Newsletter del 17 luglio 2023 – App per rimborso pedaggi: dal Garante multa di 1 milione di euro ad Aspi – Fidelity card: il Garante multa la Rinascente per 300mila euro – Giornalismo: il Garante interviene a tutela dei minori – Sanità: Garante sanziona Centro medico per scambio dati di due pazienti

 

NEWSLETTER N. 506 del 17 luglio 2023

 


App per rimborso pedaggi: dal Garante multa di 1 milione di euro ad Aspi
Errata qualificazione dei ruoli privacy

Una sanzione di un milione di euro è stata comminata dal Garante privacy ad Autostrade per l’Italia spa (ASPI) per avere trattato in modo illecito i dati di circa 100mila utenti registrati alla app per il rimborso del pedaggio, denominata Free to X.

Le criticità del servizio – che consente la restituzione, totale o parziale, del costo del biglietto autostradale per i ritardi dovuti ai cantieri di lavoro – erano state segnalate al Garante da una associazione di consumatori.

L’Autorità ha accertato che Autostrade riveste il ruolo di titolare del trattamento e non di responsabile, come invece indicato nella documentazione che regola i rapporti tra Aspi e la società Free to X che ha realizzato e gestisce la app, nonché nell’informativa resa al riguardo agli utenti.
È stata Aspi infatti, in qualità di concessionario della rete autostradale, ad aver individuato il meccanismo di rimborso, la natura delle misure compensative, le modalità di adempimento, la tipologia del ritardo correlato alla presenza dei cantieri, attribuendo a Free to X solamente compiti di attuazione del servizio. La errata qualificazione dei ruoli privacy rivestiti dalle due società – sottolinea il Garante – ha immediate ripercussioni sull’informativa resa agli utenti che pertanto non è stata correttamente formulata. L’informativa avrebbe dovuto infatti riportare l’effettiva identità del titolare, ossia Aspi, nonché tutte le ulteriori informazioni per assicurare un trattamento corretto e trasparente, come previsto dal Regolamento. Aspi è incorsa, inoltre, in una ulteriore violazione per non aver designato Free to X quale responsabile del trattamento.

Il Garante non ha indicato ad Aspi misure correttive poiché la società nel corso del procedimento si è conformata alla normativa privacy.



Fidelity card: il Garante multa la Rinascente per 300mila euro
Riscontrate numerose violazioni nel trattamento dei dati dei clienti

Il Garante privacy ha sanzionato per 300mila euro la Rinascente S.p.A. per aver trattato in modo illecito dati personali di milioni di clienti nell’attività di marketing e profilazione mediante l’uso delle carte di fedeltà.

L’Autorità è intervenuta a seguito della segnalazione di una cliente che, dopo un alterco con un’addetta dello store, si era vista annullare la fidelity card erogata anni addietro e attivarne una nuova, non richiesta, recante, nella parte relativa all’intestazione, dei riferimenti offensivi nei confronti della reclamante. La signora lamentava che, di fatto, per introdurre la nuova intestazione oltraggiosa, era stato effettuato un accesso non richiesto alla scheda cliente.

Oltre a tale violazione dei principi di integrità e riservatezza, correttezza e liceità, l’accertamento ispettivo presso la sede della Rinascente, condotto dal Nucleo Speciale Privacy e Frodi Tecnologiche della Guardia di Finanza, ha evidenziato altre inosservanze della normativa sulla tutela dei dati personali.

Nel corso dell’istruttoria è risultato, ad esempio, che nell’informativa relativa alla fidelity card denominata “friendscard”, non erano stati indicati i tempi di conservazione dei dati per finalità di marketing e di profilazione. Inoltre, non veniva indicata l’attività svolta mediante Facebook-Meta, che prevedeva l’inoltro degli indirizzi email dei clienti alla società americana.

Riguardo infine all’attività di e-commerce presente sul sito: pur svolgendo un’attività di profilazione ad ampio raggio, non è risultato che la Rinascente avesse predisposto la procedura di valutazione d’impatto prevista dal GDPR.

