Articoli

Telemarketing indesiderato: 11,5 milioni di euro di sanzione a Eni gas e luce

Avv. Vincenzo Colarocco

Il Garante della Privacy è intervenuto nuovamente sul trattamento dei dati personali in relazione ad iniziative promozionali ed attivazione di contratti non richiesti.

All’esito di istruttorie avviate a seguito di numerose segnalazioni dei consumatori che lamentavano la ricezione di telefonate con operatore, il Garante ha potuto riscontrare condotte di sistema adottate da Eni Gas e Luce nel corso di attività di telemarketing e teleselling indesiderate, nonché violazioni nella conclusione di contratti, all’interno del mercato libero del fornitura di energia e gas, non richiesti.

Per tali motivi, il Garante ha emesso due sanzioni per un ammontare complessivo di 11,5 milioni di euro: una prima sanzione di 8,5 milioni di euro ed una seconda sanzione di euro 3 milioni.

Le gravi irregolarità sono state la conferma dell’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati, nonché determinato trattamenti non conformi al Regolamento UE, in quanto contrari ai principi di correttezza, esattezza e aggiornamento dei dati.

E se il medico pubblicasse le tue foto sui social network?

Avv. Vincenzo Colarocco

Filmati di soggetti ricoverati, foto prima/dopo l’intervento di chirurgia, messaggi di cordoglio per il decesso di un paziente che, per una morale religiosa, si è lasciato morire: sono solo alcuni dei casi che riguardano il fenomeno della condivisione di informazioni relative a dati particolari nell’ambito medico sui social network.

I professionisti, infatti, perseguendo scopi pubblicitari o di altro genere, maturano l’errata convinzione che la mera omissione del nome dei pazienti sia sufficiente a garantire un grado di non identificabilità tale da preservare un diritto fondamentale quale quello alla privacy. Nulla di più sbagliato.

Invero, è nota la definizione di dato personale sancita dall’art. 4 del GDPR, il quale individua come tale “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

In Italia la questione è già da qualche tempo al centro dell’attenzione.

Nel 2017 il Ministero della Salute, mediante una nota, chiese alla Federazione Nazionale dell’Ordine dei medici di redigere un monito rivolto a tutti gli ordini provinciali invitando tutti i professionisti iscritti all’albo a verificare l’uso degli strumenti social in relazione alla professione, ribadendo l’obbligo di rispettare l’art. 10 del Codice deontologico, che impone al medico di “mantenere il segreto su tutto ciò di cui è a conoscenza in ragione della propria attività professionale. La morte della persona assistita non esime il medico dall’obbligo del segreto professionale”. Occorre ricordare che, il medesimo Codice impone, all’art. 11, “rispetto della riservatezza, in particolare dei dati inerenti alla salute e alla vita sessuale. Il medico assicura la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici”.

La questione dello scorretto e non autorizzato utilizzo dei dati particolari dei pazienti da parte dei medici è stata recentemente attenzionata dall’autorità di controllo di Cipro, la quale ha inflitto una sanzione di 14.000 euro ad un medico che aveva pubblicato su internet i dati sensibili di un paziente senza il suo consenso: in particolare, il chirurgo aveva filmato con il suo telefonino una persona ricoverata in ospedale per sottoporsi a un intervento di rinoplastica e aveva successivamente pubblicato tale contenuto sul web a scopo dimostrativo (prima/dopo) senza riportare il nome del paziente, nell’errata convinzione che tale scelta potesse garantirne l’anonimato, nonostante questi fosse comunque riconoscibile dal volto. Ancor più grave la condotta solo a considerare che il profilo ufficiale Instagram della clinica vanta circa 4 mila follower.

Quanto valgono le violazioni del GDPR?

Avv. Vincenzo Colarocco

Le autorità di controllo europee stanno tenendo un approccio ragionevole e ponderato in merito alle sanzioni per il mancato rispetto del GDPR, e ciò, in modo conforme ai principi di effettività e proporzionalità. A titolo esemplificativo:

 

Autorità Fine () Quoted Art. Summary
Garante privacy francese (CNIL) Euro 50.000.000 nei confronti di  Google Inc. Art. 13 GDPR, Art. 14 GDPR, Art. 6 GDPR, Art. 4 nr. 11 GDPR, Art. 5 GDPR Violazione dei principi di trasparenza (Art. 5 GDPR), di informazione (Art. 13 / 14 GDPR) e delle basi giuridiche (Art. 6 GDPR).  (Art. 4 n. 11 GDPR).
Garante privacy italiano Euro 50.000 nei confronti del Movimento 5 Stelle Art. 32 GDPR Misure di sicurezza tecniche ed organizzative insufficienti
Garante privacy britannico (ICO) Euro 204.600.000 nei confronti di British Airways Art. 32 GDPR Misure di sicurezza tecniche ed organizzative insufficienti

 

Per una visione d’insieme e costantemente aggiornata sulle sanzioni erogate in Europa, basta cliccare qui.

