Newsletter del 26 giugno 2024 – FSE 2.0, Garante Privacy: al via procedimenti nei confronti di 18 Regioni e 2 Province autonome – Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude – Riconoscimento facciale: Garante sanziona una concessionaria – PMI, con Olivia 15 corsi gratuiti sul Gdpr e test di controllo

NEWSLETTER N. 525 del 26 giugno 2024

• FSE 2.0, Garante Privacy: al via procedimenti nei confronti di 18 Regioni e 2 Province autonome
• Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude
• Riconoscimento facciale: Garante sanziona una concessionaria
• PMI, con Olivia 15 corsi gratuiti sul Gdpr e test di controllo

FSE 2.0, Garante Privacy: al via procedimenti nei confronti di 18 Regioni e 2 Province autonome
La grave situazione segnalata al Presidente del Consiglio e al Ministro della salute nei giorni scorsi

È urgente intervenire per tutelare i diritti di tutti gli assistiti italiani coinvolti nel trattamento dei dati sulla salute effettuato attraverso il Fascicolo Sanitario Elettronico 2.0. 

Con questa motivazione il Garante Privacy ha notificato a 18 Regioni e alle Province autonome di Bolzano e Trento l’avvio di procedimenti correttivi e sanzionatori per le numerose violazioni riscontrate nell’attuazione della nuova disciplina sul FSE 2.0, introdotta con il decreto del Ministero della salute del 7 settembre 2023. 

Nei giorni precedenti la grave situazione e l’urgenza di interventi correttivi era stata segnalata al Presidente del Consiglio dei Ministri e al Ministro della salute. 

Gli esiti dell’attività istruttoria sul FSE, avviata alla fine di gennaio, hanno mostrato che 18 Regioni e le due Province autonome del Trentino Alto Adige – non essendo in linea con quanto contenuto nel decreto del 7 settembre 2023 – hanno modificato, anche significativamente, il modello di informativa predisposto dal Ministero, previo parere del Garante, che avrebbe dovuto essere adottato su tutto il territorio nazionale. 

Le difformità riscontrate hanno reso evidente che alcuni diritti (es. oscuramento, delega, consenso specifico) e misure (es. misure di sicurezza, livelli di accesso differenziati, qualità dei dati) introdotte dal decreto, proprio a tutela dei pazienti, non sono garantite in modo uniforme in tutto il Paese. Oppure sono esercitabili ed esigibili solo dagli assistiti di talune Regioni e Province autonome, con un potenziale e significativo effetto discriminatorio sugli assistiti.

Tale disomogeneità contraddice inoltre lo spirito della riforma del FSE 2.0 volta a introdurre misure, garanzie e responsabilità omogenee sul tutto il territorio nazionale, rischiando così di compromettere anche la funzionalità, l’interoperabilità e l’efficienza del sistema FSE 2.0.

Le violazioni nelle quali sono incorse Regioni e Province autonome, con diversi livelli di gravità e responsabilità, possono comportare l’applicazione delle sanzioni previste dal Regolamento europeo.

Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude
Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito

Chiamate promozionali effettuate senza il consenso dell’interessato o rivolte a numeri iscritti al Registro pubblico delle opposizioni e assenza di controlli sui contratti acquisiti tramite contatti illeciti: il Garante per la protezione dei dati personali ha sanzionato Eni Plenitude per 6.419.631 euro.

Il provvedimento arriva a seguito di ben 108 segnalazioni e 7 reclami nei confronti della società, che lamentavano la ricezione di telefonate indesiderate.

Nel corso dell’istruttoria, il Garante ha anche chiesto a Eni Plenitude i dati delle proposte di acquisto effettuate dalla rete di vendita e concluse con l’attivazione di servizi energetici, relativi a una “settimana campione”: su 747 contratti stipulati nel periodo di tempo individuato, 657 sono arrivati da un contatto illegittimo. Numeri che, se fossero ipoteticamente proiettati su un anno, porterebbero a 32.850 forniture attivate in modo illecito.

Risultano gravi, in particolare, le lacune riguardanti il controllo e monitoraggio di agenzie e sub-agenzie e la commistione di data-base. Secondo il Garante, per rispettare la norma non basta allontanare il singolo agente o effettuare attività di audit in caso di anomalie, ma servono misure che impediscano l’ingresso nei sistemi aziendali di contratti stipulati in base a contatti telefonici illeciti o di trarre vantaggio economico da condotte illegittime.

Oltre al pagamento della sanzione, il Garante ha imposto a Eni Plenitude il divieto di ogni ulteriore trattamento dei dati dei reclamanti e dei segnalanti. La società dovrà inoltre comunicare ai 657 interessati contattati illecitamente gli esiti del procedimento in base a un testo da concordare con l’Autorità, predisporre controlli affinché contratti generati da contatti illeciti non entrino nel patrimonio aziendale e garantire il rispetto dei principi del trattamento, con particolare riferimento agli obblighi di aggiornamento, cancellazione e rettifica dei dati personali relativi alla clientela.

