NEWSLETTER del 28 febbraio 2025 – Telemarketing: Garante sanziona Wind…

NEWSLETTER N. 532 del 28 febbraio 2025

Telemarketing: Garante sanziona Wind Tre per oltre 347mila euro

Nuovo intervento del Garante privacy contro il fenomeno del telemarketing selvaggio. L’Autorità ha ordinato a Wind Tre spa il pagamento di una sanzione di 347.520 euro per trattamento illecito di dati personali a fini promozionali e per la mancata adozione di misure tecniche e organizzative in grado di garantire la privacy dei clienti all’interno delle aree riservate del sito di Wind Tre. 

Il provvedimento del Garante giunge al termine di un’istruttoria avviata a seguito di diverse segnalazioni di utenti che lamentavano la ricezione di telefonate promozionali indesiderate e del reclamo di un cliente che riferiva di aver visualizzato, nella propria area riservata, i dati personali di un altro cliente.

L’Autorità, anche a seguito di attività ispettive, ha rilevato, in particolare, che Wind Tre per le attività di telemarketing si era avvalsa di alcuni partner commerciali che utilizzavano liste di contatti raccolti illecitamente. Infatti, in molti casi, le liste erano state formate da soggetti extra-UE senza adeguate garanzie, i consensi non erano adeguatamente dimostrati e i tempi di conservazione troppo estesi o addirittura non indicati.

Il Garante infine ha accertato l’inadeguatezza delle misure tecnico-organizzative relative al sistema di registrazione all’area riservata dei clienti e la mancata notifica all’Autorità dell’avvenuta violazione dei dati personali del cliente.

Nel determinare l’ammontare della sanzione, il Garante ha tenuto conto della piena collaborazione offerta dalla società, delle categorie di dati interessati dalle violazioni (dati comuni) e del livello avanzato di misure di implementazione tecnico-organizzative e di sicurezza che la società aveva iniziato a modificare prima dell’istruttoria in vista dell’adesione al Codice di condotta in materia di telemarketing e teleselling.

Dal Garante privacy sanzione di 70mila euro ad una società di riabilitazione creditizia

Il ruolo di Responsabile della protezione dei dati (RDP) è del tutto incompatibile con quello di rappresentante legale della società presso la quale è designato. Il Responsabile deve essere indipendente e svolgere anche compiti di sorveglianza. È quanto ha ribadito il Garante privacy, a seguito di una segnalazione della Banca d’Italia, sanzionando una società di riabilitazione creditizia per numerose violazioni in materia di protezione dati.

In base agli elementi acquisiti nel corso dell’istruttoria, che ha visto anche la collaborazione del Nucleo Speciale della Guardia di Finanza, è risultato che la società, che si occupa principalmente di cancellazione delle segnalazioni nelle centrali creditizie operate dalle banche, deteneva un database nel quale venivano registrati i dati di oltre 70mila persone.

Le informazioni erano state raccolte dalle diverse aziende che facevano capo al legale rappresentante della società e che negli anni si erano avvicendate nella fornitura dei medesimi servizi alla clientela. La società inoltre aveva designato come Responsabile della protezione dei dati personali, senza peraltro darne comunicazione all’Autorità, il suo rappresentante legale, non considerando che le due cariche sono incompatibili l’una con l’altra.

Numerose anche le violazioni del Regolamento emerse in relazione alle misure tecniche e organizzative adottate. Nessuna funzionalità del sistema informativo che gestiva la banca dati aziendale, consentiva, ad esempio, di individuare, rispetto a ciascun cliente, quale fosse la società che aveva raccolto i dati personali; i dati, inoltre, erano conservati in maniera indifferenziata senza aver fornito un’adeguata informazione agli interessati sui passaggi societari.

L’Azienda, peraltro, non aveva mai provveduto, dopo la cessazione del rapporto contrattuale, alla cancellazione dei dati non più necessari e non aveva individuato precise tempistiche di conservazione dei dati. Taluni trattamenti erano effettuati, per conto della società, da alcuni soggetti – persone fisiche e giuridiche – in assenza di un contratto che ne disciplinasse i rapporti.

Dopo aver prescritto le opportune misure correttive, il Garante, pur in assenza di precedenti specifici, ha sanzionato la società per 70.000 euro, tenendo conto della gravità, del numero, della durata delle violazioni e della condotta poco collaborativa.

