Newsletter Garante privacy giugno 2023

Newsletter del 28 giugno 2023 – Fidelity card: il Garante privacy sanziona il Gruppo Benetton – Garante: stop al web scraping per formare elenchi telefonici – Garante privacy: illecite le email pubblicitarie senza consenso – Garante privacy, no al diritto all’oblio per reati gravi. Newsletter Garante privacy giugno 2023.

Fidelity card: il Garante privacy sanziona il Gruppo Benetton
Multa di 240mila euro per illecito trattamento di dati personali

Il Garante privacy ha sanzionato per 240mila euro il Gruppo Benetton per aver trattato illecitamente i dati personali di un numero rilevante di clienti ed ex clienti. Assenza di adeguate misure di sicurezza e conservazione senza limiti temporali di dati personali ai fini di marketing e di profilazione, le violazioni più gravi. I dati dei clienti venivano raccolti attraverso l’iscrizione al servizio e-commerce, al programma fedeltà e alla newsletter promozionale.

A seguito dell’attività ispettiva dell’Autorità, svolta in collaborazione con il Nucleo speciale privacy della Guardia di Finanza L’Autorità ha rilevato che la società conservava i dati raccolti tramite le fidelity card – inclusi i prodotti acquistati dal 2015, i dettagli degli scontrini e i punti accumulati – anche degli ex clienti.

Garante: stop al web scraping per formare elenchi telefonici
Sanzionato un sito per 60 mila euro

Il Garante ha vietato al titolare del sito web “www.trovanumeri.com” la costituzione e diffusione on line di un elenco telefonico formato “rastrellando” i dati tramite web scraping (ricerca automatizzata nel web) e gli ha ingiunto il pagamento di una sanzione di 60 mila euro. L’attuale quadro normativo non consente infatti la creazione di elenchi telefonici generici che non siano estratti dal DBU, il data base unico che contiene i numeri telefonici e i dati identificativi dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile.

Garante privacy: illecite le email pubblicitarie senza consenso
Inserire un link per disiscriversi non rende l’invio lecito

Un link per disiscriversi nelle email promozionali inviate senza consenso non rende lecito l’invio.

Lo ha precisato il Garantenel comminare una sanzione di 10mila euro ad una società che aveva utilizzato questa modalità per le proprie campagne promozionali indirizzate a numerosi destinatari.

Garante, no al diritto all’oblio per reati gravi
Per articoli recenti prevale l’interesse pubblico a conoscere la notizia

No al diritto all’oblio per chi si è macchiato di reati gravi e la cui vicenda giudiziaria si sia da poco conclusa e sia ancora di interesse pubblico.  Con questa motivazione il Garante privacy ha ritenuto infondata la richiesta di deindicizzazione di alcuni articoli recenti presentata da un uomo condannato a due anni di reclusione per detenzione di materiale pubblicato da Al-Qaida che aveva scontato la sua pena

Garante privacy giugno 2023 Newsletter. Fidelity card: il Garante privacy sanziona il Gruppo Benetton - Garante: stop al web scraping.Scarica
Portaleconsulenti documenti da scaricare

Garante privacy: sistemi di videosorveglianza

Obbligo del previo accordo sindacale o della autorizzazione ITL Garante privacy: sistemi di videosorveglianza.


Il Garante per la protezione dei dati personali, nella newsletter n. 503 del 26 maggio 2023, ha, tra le altre cose, sottolineato che l’installazione di sistemi di videosorveglianza, in assenza di un accordo con i rappresentanti dei lavoratori o di una autorizzazione dell’Ispettorato del lavoro, vìola il Regolamento europeo, il Codice privacy e lo Statuto dei lavoratori.

50 mila euro di sanzione sono state comminate dal Garante privacy a un’azienda di abbigliamento per aver installato sistemi di videosorveglianza in violazione del Regolamento europeo, del Codice privacy e dello Statuto dei lavoratori.