Youtube ha violato la privacy dei minori: si va al patteggiamento

Avv. Vincenzo Colarocco

Già dallo scorso anno, alcune associazioni americane a tutela della privacy avevano accusato Google per avere trattato illecitamente i dati degli utenti della piattaforma Youtube. Non una categoria di interessati qualunque quella che sarebbe stata danneggiata dal colosso della Silicon Valley: si sarebbe trattato, infatti, degli utenti minorenni fruitori dei video e degli altri contenuti messi a disposizione dal provider. Ebbene è di questi giorni la notizia che le accuse perpetrate non sarebbero state infondate: Google ha infatti dato avvio al patteggiamento con la Federal Trade Commission, autorità che avrebbe effettivamente accertato l’intervenuta violazione della normativa sulla privacy dei bambini, il Children’s Online Privacy Protection Act. Google ha davvero raccolto i dati ed altre informazioni personali di minori sotto i 13 anni senza il consenso dei genitori. La cifra per il patteggiamento va dai 150 ai 200 milioni di dollari e se l’accordo sarà approvato si tratterà della maggiore sanzione erogata dall’authority in procedimenti riguardanti i bambini. Se, da un lato, la sanzione mostra come le autorità americane stiano intensificando gli sforzi per mettere fine alle violazioni della privacy da parte delle aziende della Silicon Valley (si pensi a Facebook), dall’altro, le indiscrezioni sul patteggiamento hanno lasciato insoddisfatte le associazioni che hanno denunciato YouTube, convinte che la cifra non sia adeguata e non possa funzionare da deterrente per il futuro, che piuttosto suggerirebbero una multa di almeno mezzo miliardo di dollari. Il patteggiamento – che potrebbe dare avvio ad una serie di altri casi analoghi di patteggiamento per siti o app in violazione – dovrebbe essere annunciato con la fine del mese di settembre 2019.

Bulgaria: arrivano le sanzioni del Garante Privacy per due violazioni di dati

Avv. Vincenzo Colarocco

A pochi giorni di distanza, l’Autorità bulgara per la protezione dei dati personali, potrebbe emettere due importanti sanzioni per la violazione dei dati degli utenti.

Nel primo caso si tratta di una sanzione rivolta ad una delle banche del gruppo ungherese OTP, la DSK Bank, per un importo corrispondente a più di mezzo milione di euro. A fronte del data breach che ha colpito 33.492 clienti ed a causa del quale sono state divulgate informazioni quali nominativi completi, copie di carte d’identità, indirizzi, numeri di conto e, addirittura, dati relativi ad atti di proprietà di persone che avevano preso prestiti dall’istituto bancario, il Garante, ha intrapreso un’indagine. Sebbene, la banca abbia affermato che i propri sistemi in tale occasione non sono risultati compromessi, essendosi trattato di furto di dati non digitali, l’Autorità ha dichiarato che in caso di accertata omessa adozione delle misure tecniche e organizzative adeguate per garantire la riservatezza dei clienti, prescritte agli artt. 32 e ss. del GDPR, l’istituto di credito incorrerebbe nelle sanzioni previste dalla normativa sui dati.

Il secondo caso, invece, riguarda una sanzione da emettere nei riguardi dell’Agenzia Nazionale delle Entrate.

A dichiararlo ad una emittente televisiva è il presidente del Garante, Ventsislav Karadjov, il quale ha spiegato le motivazioni che giustificherebbero la somma stimata in 2,6 milioni di euro. Questi ha spiegato che la commissione ha tenuto conto delle responsabilità dell’agenzia fiscale nel denunciare una intervenuta violazione di dati e contattare le persone interessate, sottolineando che quest’ultima avrebbe minimizzato rispetto al rischio di furti d’identità, e che non avrebbe adottato tutte le possibili cautele per prevenire l’attacco informatico.

Violenza sessuale: vietata la pubblicazione di informazioni che possano identificare la vittima, anche indirettamente

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali ha ribadito, con alcune recenti decisioni (cfr. inter alia n. 9065807, 9065782, 9065800) il principio per cui viene fatto divieto ai media di diffondere informazioni che possano rendere identificabile, anche in via indiretta, una vittima di violenza sessuale.

