Trattamento illecito di informazioni personali finalizzato al licenziamento, utilizzo impronte digitali per la rilevazione delle presenze, violazioni nella gestione dei dati per marketing, G7 privacy: questi i temi affrontati dal Garante Privacy nella newsletter del 25 giugno 2025, n. 536.
Il Garante privacy sanziona Autostrade per l'Italia Spa: trattamento illecito dei dati finalizzato al licenziamento di una lavoratrice Il Garante per la protezione dei dati personali ha sanzionato Autostrade per l'Italia Spa con 420mila euro per aver trattato illecitamente i dati personali di una dipendente, utilizzandoli nel procedimento disciplinare che ha portato al suo licenziamento. L'Autorità è intervenuta dopo il reclamo della lavoratrice, che aveva segnalato l'uso di contenuti tratti dal suo profilo Facebook e da chat private su Messenger e WhatsApp. Dagli accertamenti è emerso che tali informazioni, raccolte tramite screenshot forniti da colleghi e da un terzo, erano state acquisite senza una valida base giuridica e riguardavano scambi estranei al rapporto di lavoro. Il Garante ha ribadito che i dati pubblicati in contesti privati, anche se accessibili online, non possono essere utilizzati liberamente e che, anche nei procedimenti disciplinari, il datore di lavoro deve rispettare i diritti e la riservatezza dei dipendenti. L'utilizzo di messaggi privati senza giustificazione normativa viola i principi di liceità, finalità e minimizzazione. Rilevazione delle presenze sul lavoro: impronte digitali vietate senza una specifica base normativa Il Garante privacy ha sanzionato con 4mila euro un Istituto di istruzione superiore di Tropea per aver utilizzato impronte digitali del personale amministrativo con finalità di rilevazione presenze e prevenzione di danni. L'Autorità ha ribadito che i dati biometrici possono essere trattati solo se previsto da norme specifiche, per finalità di interesse pubblico e nel rispetto dei principi di necessità e proporzionalità. L'uso generalizzato di sistemi biometrici non è proporzionato e il consenso dei dipendenti non è sufficiente a legittimare il trattamento, data l'asimmetria nel rapporto di lavoro. Marketing: arriva la sanzione del Garante ad un rivenditore di auto online per violazioni nella gestione dei dati personali Il Garante ha sanzionato con 45mila euro un rivenditore di auto online per trattamento illecito di dati personali a fini di marketing, a seguito del reclamo di un cliente che riceveva numerose e-mail promozionali da partner sconosciuti e non aveva ottenuto risposta alle proprie richieste di esercizio dei diritti. L'istruttoria ha evidenziato che la società non aveva regolamentato adeguatamente i rapporti con i partner pubblicitari, consentendo loro di trattare i dati dei clienti senza controllo e senza adottare misure come il double opt-in per ottenere un consenso valido. Inoltre, l'errata qualificazione dei ruoli tra la società e i partner ha reso inefficace l'opposizione del cliente alle comunicazioni indesiderate. Considerato che il rivenditore ha, poi, interrotto l'attività pubblicitaria tramite e-mail e rescisso i contratti con i partner, il Garante non ha disposto ulteriori misure correttive. G7 Privacy: collaborazione internazionale per una maggiore protezione dei dati nel mondo digitale Si è concluso a Ottawa il vertice delle Autorità di protezione dei dati dei Paesi del G7, durante il quale è stata approvata una Dichiarazione che impegna i Garanti a promuovere fiducia nell'economia digitale e sostenere l'innovazione nel rispetto della privacy e della protezione dei dati personali. Le azioni comuni individuate mirano a creare un ambiente digitale più sicuro e a mettere al centro la persona, invitando sviluppatori e innovatori a riflettere sui principi della dichiarazione di Ottawa. In linea con il Piano d'azione del G7 di Roma 2024, le Autorità hanno ribadito l'importanza di un'innovazione responsabile e della tutela dei minori, riconoscendo ai bambini il diritto a una protezione adeguata e alla piena partecipazione nel mondo digitale. Durante il vertice sono state illustrate le attività dei gruppi di lavoro su: libera circolazione dei dati (DFFT), tecnologie emergenti e intelligenza artificiale, nonchè cooperazione normativa. Entro dicembre si punta ad adottare nuovi documenti su questi temi, tra cui procedure per la DFFT, uso responsabile dei dati negli smart home device e un modello condiviso di applicazione delle regole sulla privacy. Il Collegio del Garante italiano — con il presidente Pasquale Stanzione, la vicepresidente Ginevra Cerrina Feroni e i componenti Agostino Ghiglia e Guido Scorza — ha partecipato attivamente ai tavoli di lavoro, alle discussioni collegiali, agli eventi dedicati alle tecnologie per la privacy (PETs) e al Privacy Symposium sulle prospettive della protezione dei dati.