L’Autorità ha prescritto alla società di definire tempi differenziati di conservazione, distinguendo fra trattamenti a fini di marketing e trattamenti a fini di profilazione e cancellando, o anonimizzando, i dati che dovessero risultare conservati al di là dei termini stabiliti.

Nel definire l’importo della sanzione a 300mila euro il Garante ha considerato l’elevato numero dei soggetti coinvolti dalle violazioni, (più di 2.000.000 di persone sono risultate iscritte presso i negozi oppure online), la loro durata e la capacità economica della Società. Sono invece state considerate attenuanti l’assenza di precedenti procedimenti a carico della Società, la tempestiva adozione di misure correttive e la grave crisi socio-economica in atto.Il Garante privacy ha sanzionato per 300mila euro la Rinascente S.p.A. per aver trattato in modo illecito dati personali di milioni di clienti nell’attività di marketing e profilazione mediante l’uso delle carte di fedeltà.

L’Autorità è intervenuta a seguito della segnalazione di una cliente che, dopo un alterco con un’addetta dello store, si era vista annullare la fidelity card erogata anni addietro e attivarne una nuova, non richiesta, recante, nella parte relativa all’intestazione, dei riferimenti offensivi nei confronti della reclamante. La signora lamentava che, di fatto, per introdurre la nuova intestazione oltraggiosa, era stato effettuato un accesso non richiesto alla scheda cliente.

Oltre a tale violazione dei principi di integrità e riservatezza, correttezza e liceità, l’accertamento ispettivo presso la sede della Rinascente, condotto dal Nucleo Speciale Privacy e Frodi Tecnologiche della Guardia di Finanza, ha evidenziato altre inosservanze della normativa sulla tutela dei dati personali.

Nel corso dell’istruttoria è risultato, ad esempio, che nell’informativa relativa alla fidelity card denominata “friendscard”, non erano stati indicati i tempi di conservazione dei dati per finalità di marketing e di profilazione. Inoltre, non veniva indicata l’attività svolta mediante Facebook-Meta, che prevedeva l’inoltro degli indirizzi email dei clienti alla società americana.

Riguardo infine all’attività di e-commerce presente sul sito: pur svolgendo un’attività di profilazione ad ampio raggio, non è risultato che la Rinascente avesse predisposto la procedura di valutazione d’impatto prevista dal GDPR.

L’Autorità ha prescritto alla società di definire tempi differenziati di conservazione, distinguendo fra trattamenti a fini di marketing e trattamenti a fini di profilazione e cancellando, o anonimizzando, i dati che dovessero risultare conservati al di là dei termini stabiliti.

Nel definire l’importo della sanzione a 300mila euro il Garante ha considerato l’elevato numero dei soggetti coinvolti dalle violazioni, (più di 2.000.000 di persone sono risultate iscritte presso i negozi oppure online), la loro durata e la capacità economica della Società. Sono invece state considerate attenuanti l’assenza di precedenti procedimenti a carico della Società, la tempestiva adozione di misure correttive e la grave crisi socio-economica in atto.



Giornalismo: il Garante interviene a tutela dei minori
Multati un quotidiano e due siti di informazione

Il Garante Privacy ha sanzionato un quotidiano e due siti di informazione che avevano pubblicato illecitamente dati personali e dettagli di un bambino e di una ragazza ancora minorenne coinvolti in due diversi episodi di cronaca. In entrambi i casi l’Autorità si è attivata a seguito del reclamo dei rispettivi genitori.

Nel nuovo intervento a tutela dei minori, il Garante ha ribadito che i giornalisti nella loro attività sono tenuti al rispetto delle Regole deontologiche e della nuova Carta di Treviso che prevedono tutele e garanzie rafforzate per i più piccoli. Tali regole impongono che i giornalisti, pur in presenza di fatti di interesse pubblico, si astengano dal diffondere dati personali e dettagli eccedenti che rendano i minori identificabili, in particolare in caso di decesso per malattia.