L’art. 137 del Codice della Privacy prevedeva – e tuttora dispone nel nuovo testo dell’art. 12, comma 1, lett. c), del d.lgs. 101/2018,– che in caso di diffusione o di comunicazione di dati personali per finalità giornalistiche restano fermi i limiti del diritto di cronaca a tutela dei diritti e delle libertà delle persone e, nello specifico, il limite dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico.

Il Garante ha affermato che detto limite deve essere interpretato con particolare rigore quando vengono in considerazione dati idonei a identificare vittime di reati, a maggior ragione con riferimento a notizie che riguardano episodi di violenza sessuale, attesa la particolare tutela accordata dall’ordinamento, anche in sede penale, alla riservatezza delle persone offese da tali delitti.

La diffusione all’interno di un articolo di informazioni idonee a rendere, sia pure indirettamente, la vittima identificabile, risulta in contrasto con le esigenze di tutela della dignità della medesima anche in ragione dell’art. 8, comma 1, del codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica.

Il Garante ha ricordato che in caso di inosservanza del divieto, il titolare del trattamento, in questo caso l’editore, può incorrere anche nelle nuove sanzioni amministrative introdotte dal GDPR, all’art. 83, par. 5, lett. e), che possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Comminate le prime sanzioni per violazioni al gdpr

Avv. Vincenzo Colarocco

A circa sei mesi di distanza dall’entrata in vigore del Regolamento UE 679/2016 (“GDPR”), recante la nuova disciplina in materia di trattamento dei dati personali nel contesto comunitario, si segnalano le prime sanzioni derivanti da violazioni del nuovo tessuto normativo.

Anzitutto si segnala un provvedimento sanzionatorio adottato dal Garante Privacy Austriaco in relazione ad un inappropriato utilizzo dei sistemi di videosorveglianza aziendali (per un approfondimento sul tema, in lingua originale, clicca qui). In particolare, l’azienda sanzionata risultava munita di videocamere che, prescindendo da una concreta finalità, da qualunque segnalazione al Garante e dall’esposizione della dovuta segnaletica, riprendevano non solo gli ingressi agli stabilimenti aziendali ma anche i volti di chi percorrevi gli attigui marciapiedi. In tale circostanza la sanzione comminata è stata pari ad euro 4.000,00 circa.

Da riportarsi è anche la sanzione conseguente ad un caso di data breach verificatosi in Germania. Nonostante i casi di violazione di dati personali non si siano certo fatti attendere in questa prima fase di entrata in vigore del GDPR, il provvedimento adottato dal Garante Tedesco (disponibile qui in allegato in lingua originale) si attesta sinora come una rarità nello scenario comunitario. La particolarità della sanzione comminata nel caso di specie si attesta nella circostanza che l’Autorità competente sembrerebbe aver tenuto in maggior considerazione l’evidenza che i dati violati (nello specifico nome utente e password aziendali) fossero stati mal conservati dall’azienda coinvolta, piuttosto che dalla conseguente sottrazione degli stessi. Tale ultima circostanza costituirebbe infatti, stando al Garante Tedesco, la mera conseguenza di non essersi muniti di sistemi di cifratura adeguati che, seppur in caso di sottrazione di dati, avrebbero quantomeno potuto evitare che le password dei dipendenti venissero rese pubbliche. In seguito a tali eventi la sanzione adottata si è attestata sugli euro 20.000.

Le descritte misure sanzionatorie restano comunque ben più lievi rispetto a quella recentemente comminata dall’Autorità Portoghese (pari ad euro 400.000,00) ad una struttura ospedaliera nazionale rea di aver posto in essere delle politiche estremamente leggere in materia di accesso a dati sanitari, con la conseguenza che gli addetti di qualsiasi reparto potevano, con estrema facilità, non soltanto accedere, ma anche modificare i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti ospiti del complesso ospedaliero. La portata della sanzione adottata ha fatto sì che la notizie fosse rilanciata con enfasi anche dai quotidiani nazionali portoghesi (qui un esempio).

Dal quadro esposto emerge chiaramente come le Autorità Europee Garanti della Privacy, dopo una concepibile prima fase di assestamento, guardino ormai con attenzione crescente a quel complesso di norme del GDPR attinenti alla sfera sanzionatoria, di cui tanto si è parlato nei momenti antecedenti all’entrata in vigore della nuova normativa. Risulta altresì evidente come il quadro sanzionatorio – e per l’effetto quello delle possibili condotte che possano integrarlo – si configuri come assai vario. Non adottare la dovuta segnaletica in ambito di videosorveglianza; non munirsi di policy adeguate per regolamentare l’accesso ai dati; non beneficiare di semplici sistemi di cifratura per le password dei propri dipendenti, rappresentano errori assai comuni e che possono essere commessi a qualunque livello aziendale.