Newsletter 07/2024

OSSERVATORIO VECOMP

GDPR: l’Italia al terzo posto per sanzioni!
È stata pubblicata la seconda relazione della Commissione Europea sullo stato di applicazione del GDPR nei vari paesi europei. L’Italia è al terzo posto per l’ammontare delle sanzioni.

Le multe in Europa ammontano complessivamente a 4,2 miliardi di €, 2,8 miliardi dei quali hanno riguardato l’Irlanda. In seconda posizione il Lussemburgo con 746 milioni di € e a seguire l’Italia con 197 milioni di €. Fuori dal podio la Francia, con 131 milioni di euro, mentre le ultime posizioni sono occupate da Liechtenstein, Estonia e Lituania.
 
Più in generale, tutte le Autorità nazionali per la privacy - tranne quella danese - hanno comminato sanzioni amministrative: per quantità in testa si vedono la Germania (2.106) e la Spagna (1.596) mentre il minor numero di sanzioni spetta ad Irlanda (15) e Finlandia (20). A mettere in evidenza questi dati è la seconda relazione sull’applicazione del GDPR pubblicata dalla Commissione Europea, che tiene conto dei contributi del Consiglio, del Comitato europeo per la protezione dei dati, delle autorità nazionali per la protezione dei dati, delle parti interessate e di una relazione dell’Agenzia per i diritti fondamentali.
Il Documento riporta come negli ultimi anni si sia verificato un notevole miglioramento dell'attività di applicazione delle norme da parte delle diverse Autorità, tra cui l'imposizione di sanzioni pecuniarie significative nei confronti di imprese tecnologiche multinazionali nell'ambito di casi di rilevanza storica.
Sono state - ad esempio - imposte sanzioni pecuniarie per la violazione della laicità e della sicurezza del trattamento, la violazione del trattamento di categorie particolari di dati personali, il mancato rispetto dei diritti delle persone fisiche. Ciò ha indotto le imprese private a prendere sul serio la protezione dei dati e contribuire a creare una cultura del rispetto delle norme in seno alle organizzazioni. 

Data: 25 luglio 2024
Fonte : Relazione della Commissione UE


Italia: Privacy, marketing selvaggio a valanga
In 2 anni cresciuti di oltre il 2000% reclami e segnalazioni. Lo evidenzia la relazione 2023 del Garante. I data breach sono stati 2.037 e 396 le sanzioni irrogate.
 
Marketing selvaggio inarrestabile: in due anni aumentati di oltre il 2000% i reclami e le segnalazioni in materia di reti telematiche e attività promozionale. Non allentano la morsa neanche i data breach (attacchi informatici) notificati al Garante, che nel 2023 ritornano ai livelli del 2021: sono 2037, pari a 5 al giorno.
A dimostrare che la protezione dei dati continua a essere messa alle corde è la relazione del Garante della privacy relativa all’anno 2023, resa nota il 3 luglio 2024, nella quale è alto anche il numero delle sanzioni e delle misure correttive irrogate, pari a 396 (anche qui con un ritorno al 2021).

Data: 3 luglio 2024
Fonte: Relazione del Garante



 

IN PRIMO PIANO

Vaccinazione anti Papilloma a studenti: no a iniziative locali che violano la normativa privacy
Il Garante avverte la Regione Puglia. 

Il Garante ha inviato una richiesta di informazioni alla Regione Puglia sul progetto di legge che introduce l’obbligo per gli studenti di scuole medie, superiori e università, di presentare una certificazione di avvenuta o mancata vaccinazione al Papilloma virus (Hpv) per potersi iscrivere ai relativi corsi di istruzione.
Nella richiesta di informazioni il Garante ricorda che il Regolamento europeo sancisce un generale divieto di trattamento dei dati sulla salute, a meno che non ricorrano specifiche esenzioni. L’Autorità precisa inoltre che, sulla base della normativa di settore, la certificazione che attesta l’avvenuta vaccinazione può essere richiesta dal personale scolastico esclusivamente nei casi di vaccinazioni obbligatorie. Tenuto conto della particolare delicatezza dell’iniziativa che vede coinvolti anche gli studenti minorenni, il Garante ha dunque invitato la Regione a far pervenire, entro 30 giorni, ogni elemento di informazione utile alla valutazione del caso.

Data: 03 agosto 2024
Documento: Provvedimento del Garante





 

DOMANDE E RISPOSTE

È lecito il riconoscimento facciale dei lavoratori per la rilevazione delle presenze?
Secondo il Provvedimento n. 338 del 2024 del Garante per la protezione dei dati personali, il trattamento dei dati biometrici può avvenire solo nel caso in cui trovi fondamento in una disposizione normativa. L’ordinamento vigente non ne consente l’utilizzo al fine di rilevare le presenze nei luoghi di lavoro. Il datore che utilizza dati biometrici in assenza di una idonea base giuridica viola la legge e subisce sanzioni molto elevate.
 
Può il datore di lavoro accedere al contenuto degli account e-mail di ex dipendenti dopo la cessazione del rapporto di lavoro?
Non è consentito al datore di lavoro accedere alla casella e-mail aziendale del dipendente ormai cessato. È quanto stabilito dal Garante per la protezione dei dati personali con Provvedimento 140/2024 del 7.3.2024.
Il Garante ha censurato la condotta del datore il quale “invece che limitarsi al mantenimento degli account assegnati ai reclamanti, contestualmente attivando un messaggio di risposta automatico volto ad informare i terzi della imminente disattivazione degli account e della possibilità di contattare altri e diversi indirizzi e-mail, per esigenze di continuità dell’attività svolta per un tempo proporzionato con le esigenze della stessa e senza accedere al contenuto dei medesimi – attività che, se posta in essere, sarebbe stata considerata lecita – ha invece direttamente acceduto al contenuto degli account mantenuti attivi successivamente alla cessazione del rapporto di lavoro”.