NEWSLETTER N. 498 del 22 dicembre 2022
- Energia: il Garante privacy sanziona Areti per 1 mln di euro
- Lavoro: no alla rilevazione delle impronte digitali senza specifici requisiti
- HIV: Garante, referto disponibile nel FSE solo dopo l’incontro tra medico e paziente
Energia: il Garante privacy sanziona Areti per 1 mln di euro
Migliaia di utenti classificati per errore clienti “morosi” non riescono a passare ad altri fornitori
Qualificato per errore cliente “moroso” da Areti spa, la società che distributrice l’energia elettrica nella Capitale, non riesce a passare ad un altro fornitore e perde così il potenziale risparmio derivante dai vantaggi della liberalizzazione del mercato. Si rivolge allora al Garante per la privacy che, al termine di una articolata attività istruttoria, dichiara illecito il trattamento di dati effettuato dal distributore e ingiunge alla società il pagamentodi una sanzione di 1 milione di euro.
Dagli accertamenti ispettivi svolti dall’Autorità è emerso che l’illecito trattamento ha riguardato altre migliaia di clienti.
L’impossibilità per l’utente di cambiare fornitore era derivata da un trattamento di dati inesatti e non aggiornati, dovuto a un disallineamento dei sistemi interni della società che ha comportato l’errata comunicazione in ordine ad una morosità in corso al Sistema informativo integrato (SII), la banca dati consultata dai fornitori prima di sottoscrivere un nuovo contratto.
La disciplina di settore consente infatti al venditore entrante di valutare la “convenienza” di acquisire un nuovo cliente nel libero mercato consultando il Sistema informativo integrato, alimentato anche dalle informazioni comunicate dal distributore. Purtroppo però, a partire da dicembre 2016 e fino a gennaio 2022 le diverse query utilizzate da Areti per estrarre le informazioni dai propri sistemi avevano a causa di una serie di errori tecnici ed applicativi – attribuito di fatto ai clienti finali una condizione di morosità non corrispondente alla loro reale condizione. Come conseguenza, sulla base di tale informazione inesatta, i venditori entranti avevano negato l’attivazione della fornitura di energia ad oltre 47 mila potenziali clienti.
Oltre all’erronea applicazione della query per l’estrazione del dato sulla morosità, il Garante ha contestato ad Areti anche tempistiche inadeguate nella conservazione dei dati, migrazione di dati non esatti nell’ambito dei propri sistemi e inidoneo riscontro all’istanza con la quale il reclamante aveva esercitato i propri diritti. Ad Areti quindi è stata contestata anche la violazione del principio di accountability, poiché le misure tecniche e organizzative adottate per conformare il trattamento dei dati al Regolamento europeo non sono risultate adeguate alla natura, al contesto e ai rischi del trattamento effettuato.
Nel determinare l’ammontare della sanzione il Garante ha tenuto conto, in particolare, delle diverse migliaia di clienti coinvolti, della durata della violazione, circa 5 anni, della delicatezza delle informazioni trattate in grado di evidenziare l’“affidabilità” della persona nonché delle possibili conseguenze sul piano economico e sociale che possono derivare da un loro illecito trattamento.
Lavoro: no alla rilevazione delle impronte digitali senza specifici requisiti
Il Garante privacy sanziona una società sportiva per 20.000 euro
Il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie. Questo il principio ribadito dal Garante che ha sanzionato per 20.000 euro una società sportiva che aveva introdotto un sistema di rilevazione delle impronte digitali per accertare la presenza dei dipendenti presso i club in gestione.
L’Autorità è intervenuta a seguito di una segnalazione di un’organizzazione sindacale, che lamentava l’introduzione del sistema biometrico da parte della società, nonostante la richiesta del sindacato di adottare mezzi di rilevazione meno invasivi.
Nel corso dell’istruttoria e degli accertamenti ispettivi, effettuati dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, è emerso che la società aveva effettuato, per quasi quattro anni, la rilevazione delle impronte digitali dei 132 dipendenti senza un’adeguata base normativa.
E, violando i principi di minimizzazione e proporzionalità, aveva trattato per scopi di ordinaria gestione (consentire maggiore velocità e snellezza dell’attività di rilevazione delle presenze) una tipologia di dati protetta dal Regolamento europeo con particolari garanzie. La società aveva inoltre fornito ai lavoratori informazioni del tutto carenti sulle caratteristiche dei trattamenti biometrici.
Riscontrate le numerose violazioni della normativa posta a tutela dei dati personali dei lavoratori, il Garante, nel definire la sanzione di 20.000 euro, ha tenuto conto della natura, della gravità e della durata degli illeciti, che si sono protratti fino al 2 maggio 2022, data in cui il sistema di rilevazione delle impronte digitali è stato sostituito da un sistema non biometrico.
HIV: Garante, referto disponibile nel FSE solo dopo l’incontro tra medico e paziente
Lo prescrive la legge n.135 del 1990, non la normativa sulla privacy
Il referto sull’HIV può essere inserito nel Fascicolo sanitario elettronico (Fse) solo dopo che il medico ha comunicato di persona all’interessato l’esito dell’esame. Lo ha ribadito il Garante per la protezione dei dati personali in una FAQ pubblicata sul proprio sito web.
L’Autorità ricorda che è la legge 135/1990 sulla lotta all’Aids a stabilire che la comunicazione dei risultati degli accertamenti diagnostici per una patologia così delicata venga data esclusivamente alla persona a cui sono riferiti gli esami, e alla quale va garantita la massima tutela. Una volta soddisfatta l’esigenza di intermediazione tra medico e paziente, il referto sull’HIV può essere reso disponibile all’interessato tramite il FSE, al pari di ogni altro referto.
L’intervento è stato reso necessario a seguito di diverse segnalazioni all’Autorità che lamentavano come alcune Regioni non consentissero agli interessati di ricevere il referto diagnostico sul proprio Fascicolo sanitario elettronico a causa di supposti limiti derivanti dalla normativa sulla protezione dei dati personali.
Il Garante ha dunque chiarito che l’indisponibilità dei risultati sul FSE non dipende dalla normativa sulla privacy, ma dalla disciplina legislativa sull’HIV, il cui fine è quello di consentire a chi abbia effettuato un test un’adeguata assistenza psicologica e una consulenza specialistica sul significato del risultato.
L’ATTIVITÁ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità
-
Lavoro: il Garante privacy sanziona la Regione Lazio. Illecito controllo di metadati delle e-mail di dipendenti – Comunicato del 19 dicembre 2022
-
Natale in privacy. Suggerimenti su come tutelare i dati personali durante le Feste – 16 dicembre 2022
-
PNR: Garanti europei, gli Stati membri rispettino le indicazioni della Corte di giustizia – Comunicato del 15 dicembre 2022
-
Protezione dei dati personali: gli strumenti di tutela a disposizione dell’interessato.
La scheda informativa del Garante – 6 dicembre 2022 -
Dal Garante privacy 2 milioni di multa a Clubhouse, il social delle chat vocali – Comunicato del 5 dicembre 2022
-
Il cordoglio del Garante per la scomparsa di Danilo Cesar Maganhoto Doneda – 5 dicembre 2022
-
Il Garante privacy tra le eccellenze d’Italia. Il 1° dicembre, il Presidente dell’Autorità, Pasquale Stanzione riceverà il riconoscimento “Storie di eccellenza – 100 Eccellenze italiane” – Comunicato del 30 novembre 2022
NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 – 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it
Iscrizione alla Newsletter – Cancellazione dal servizio – Informazioni sul trattamento dei dati personali