Dal Garante privacy sanzione di 70mila euro ad una società di riabilitazione creditizia

Scritto il 14 Marzo 2025

Il ruolo di Responsabile della protezione dei dati (RDP) è del tutto incompatibile con quello di rappresentante legale della società presso la quale è designato. Il Responsabile deve essere indipendente e svolgere anche compiti di sorveglianza. È quanto ha ribadito il Garante privacy, a seguito di una segnalazione della Banca d’Italia, sanzionando una società di riabilitazione creditizia per numerose violazioni in materia di protezione dati.

In base agli elementi acquisiti nel corso dell’istruttoria, che ha visto anche la collaborazione del Nucleo Speciale della Guardia di Finanza, è risultato che la società, che si occupa principalmente di cancellazione delle segnalazioni nelle centrali creditizie operate dalle banche, deteneva un database nel quale venivano registrati i dati di oltre 70mila persone.

Le informazioni erano state raccolte dalle diverse aziende che facevano capo al legale rappresentante della società e che negli anni si erano avvicendate nella fornitura dei medesimi servizi alla clientela. La società inoltre aveva designato come Responsabile della protezione dei dati personali, senza peraltro darne comunicazione all’Autorità, il suo rappresentante legale, non considerando che le due cariche sono incompatibili l’una con l’altra.

Leggi tutto

Telemarketing: Garante sanziona Wind Tre per oltre 347mila euro

Scritto il 14 Marzo 2025

Nuovo intervento del Garante privacy contro il fenomeno del telemarketing selvaggio. L’Autorità ha ordinato a Wind Tre spa il pagamento di una sanzione di 347.520 euro per trattamento illecito di dati personali a fini promozionali e per la mancata adozione di misure tecniche e organizzative in grado di garantire la privacy dei clienti all’interno delle aree riservate del sito di Wind Tre.

Il provvedimento del Garante giunge al termine di un’istruttoria avviata a seguito di diverse segnalazioni di utenti che lamentavano la ricezione di telefonate promozionali indesiderate e del reclamo di un cliente che riferiva di aver visualizzato, nella propria area riservata, i dati personali di un altro cliente.

Leggi tutto

Pseudonimizzazione, in consultazione le linee guida dei Garanti privacy europei

Scritto il 08 Febbraio 2025

L’Autorità italiana ha partecipato alla stesura del documento

I dati pseudonimizzati sono sempre dati personali. È quanto affermano le Linee guida sulla pseudonimizzazione adottate nel corso dell’ultima plenaria del Comitato europeo per la protezione dei dati (EDPB), alla cui stesura ha partecipato il Garante privacy in qualità di co-rapporteur.

Le Linee guida sono ora disponibili in consultazione pubblica fino al 28 febbraio, al termine della quale verranno adottate in versione definitiva.

In base alla definizione fornita dal GDPR, la pseudonimizzazione è una misura che permette di non attribuire i dati personali a uno specifico interessato senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure di sicurezza tecniche e organizzative.

Leggi tutto

Foto di un lifting sui social: il Garante sanziona un chirurgo

Scritto il 08 Febbraio 2025

Sul profilo del medico le immagini in chiaro di una paziente

Una sanzione di 20mila euro è stata comminata dal Garante Privacy ad un chirurgo per aver pubblicato sul proprio profilo Instagram le foto di una paziente prima e dopo un intervento di lifting del volto, peraltro, senza avere acquisito il consenso alla diffusione delle immagini. L’Autorità è intervenuta a seguito del reclamo della paziente che lamentava la pubblicazione, sul profilo social del medico, di foto che la ritraevano in modo riconoscibile durante l’operazione.

Nel corso dell’istruttoria, il medico ha affermato che le immagini fossero state scattate per uso interno e che la pubblicazione fosse dovuta a un equivoco legato alla gestione dei consensi tra i diversi professionisti coinvolti nell’intervento. Giustificazione ritenuta non sufficiente dal Garante il quale ha dichiarato illecito il trattamento dei dati sanitari della paziente, in quanto effettuato al di fuori delle finalità di cura in violazione della normativa privacy.

Nel determinare la sanzione, il Garante ha considerato la natura sensibile dei dati personali diffusi e il contesto particolare in cui è avvenuta la violazione, nel quale la legittima aspettativa della reclamante di confidenzialità e riservatezza era elevata, anche in considerazione del rapporto professionale e fiduciario con il medico.

(info: Newsletter n. 531 del 31 gennaio 2025 Garante Privacy)