Telemarketing aggressivo, raccolta e conservazione illecita di dati relativi alla sfera privata dei dipendenti, data breach, conferenza di primavera dei Garanti europei: questi i temi affrontati dal Garante Privacy nella newsletter del 30 maggio 2025, n. 535.
Telemarketing aggressivo: sanzioni del Garante privacy alle agenzie immobiliari Il Garante Privacy ha acceso i riflettori su una nuova forma di telemarketing aggressivo nel settore delle intermediazioni immobiliari: migliaia di proprietari sono stati inseriti in dettagliati elenchi e contattati ripetutamente tramite telefonate e messaggi WhatsApp, senza aver fornito un valido consenso a ricevere comunicazioni promozionali. Le agenzie immobiliari coinvolte utilizzavano dati forniti da una società di servizi, che aveva raccolto informazioni personali, numeri di telefono e dati catastali, anche mediante il servizio telematico Sister dell'Agenzia delle Entrate, mappando intere aree di interesse commerciale. L'Autorità ha sanzionato la società fornitrice dei dati con una multa di 100mila euro e le prime nove agenzie coinvolte con sanzioni fino a 40mila euro. Le sanzioni sono destinate ad aumentare con il progredire delle istruttorie, avviate grazie alle segnalazioni di numerosi cittadini. Nei casi più gravi, il Garante ha vietato, inoltre, il prosieguo del trattamento dei dati e ordinato la cancellazione di quelli per cui non era stato dimostrato un consenso valido. Le agenzie immobiliari, per continuare le attività di telemarketing, dovranno garantire che il trattamento dei dati personali sia conforme alla normativa vigente: sarà, quindi, necessario verificare periodicamente la validità del consenso raccolto, controllare l'eventuale iscrizione dei numeri al Registro Pubblico delle opposizioni e adottare ogni misura idonea a salvaguardare i diritti degli interessati (incluso il diritto di opposizione). Lavoro: illecita raccolta e conservazione di informazioni relative alla sfera privata dei dipendenti Il Garante Privacy ha sanzionato la Regione Lombardia con una multa di 50mila euro per la raccolta e conservazione non conforme di log di navigazione Internet e metadati delle e-mail dei dipendenti, anche in modalità di lavoro agile. L'istruttoria ha rilevato che la Regione raccoglieva informazioni sui siti visitati, inclusi i tentativi di accesso a siti presenti in una black list, senza aver siglato un accordo collettivo con le rappresentanze sindacali e senza adeguate garanzie a tutela dei lavoratori. Questo trattamento consentiva l'accesso a dati non strettamente collegati all'attività lavorativa, invadendo la sfera privata dei dipendenti. Anche per i metadati di posta elettronica non era stato stipulato un accordo specifico, sebbene la Regione avesse avviato un processo di adeguamento alle indicazioni del Garante già prima dell'adozione del relativo Documento di indirizzo. Oltre alla sanzione, sono state imposte misure correttive tra cui l'anonimizzazione dei log dei tentativi di accesso falliti, la cifratura dei nomi dei dipendenti assegnatari dei dispositivi e la riduzione dei tempi di conservazione dei dati. Data breach: sanzione all'Ordine degli Psicologi della Lombardia L’Ordine degli Psicologi della Lombardia è stato sanzionato per 30mila euro a seguito di un attacco ransomware che ha permesso l’accesso non autorizzato alla rete informatica, la cifratura e l’esfiltrazione di numerosi documenti. L’incidente ha coinvolto dati personali di iscritti sottoposti a procedimenti disciplinari, pazienti – anche minori – e altre persone, comprese informazioni particolarmente sensibili relative a origine razziale, convinzioni religiose, appartenenza sindacale, orientamento sessuale, salute e reati. Il mancato pagamento del riscatto richiesto dai cybercriminali ha determinato la pubblicazione dei dati sottratti sul dark web, ma la disponibilità e l’integrità delle informazioni sono state comunque preservate grazie ai sistemi di backup. L’istruttoria del Garante ha rilevato l’assenza di misure idonee da parte dell’Ordine per individuare tempestivamente le violazioni e garantire la sicurezza dei sistemi di trattamento, circostanza che, considerata la gravità e la delicatezza delle informazioni coinvolte, ha portato all’irrogazione della suddetta sanzione. L’Autorità ha comunque riconosciuto la collaborazione dell’Ordine, che ha provveduto ad adottare ulteriori misure di sicurezza per prevenire futuri attacchi e rafforzare la tutela dei dati personali trattati. La Conferenza di primavera rafforza la cooperazione tra Garanti europei Dal 6 al 9 maggio si è tenuta in Georgia la 33ª Conferenza europea delle autorità di protezione dei dati, incentrata sul tema dell’identità personale. All’incontro hanno preso parte circa 80 delegati provenienti dalle Autorità europee, tra cui il Garante Privacy, insieme a rappresentanti di istituzioni come Europol, Eurojust, Eurostat ed EDPS. Nel corso dei lavori sono stati affrontati temi di grande attualità, come l’impatto dell’intelligenza artificiale sulla tutela dei dati personali, la protezione dei minori e delle informazioni sanitarie, nonché il ruolo svolto dai responsabili della protezione dei dati e dai professionisti della privacy. La risoluzione finale ha sancito la volontà delle Autorità di rafforzare la collaborazione e di condividere le migliori pratiche, con l’obiettivo di garantire una più efficace applicazione delle normative sulla protezione dei dati. La Conferenza di primavera, appuntamento annuale dal 1991, si conferma così un’occasione fondamentale di confronto sulle sfide emergenti in materia di privacy, favorendo il dialogo tra Autorità e operatori del settore e offrendo una solida base per affrontare sia le opportunità che le criticità legate alla protezione dei dati.