amministrazione comunale ha adottato diverse misure correttive durante l'istruttoria, inclusa la copertura delle targhette esistenti, l'implementazione di un sistema di codici per le sepolture, la limitazione dei dati accessibili sul sito web, l'eliminazione delle dicitura “feti e nati morti” e l'introduzione di una documentazione più accurata per le richieste di sepoltura dei feti. Ok alla telemedicina con maggiori garanzie a tutela dei dati trattati il Garante ha dato via libera allo schema di decreto del Ministero della salute che disciplina i trattamenti di dati personali nell’ambito della Piattaforma nazionale di telemedicina PNT prevista dal PNRR. Accogliendo le richieste dell'Autorità , rispetto alla prima bozza, si possono evidenziare in particolar modo introduzione dell'obbligo della valutazione d’impatto preventiva in considerazione della natura, dell'oggetto, delle finalità e del numero di persone coinvolte dettagli sulla tipologia di dati trattati e operazioni eseguibili misure specifiche per tutelare i diritti degli interessati identificazione dei servizi offerti dalla PNT per fini curativi e di governo modifiche alla disciplina dell'Ecosistema Dati Sanitari EDS . Quanto alle nuove misure tecniche e organizzative , si segnalano le strategie per impedire l'uso fraudolento delle identità digitali, la cifratura dei dati mediante algoritmi robusti, nonchè l'introduzione di IPS Intrusion Prevention System . L’Autorità ha evidenziato, infine, la necessità di aggiornare le « Linee guida per i servizi di telemedicina - requisiti funzionali e livelli di servizio » .