Nel primo episodio, infatti, “La Nazione” aveva pubblicato, nella versione cartacea e in quella online, due articoli che riportavano una quantità di dati eccedenti: le generalità del bambino deceduto, la presunta patologia da cui era affetto e la foto della bara; i dati identificativi (nome e cognome, professione, residenza) del papà e della mamma; il nome e l’età della sorellina più piccola.

Nel secondo caso, l’Autorità ha rilevato che il quotidiano online “Torino Oggi” aveva pubblicato un articolo, con titolo dal taglio negativo, contenente due fotografie e un video realizzato da un giornalista che ritraevano una minore ad un raduno non autorizzato interrotto dall’arrivo della polizia. Le riprese video erano state effettuate da una distanza che consentiva l’identificazione delle persone presenti, nonostante i loro tentativi di non essere riconosciuti. Il video era stato pubblicato anche sul canale YouTube dell’editore della testata.

Agli editori delle due testate, che nel corso dell’istruttoria hanno rimosso dalla Rete gli articoli, le foto e il video, l’Autorità ha inflitto rispettivamente una multa di 30mila e di 5mila euro, con il divieto di ogni ulteriore trattamento dei dati dei minori, anche on line, compreso l’archivio storico. Per la pubblicazione di un articolo, sempre relativo al caso del bambino deceduto, il Garante ha applicato una sanzione di 10mila euro anche all’editore de “la Voce Apuana”.


Sanità: Garante sanziona Centro medico per scambio dati di due pazienti
Violato il principio di esattezza e integrità

Le strutture sanitarie devono adottare tutte le misure tecniche e organizzative adeguate per garantire che il trattamento dei dati personali dei pazienti rispetti la normativa sulla privacy.

Lo ha ribadito il Garante per la protezione dei dati personali nel comminare una sanzione di 10mila euro a un Centro medico che aveva scambiato nel proprio database i dati e le informazioni sanitarie di due pazienti omonimi.

L’Autorità si era attivata a seguito del reclamo di uno dei due pazienti interessati, che lamentava di aver ricevuto periodicamente, sul numero privato, SMS di promemoria per visite mediche mai richieste e di aver trovato nella dichiarazione dei redditi fatture di circa 4mila euro, emesse con il proprio codice fiscale, su prestazioni mai effettuate. Nella segnalazione il paziente evidenziava poi di aver chiesto ripetutamente alla clinica la risoluzione del problema, senza alcun esito.

Dall’istruttoria del Garante è emerso che l’evento si era realizzato a causa della presenza nel database della struttura dei due soggetti omonimi. Tale omonimia aveva così contribuito ad un’errata attribuzione del codice fiscale ed indirizzo di residenza al momento della consegna di alcune fatture. L’errore di attribuzione aveva inoltre causato l’invio di SMS automatici al reclamante anziché al paziente a cui erano realmente indirizzati.

Numerose quindi le violazioni riscontrate. Il Centro aveva effettuato infatti un trattamento in violazione del principio di esattezza, integrità e riservatezza non avendo registrato correttamente nel database i dati dei due pazienti. Aveva inoltre effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del Regolamento europeo e degli obblighi in materia di sicurezza.

Tenuto conto della limitata portata dei trattamenti e del fatto che si è trattato di un singolo caso, il Garante ha applicato al Centro medico una sanzione di 10mila euro.


L’ATTIVITÀ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

  • Pornhub sotto la lente del Garante privacy. L’Autorità chiede chiarimenti su profilazione degli utenti e sistemi di tracciamento – Comunicato del 13.07.2023
  • Il 10 luglio la Commissione europea ha adottato la decisione di adeguatezza riguardante l’accordo quadro UE-USA – 12.07.2023
  • Relazione sull’attività 2022. Sintesi per la stampa, testo della Relazione e Discorso del Presidente – 6.7.2023

 

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 – 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it

Iscrizione alla Newsletter – Cancellazione dal servizio – Informazioni sul trattamento dei dati personali