Newsletter del 13 settembre 2024 – Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas – Design ingannevole, indagine internazionale: ancora troppi ostacoli per gli utenti – Giornalismo: Garante, no ai dettagli che vìolano la riservatezza dei minori – D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy

NEWSLETTER N. 527 del 13 settembre 2024

• Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas
• Design ingannevole, indagine internazionale: ancora troppi ostacoli per gli utenti
• Giornalismo: Garante, no ai dettagli che vìolano la riservatezza dei minori
• D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy

Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas
Agenti porta a porta attivavano contratti non richiesti a clienti ignari

Il Garante Privacy ha ordinato a Hera Comm S.p.A. il pagamento di una sanzione di 5milioni di euro per gravi violazioni riscontrate nel trattamento dei dati personali di oltre 2.300 clienti nell’ambito della fornitura di energia elettrica e gas.

L’Autorità è intervenuta a seguito di numerose segnalazioni e reclami riguardanti la conclusione di contratti non richiesti nel mercato libero, compilati con dati inesatti e non aggiornati di clienti della società.

In particolare, i reclamanti lamentavano di aver appreso dell’instaurazione del nuovo contratto, solo dopo la ricezione da parte di Hera di documentazione sottoscritta con firma apocrifa o di comunicazioni per aggiornare lo stato di attivazione della fornitura, senza aver mai avuto alcun contatto con la società. Alcuni reclami riguardavano inoltre l’inesatto o tardivo riscontro di Hera alle richieste di esercizio dei diritti ai sensi del Regolamento privacy.

Dalle ispezioni effettuate, l’Autorità ha accertato che la società non aveva adottato misure tecniche e organizzative adeguate a scongiurare l’utilizzo illecito dei dati dei clienti da parte degli agenti porta a porta. Quest’ultimi acquisivano infatti le generalità degli interessati mediante l’uso di dispositivi personali, scattando ad esempio foto del relativo documento di riconoscimento, per poi procedere a loro insaputa all’attivazione della fornitura. In alcuni casi gli agenti attivavano anche polizze assicurative, sottoscritte con firma falsa, inviate insieme ai contratti. Inadeguato anche il sistema di monitoraggio utilizzato dalla società mediante telefonate di controllo volte a verificare l’effettiva volontà del cliente.

Nella maggior parte dei casi infatti l’attivazione era avvenuta anche quando tali chiamate non erano andate a buon fine per l’irreperibilità della persona contattata.

Il Garante quindi, oltre alla sanzione pecuniaria, ha ingiunto alla società una serie di misure correttive, tra cui l’adozione di un sistema che preveda l’interruzione del processo di contrattualizzazione in caso di mancata risposta alla telefonata di controllo; nonché l’effettuazione di verifiche preventive e audit periodici per la valutazione dell’operato delle agenzie incaricate.

La società dovrà inoltre stabilire specifici tempi di conservazione dei dati, distinti per categoria e finalità di trattamento.

Design ingannevole, indagine internazionale: ancora troppi ostacoli per gli utenti
I risultati dello Sweep, realizzato dal Global Privacy Enforcement Network (GPEN), di cui fa parte il Garante italiano

Sono ancora troppi gli ostacoli che si presentano agli utenti di siti web ed app quando devono gestire i cookie o cancellare i propri account. Le privacy policy invece sono facili da leggere e facilmente accessibili. È quanto emerge dall’analisi del Garante per la protezione dei dati personali nell’ambito del Privacy Sweep, l’indagine conoscitiva della rete internazionale del GPEN (Global privacy enforcement network), dedicata quest’anno ai cosiddetti modelli di design ingannevole (dark pattern).

I dark pattern sono interfacce e percorsi che, relativamente al trattamento dei dati personali, cercano di influenzare gli utenti verso scelte inconsapevoli, non volute e potenzialmente dannose, spesso contrarie ai loro interessi, ma favorevoli a quelli delle piattaforme.

26 Autorità di protezione dati del GPEN, tra il 29 gennaio e il 2 febbraio scorsi, hanno passato al setaccio 899 siti web e 111 app, e nel 97% dei casi hanno individuato la presenza di almeno una tipologia di design ingannevole. Tra gli indicatori presi in considerazione: l’utilizzo di un linguaggio complesso e confuso nelle informative, l’inserimento di passaggi aggiuntivi e non necessari, l’introduzione di elementi di design per influenzare la percezione delle opzioni privacy, la richiesta di informazioni personali eccedenti per accedere a un servizio.

