L’Autorità mette in guardia Confcommercio dal rischio di abusi derivanti dall’utilizzo di telecamere invasive nei negozi. Sanzionate Poste Vita per un data breach e un'azienda del settore automotive per l'uso improprio di questionari sulla salute dei dipendenti.
Videosorveglianza: il Garante Privacy richiama Confcommercio sull’uso corretto delle telecamere Il Garante per la protezione dei dati personali ha inviato una comunicazione al presidente di Confcommercio-Imprese per l’Italia, Carlo Sangalli, per evidenziare l’ aumento di utilizzo improprio dei sistemi di videosorveglianza nei negozi . L’Autorità invita Confcommercio a promuovere interventi concreti per prevenire abusi nella gestione delle telecamere, salvaguardare la privacy di clienti e dipendenti e favorire forme di collaborazione efficaci contro il fenomeno. La segnalazione fa seguito a numerose irregolarità riscontrate durante controlli effettuati da forze dell’ordine, Nucleo tutela privacy della Guardia di Finanza e Polizia locale, che hanno portato a sanzioni anche elevate verso attività commerciali che utilizzavano sistemi di sorveglianza non conformi alla normativa sulla privacy . Le infrazioni più comuni includono la mancata esposizione dei cartelli informativi, telecamere puntate su spazi pubblici o di proprietà altrui, registrazioni audio non autorizzate e conservazione delle immagini oltre i limiti consentiti. Particolarmente gravi sono i casi in cui le telecamere sono impiegate per il controllo dei dipendenti senza rispettare le tutele previste dallo Statuto dei lavoratori. Nella lettera, il Garante richiama le Linee guida 3/2019 del Comitato europeo per la protezione dei dati e segnala la pagina tematica presente sul proprio sito come riferimento per l’adozione di sistemi di videosorveglianza corretti. L’obiettivo è garantire la sicurezza all’interno delle attività commerciali, tutelando al contempo la riservatezza di cittadini e lavoratori ed evitando sanzioni, in particolare a carico dei piccoli esercizi e dei negozi di prossimità. Data breach: Poste Vita sanzionata per 80mila euro Il Garante Privacy ha multato Poste Vita, società di investimenti e assicurazioni del gruppo Poste Italiane, per 80mila euro a causa di misure di sicurezza insufficienti e per aver comunicato in ritardo la violazione del data breach : secondo il Regolamento europeo, la notifica deve essere effettuata entro 72 ore dalla scoperta della violazione, ma in questo caso la comunicazione è avvenuta oltre i termini previsti. L’istruttoria è partita dal reclamo di una cliente , i cui dati personali relativi a tre polizze vita erano stati comunicati illecitamente a un soggetto terzo, che li ha poi utilizzati in un procedimento giudiziario. Il Garante ha accertato che la violazione è stata causata da errori degli operatori della compagnia , che avevano risposto a richieste di informazioni riguardanti le polizze dell’interessata senza aver controllato che l’indirizzo e-mail corrispondesse effettivamente a quello fornito dalla cliente: le richieste provenivano infatti da due indirizzi e-mail riconducibili a terzi, pur riportando nome e cognome della titolare, che non aveva mai comunicato alcun indirizzo di posta alla società. Il Garante, pur rilevando le violazioni, si è limitato a comminare la sanzione pecuniaria , avendo preso atto, nel corso del procedimento, di quanto dichiarato dalla società in ordine all’avvenuta implementazione delle procedure aziendali, che prevedono - a fronte di richieste informative da parte della clientela - una rigorosa verifica dell’identità del richiedente. Trattamento dati lavoratori: sanzione di 50mila euro a un’azienda per questionari post-malattia Un’azienda del settore automotive è stata sanzionata dal Garante per la protezione dei dati personali con una multa di 50mila euro per aver gestito in modo scorretto i dati personali dei dipendenti, compresi quelli relativi alla salute . La decisione è arrivata dopo una segnalazione sindacale che ha fatto emergere la prassi aziendale di sottoporre i lavoratori , dopo assenze per malattia, infortunio o ricovero, a colloqui accompagnati da questionari . I documenti venivano compilati dal responsabile e trasmessi all’Ufficio Risorse Umane, che, insieme al responsabile e/o al medico competente, valutava eventuali iniziative a tutela della salute dei lavoratori, come la modifica della postazione o interventi sulle relazioni lavorative. L’istruttoria del Garante ha evidenziato diverse violazioni del GDPR , tra cui l’assenza di un’informativa chiara ai dipendenti, la mancanza di una base giuridica per il trattamento dei dati (anche sanitari), la conservazione di informazioni non pertinenti o sproporzionate (fino a dieci anni) e trattamenti non necessari per valutare le competenze professionali. L’Autorità ha quindi disposto il divieto di trattare ulteriormente tali dati e la cancellazione di quelli già raccolti, valutando la gravità e la durata delle violazioni, il coinvolgimento di circa 890 dipendenti e il fatturato dell’azienda.