Cimitero dei feti: il Garante privacy sanziona il Comune di Brescia

Il Garante privacy ha ordinato al Comune di Brescia il pagamento di una sanzione di 10mila euro per aver trattato in modo illecito i dati personali riportati sulle sepolture dei feti e nel portale online dei servizi cimiteriali della città. Nella apposita sezione di un cimitero comunale, in molti casi, le sepolture riportavano il medesimo nome di fantasia attribuito convenzionalmente ai feti insieme al cognome della madre e alla data di interruzione di gravidanza (riportata come data di nascita/morte coincidente). Ciò accadeva anche nei casi in cui i parenti non avevano richiesto, per i prodotti abortivi e del concepimento, la sepoltura né indicato i dati da riportare sulla stessa. Nel definire il procedimento, l’Autorità ha ritenuto illecita la diffusione di tali dati, perché effettuata in assenza di una base giuridica e in violazione del divieto di diffusione di dati sulla salute, tra i quali rientra l’informazione sull’interruzione di gravidanza.

Il Garante ha ricordato che l’indicazione del cognome della donna o del marito o del compagno, accanto al nome convenzionale attribuito al feto e alla data dell’interruzione di gravidanza può consentire, mediante il raffronto, l’incrocio con altre fonti, o informazioni di contesto, l’identificazione della donna che ha effettuato l’interruzione di gravidanza. Inoltre, in base alla normativa di settore, l’indicazione di nome, cognome e data del decesso è necessaria per identificare esclusivamente i “defunti” e i “nati morti”.

Per rimediare alle violazioni contestate, l’amministrazione comunale – nel corso dell’istruttoria – ha adottato diverse misure correttive tra le quali la copertura delle targhette esistenti e l’uso di un sistema di codici per l’identificazione delle sepolture, la limitazione dei dati accessibili sul portale web e l’eliminazione della dicitura “feti e nati morti”, nonché l’implementazione di una documentazione più rigorosa per le richieste di sepoltura in forma singola dei feti da parte dei parenti.

Garante, ok alla telemedicina con più garanzie per i dati personali

Dopo aver chiesto ed ottenuto maggiori garanzie a tutela dei dati trattati, il Garante privacy ha dato via libera allo schema di decreto del Ministero della salute che disciplina i trattamenti di dati personali nell’ambito della Piattaforma nazionale di telemedicina (PNT) prevista dal PNRR. Lo schema di decreto ha accolto le numerose modifiche chieste dal Garante. In particolare, rispetto alla prima bozza del decreto trasmessa dal Ministero, è stato introdotto l’obbligo della valutazione d’impatto preventiva, anche in considerazione della natura, dell’oggetto, delle finalità e dell’elevato numero di persone coinvolte.

Nello schema di decreto, tra l’altro, sono stati specificati la tipologia di dati trattati e delle operazioni eseguibili, i motivi di interesse pubblico rilevante e le misure specifiche e appropriate per tutelare i diritti degli interessati. Sono stati individuati i servizi resi disponibili dalla PNT per finalità di cura e di governo, le modifiche alla disciplina dell’Ecosistema Dati Sanitari (EDS), i ruoli del trattamento e le specifiche finalità e i compiti attribuiti ai diversi soggetti coinvolti.

Su richiesta del Garante, particolare attenzione è stata posta sulle misure di sicurezza tecniche e organizzative per offrire garanzie adeguate al rischio. Lo schema di decreto prevede, tra l’altro, l’adozione di misure idonee ad attenuare il pericolo dell’utilizzo fraudolento di identità digitali, la cifratura dei dati mediante algoritmi robusti, l’introduzione di IPS (Intrusion Prevention System), il monitoraggio degli eventi di sicurezza, la gestione dei possibili incidenti e la tracciabilità delle operazioni.

L’Autorità ha evidenziato, infine, la necessità di aggiornare le “Linee guida per i servizi di telemedicina – requisiti funzionali e livelli di servizio” approvate con decreto del Ministero della salute nel 2022 in funzione della nuova disciplina sul FSE 2.0 e delle disposizioni del Regolamento europeo.

L’ATTIVITÀ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

• Paragon, Garante privacy: no all’utilizzo dei software spia fuori dalle regole – Comunicato del 14 febbraio 2025

• Chat FdI: il Garante privacy avverte la Società Editoriale Il Fatto. Possibile violazione della normativa privacy e delle regole deontologiche dei giornalisti – Comunicato del 13 febbraio 2025

• Firmato protocollo tra Garante privacy e Pontificia Università Antonianum. Avviati i lavori per l’istituzione di un “Osservatorio per la Transizione Digitale” – Comunicato del 12 febbraio 2025

   

   

   

   

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 – 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it