G.D.P.R. UE 2016/679 PrivacyNews dal sito Garante Privacy

Newsletters dal Garante della Privacy N. 489 del 19 maggio 2022

dalle comunicazioni del Garante della Privacy link al sito

NEWSLETTER N. 489 del 19 maggio 2022


Il Garante sanziona Uber per complessivi 4 milioni e 240mila euro
Poca trasparenza nel trattamento dei dati di oltre 1 milione e mezzo di utenti italiani

Due sanzioni di 2 milioni e 120mila euro ciascuna sono state comminate dal Garante privacy a Uber B.V. (UBV), con sede legale ad Amsterdam, e a Uber Technologies Inc (UTI), con sede legale a San Francisco, ritenute entrambe responsabili delle violazioni commesse nei confronti di oltre 1 milione e mezzo di utenti italiani, tra autisti e passeggeri. Informativa inidonea, dati trattati senza consenso, mancata notificazione all’Autorità sono le violazioni riscontrate dal Garante nel corso di accertamenti ispettivi effettuati presso Uber Italy srl a seguito di un data breach reso pubblico dalla capofila statunitense nel 2017.

L’incidente di sicurezza, avvenuto prima della piena applicazione del Regolamento europeo (Gdpr), aveva coinvolto i dati di circa 57 milioni di utenti di tutto il mondo, ed era stato sanzionato dall’Autorità privacy olandese e da quella inglese sulla base delle rispettive normative nazionali. Le informazioni personali trattate da Uber riguardavano i dati anagrafici e di contatto (nome, cognome, numero di telefono e e-mail), le credenziali di accesso all’app, dati di localizzazione (quelli che risultavano al momento della registrazione), le relazioni con altri utenti (condivisione di viaggi, presentazione di amici, informazioni di profilazione).

Con il provvedimento odierno l’Autorità sanziona dunque la società di diritto olandese Uber BV e la statunitense Uber Technologies, come contitolari del trattamento, ciascuna responsabile delle violazioni del Codice privacy commesse nei confronti degli utenti italiani. Le sanzioni riguardano in particolare l’inidonea informativa resa agli utenti (in quanto priva dell’indicazione relativa alla contitolarità del trattamento) e “formulata in maniera generica e approssimativa” con “informazioni poco chiare e incomplete” e “di non facile comprensione”. Nell’informativa, infatti, non erano ben specificate le finalità del trattamento, i riferimenti ai diritti degli interessati risultavano vaghi e lacunosi, e non era neppure chiaro se gli utenti fossero obbligati o meno a fornire i propri dati, né quali fossero le conseguenze di un eventuale diniego. Uber, inoltre, senza aver acquisito un valido consenso, trattava i dati di circa 1.379.00 passeggeri profilandoli sulla base del cosiddetto “rischio frode”, assegnando loro un giudizio qualitativo (ad es., low) e un parametro numerico (da 1 a 100). La multinazionale, infine, non aveva rispettato l’obbligo di notificare all’Autorità il trattamento di dati per finalità di geolocalizzazione, come previsto dalla normativa in vigore prima del nuovo Regolamento Ue. 

Nel definire l’ammontare delle sanzioni, applicabile nella stessa misura di 2 milioni e 120mila euro sia a UBV che a UTI, l’Autorità, oltre alla gravità delle violazioni accertate, ha tenuto conto anche del rilevante numero di persone coinvolte e delle condizioni economiche della società.

 


Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente
Il Garante sanziona un’azienda per 50.000 euro

Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale.

Questo il principio ribadito dal Garante, che, a seguito di un reclamo, ha imposto ad una società la sanzione di 50.000 euro per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione delle norme sulla privacy.

La società senza alcun preavviso né comunicazione successiva, aveva inibito alla dipendente l’accesso al suo account, utilizzato per le relazioni commerciali, account che risultava però ancora attivo.
La lavoratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.

L’interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della casella di posta, che conteneva comunicazioni di lavoro e personali, ma non avendo ricevuto risposta si era rivolta al Garante.

A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, l’Autorità ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della Società, precisando che il fatto che la reclamante fosse un’agente e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti.