L’attenzione del Garante privacy italiano si è concentrata su 50 siti web di cosiddetti “comparatori” di servizi e prodotti ed ha riguardato i cookie banner e le modalità di cancellazione degli account utente.

In più del 60% dei casi i banner mostravano con maggiore enfasi l’opzione meno favorevole per la privacy degli utenti, nel quasi 40% dei casi per rifiutare tale opzione l’utente era costretto a un maggior numero di passaggi; in un numero più ristretto di casi (circa il 30%) non era presentata
altra opzione che quella dell’accettazione di tutti i cookie.

Dai siti esaminati anche la cancellazione di un account utente spesso presentava percorsi accidentati per l’assenza di una specifica funzionalità di cancellazione, per l’eccessivo numero di click per raggiungerla, per la richiesta di informazioni personali eccedenti e per l’utilizzo di un linguaggio orientato a dissuadere l’utente.

Dall’analisi emerge inoltre quanto sia importante per gli utenti avere un facile accesso alla privacy policy e, quanto invece, troppo spesso, manchi un indice automatizzato degli argomenti, che faciliterebbe ulteriormente la fruibilità delle informative.

Giornalismo: Garante, no ai dettagli che vìolano la riservatezza dei minori

Nel pubblicare articoli che riportano fatti di cronaca e sentenze che riguardano i minori, occorre sempre verificare che siano oscurati nomi e dettagli che possano ledere la loro riservatezza e dignità.

Lo ha ribadito il Garante Privacy nel sanzionare una rivista online che, all’interno di un articolo, aveva pubblicato il link ad una sentenza di Tribunale, su una controversia tra due Comuni per la gestione economica di diverse strutture di accoglienza per minori. Nella sentenza erano riportati in chiaro nomi, residenza e periodo di permanenza dei minori presso le strutture gestite dai due enti.  Alla richiesta di informazioni dell’Autorità – che si è attivata a seguito della segnalazione da parte del Garante dei diritti della persona della Regione Veneto – la rivista si è giustificata ritenendo, erroneamente, che fosse compito del Tribunale anonimizzare i dettagli riferiti ai minori presenti nella sentenza.

L’Autorità, considerato l’immediato oscuramento dell’articolo contenente il link alla sentenza e la deindicizzazione dai motori di ricerca, ha comminato all’editore della rivista una sanzione di 10mila euro per trattamento illecito di dati personali.

D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy

Parere favorevole del Garante Privacy sullo schema di decreto legislativo che recepisce la direttiva europea sulla resilienza dei soggetti critici (direttiva CER – critical entities resilience), operativi in settori particolarmente delicati (energia, sanità, infrastrutture digitali, PA).

Lo schema di decreto legislativo prevede, tra l’altro, l’introduzione di misure, criteri, obblighi, sanzioni e disposizioni volti a garantire l’erogazione dei servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, della salute e della sicurezza pubbliche o dell’ambiente.

Nel rendere il parere al Governo, il Garante ha ritenuto che lo schema di decreto legislativo, pur non presentando particolari criticità sotto il profilo della protezione dati, necessiti di alcune integrazioni in merito alla verifica dei precedenti penali per quanti ricoprono ruoli sensibili all’interno delle strutture.

In particolare, l’Autorità ha chiesto di precisare quali siano le categorie di precedenti (essenzialmente penali) ritenuti “rilevanti” e di disciplinare le modalità e i tempi di conservazione dei certificati del casellario giudiziale europeo acquisiti, demandando eventualmente anche alla fonte regolamentare.

Occorre poi valutare, secondo il Garante, l’opportunità di integrare lo schema richiamando gli adempimenti previsti nei casi in cui particolari eventi o incidenti implichino violazioni di dati personali.

L’ATTIVITÀ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

• Strage di Paderno, Garante privacy ai media: no ad informazione morbosa – Comunicato del 2 settembre 2024

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 – 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it

Iscrizione alla Newsletter – Cancellazione dal servizio – Informazioni sul trattamento dei dati personali