Riconoscimento facciale: Garante sanziona una concessionaria
No al controllo illecito delle presenze

Una sanzione di 120mila euro è stata irrogata dal Garante privacy a una concessionaria per aver violato i dati personali dei dipendenti attraverso l’utilizzo di sistemi di riconoscimento facciale per il controllo delle presenze sul posto di lavoro. L’Autorità era intervenuta a seguito del reclamo di un dipendente che lamentava il trattamento illecito di dati personali, attraverso un sistema biometrico installato presso le due unità produttive della società. Con il reclamo, veniva anche lamentato l’utilizzo di un software gestionale con cui ciascun dipendente era tenuto a registrare gli interventi di riparazione svolti sui veicoli assegnati, i tempi e le modalità di esecuzione dei lavori, nonché i tempi di inattività con le specifiche causali.

Dall’attività ispettiva del Garante, svolta in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza, sono emerse numerose violazioni del Regolamento europeo da parte della società.

Con riferimento al trattamento dei dati biometrici, il Garante ha ribadito nuovamente che l’utilizzo di tali dati non è consentito perché non esiste nessuna norma di legge che al momento attuale preveda l’utilizzo del dato biometrico per la rilevazione delle presenze. Pertanto, l’Autorità ha ricordato che neanche il consenso manifestato dai dipendenti può essere considerato idoneo presupposto di liceità, per l’asimmetria tra le rispettive parti del rapporto di lavoro.

L’Autorità ha inoltre accertato che la concessionaria da più di sei anni, mediante un software gestionale, raccoglieva dati personali relativi alle attività dei dipendenti per redigere report mensili da inviare alla casa madre, contenenti dati aggregati sui tempi impiegati dalle officine per le lavorazioni effettuate. Il tutto in assenza di un’idonea base giuridica e di un’adeguata informativa che, nel contesto del rapporto di lavoro, è espressione del principio di correttezza e trasparenza. L’Autorità, oltre a sanzionare la società, le ha quindi ordinato di conformare il trattamento dei dati effettuato mediante il software gestionale alle disposizioni della normativa privacy.

PMI, con Olivia 15 corsi gratuiti sul Gdpr e test di controllo
Il tool consentirà a titolari e responsabili del trattamento di verificare la conformità alla disciplina sulla privacy

La protezione dati alla portata di tutti, attraverso lezioni testuali, seminari in video e questionari per verificare le competenze acquisite. Si tratta di Olivia, il tool virtuale gratuito, realizzato nell’ambito del progetto europeo ARC II di cui è partner il Garante privacy, presentato nel corso del recente Privacy Symposium a Venezia.

Olivia (“general data protection regulation on Virtual Assistant”) è stato pensato per offrire un’occasione di formazione per le piccole e medie imprese e accompagnarle nel loro adeguamento al Regolamento europeo sulla protezione dei dati (Gdpr). Ma può rappresentare un utile strumento di conoscenza per tutti i titolari e responsabili del trattamento anche del settore pubblico.

La piattaforma presenta infatti una serie di moduli di apprendimento, che vanno dalle nozioni di base sul GDPR ai principi e alle basi giuridiche del trattamento dei dati, fino alle condizioni per l’utilizzo dei cookie o dei sistemi di videosorveglianza sul luogo di lavoro. Ma soprattutto il tool, elaborando risposte ai questionari messi a disposizione, consente alle aziende di verificare la conformità alla disciplina sulla privacy.

Particolare utilità rivestono al tal proposito i modelli di documentazione proposti da Olivia a proposito di valutazione d’impatto sulla protezione dati (Dpia) e di valutazione del legittimo interesse, che rappresenta la base giuridica più complessa – soprattutto per una PMI – su cui fondare un trattamento, dal momento che richiede di dimostrare la prevalenza degli interessi dell’organizzazione sui diritti degli interessati.

Completamente gratuito e disponibile in italiano, inglese e croato, Olivia sarà rilasciato definitivamente a settembre. Gli utenti registrati troveranno sulla piattaforma le registrazioni video dei 10 seminari realizzati da remoto realizzati nell’ambito di ARC II e tutte le presentazioni effettuate dai relatori. 

Il progetto ARC II, finanziato dalla Commissione europea a cui partecipano l’Autorità di protezione dati della Croazia, il Garante Privacy e le Università di Firenze, Zagabria e Bruxelles (Vrije Universiteit), nasce per semplificare il rispetto del Regolamento da parte delle Pmi, ridurre gli oneri di adeguamento e dimostrare come il rispetto della normativa sulla protezione dei dati possa migliorare l’attività imprenditoriale e costruire rapporti di fiducia con utenti e clienti. 

L’ATTIVITÀ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

• Covid: Garante privacy apre istruttoria su tirocinio vietato in Asl Puglia – Comunicato del 12 giugno 2024

• Ricerca scientifica: le Faq del Garante Privacy per gli IRCCS – 12 giugno 2024

• Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati – 06 giugno 2024

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 – 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it

Iscrizione alla Newsletter – Cancellazione dal servizio – Informazioni sul trattamento dei dati personali