Numerose le violazioni contestate all’azienda: omesso riscontro alla richiesta di informazioni del Garante, inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale. Rilevati gli illeciti, il Garante ha comminato alla Società una sanzione di 50.000 euro.

L’azienda dovrà inoltre consentire alla lavoratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi. La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.

 



Recupero crediti non corretto: Garante privacy sanziona una finanziaria
Il sollecito inviato alla moglie del cliente

La banca o la finanziaria non possono far conoscere a familiari, colleghi di ufficio o vicini di casa di un debitore la situazione di insolvenza in cui versa. Un simile comportamento, tenuto a volte per esercitare indebite pressioni sul debitore e conseguire il pagamento della somma dovuta, viola il principio di liceità nel trattamento dei dati personali. Lo ha ribadito il Garante per la privacy nell’ordinare ad una finanziaria il pagamento di una sanzione di 10mila euro per aver inviato sms al coniuge di un cliente in ritardo con i pagamenti.

La sanzione giunge a conclusione di un procedimento avviato dall’Autorità a seguito del reclamo presentato dal titolare di tre finanziamenti il quale lamentava una violazione della propria riservatezza da parte della società, che aveva contattato più volte la moglie, garante per uno dei tre prestiti, ma non di quello per cui veniva sollecitato il recupero del credito. La finanziaria, dal canto suo, si era difesa attribuendo ad un disguido interno l’inserimento nel proprio sistema del numero di telefono della coniuge come recapito principale da contattare per la riscossione del credito. Giustificazioni insufficienti secondo il Garante che ha ritenuto illecito il trattamento di dati, effettuato dalla società in maniera non conforme ai principi di liceità, correttezza e trasparenza, nonché di minimizzazione dei dati fissati dal Regolamento Ue. Principi già alla base del provvedimento generale con cui il Garante nel 2005 aveva prescritto agli operatori del settore le misure necessarie e opportune per rendere il trattamento conforme alla normativa in materia di protezione dei dati personali.

Nel determinare l’ammontare della sanzione il Garante, oltre alla mancata osservanza delle indicazioni date alle banche nel 2005, ha tenuto in considerazione l’assenza di precedenti specifici a carico della società e la decisione di cancellare il numero di telefono della coniuge dalla pratica relativa al finanziamento del marito.

 


Telemarketing: sanzionata un’azienda per mancato riscontro a un cliente

Il titolare del trattamento è sempre tenuto a soddisfare la richiesta di esercizio dei diritti da parte dell’interessato, nei tempi previsti dalla normativa in materia di protezione dati personali. È quanto si evince da un provvedimento del Garante Privacy che ha sanzionato un’azienda commerciale per 20mila euro, non solo per aver utilizzato senza consenso i dati di un cliente per finalità promozionali, ma anche per le successive condotte tenute nei suoi confronti.

Come segnalato dall’Autorità, l’interessato, pur avendo nel corso di una prima chiamata promozionale, espresso all’operatore la propria opposizione a ricevere ulteriori telefonate, era stato nuovamente contattato dalla stessa azienda a fini di marketing. L’interessato aveva dunque deciso di esercitare i diritti riconosciuti dalla normativa privacy, e aveva chiesto all’azienda di conoscere l’origine dei dati e di cancellarli, richiesta a cui non era mai stato dato riscontro.

Inoltre, dopo l’apertura dell’istruttoria da parte dell’Autorità, l’azienda (la cui casella PEC era perfettamente funzionante) non aveva mai risposto neanche alla richiesta di informazioni e di esibizione di documenti formulata dal Garante, determinando quindi un appesantimento degli adempimenti istruttori e un rallentamento dell’azione amministrativa.

Ritenuto dunque illecito il comportamento dell’azienda, il Garante ha applicato la sanzione e ha ordinato al titolare di dare comunque riscontro alle richieste del reclamante.

 


 

Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

Neurodiritti: Stanzione, Garante privacy: definire uno statuto giuridico ed etico. Tra i compiti della protezione dati c’è la promozione di un’innovazione sostenibile - Comunicato del 13 maggio 2022