L’indagine del Garante è partita a seguito della segnalazione di un sindacato che lamentava il trattamento illecito di dati personali attraverso sistemi di videosorveglianza in diversi punti vendita della società. Nel corso dell’istruttoria è emerso infatti che la società, presente in Italia con oltre 160 negozi, non aveva rispettato la normativa in materia di controllo a distanza, la quale prevede che l’installazione di impianti audiovisivi non possa avvenire in assenza di un accordo con i rappresentanti dei lavoratori o di una autorizzazione dell’Ispettorato del lavoro, procedure indispensabili anche per bilanciare la sproporzione esistente tra la posizione datoriale e quella di lavoratore.

La società aveva giustificato l’installazione delle apparecchiature con la necessità di difendersi da furti e di garantire la sicurezza dei dipendenti e del patrimonio aziendale, evitando accessi non autorizzati.

Gli accertamenti del Garante privacy hanno evidenziato che tutti i negozi erano dotati di almeno 3 videocamere, attive 24 ore al giorno 7 giorni su 7, nelle aree riservate ai lavoratori e ai fornitori. Nei punti vendita più grandi arrivavano fino a 27.

scarica file Garante privacy: sistemi di videosorveglianza

Garante privacy Dark Pattern ingannevoli

L’Autorità ha multato un società digitale che sfruttava i dark pattern. Ecco perché il Garante vieta l’uso delle modalità ingannevoli del marketing.

I Dark Pattern, o “modelli di progettazione ingannevoli“, sono interfacce e percorsi di navigazione progettati per influenzare il nostro comportamento online, che possono anche ostacolare un’efficace protezione dei nostri dati personali.

Il Garante lancia una nuova pagina informativa per approfondire un fenomeno sempre più diffuso, ma ancora sconosciuto alla maggior parte degli utenti dei servizi digitali.

Modelli di progettazione ingannevoli (Dark Pattern)

Con la definizione di “modelli di progettazione ingannevoli” vengono indicate quelle interfacce e quei percorsi di navigazione progettati per influenzare l’utente affinché intraprenda azioni inconsapevoli o non desiderate – e potenzialmente dannose dal punto della privacy del singolo – ma favorevoli all’interesse della piattaforma o del gestore del servizio.

Detti anche Dark Pattern, i modelli di progettazione ingannevoli mirano dunque a influenzare il nostro comportamento e possono ostacolare la capacità di proteggere efficacemente i nostri dati personali.

Il 24 febbraio 2023, il Comitato europeo per la protezione dati (EDPB) ha pubblicato le linee guida su come riconoscere ed evitare questi sistemi. Il documento offre raccomandazioni pratiche a gestori dei social media, a designer e utenti su come comportarsi di fronte a queste interfacce che si pongono in violazione del Regolamento europeo in materia di protezione dati.

Le linee guida dell’EDPB individuano sei tipologie riguardo alle quali si può parlare di “modelli di progettazione ingannevoli”:

quando gli utenti si trovano di fronte a una enorme numero di richieste, informazioni, opzioni o possibilità finalizzate a spingerli a condividere più dati possibili e consentire involontariamente il trattamento dei dati personali contro le aspettative dell’interessato (overloading)

quando le interfacce sono realizzate in modo tale che gli utenti dimentichino o non riflettano su aspetti legati alla protezione dei propri dati (skipping)

quando le scelte degli utenti sono influenzate facendo appello alle loro emozioni o usando sollecitazioni visive (stirring)

quando gli utenti sono ostacolati o bloccati nel processo di informazione sull’uso dei propri dati o nella gestione dei propri dati (hindering)

quando gli utenti acconsentono al trattamento dei propri dati senza capire quali siano le finalità a causa di un’interfaccia incoerente o poco chiara (flickle)

quando l’interfaccia è progettata in modo da nascondere le informazioni e gli strumenti di controllo della privacy agli utenti (leftinthedark)

Ricordiamo che interfacce e informazioni sottoposte agli utenti dovrebbero sempre riflettere fedelmente le conseguenze dell’azione intrapresa ed essere coerenti con il percorso di esperienza-utente.

L’approccio alla progettazione deve essere dunque quello di non mettere in discussione la decisione della persona per indurla a scegliere o mantenere un ambiente meno protettivo nei confronti dei propri dati. Il modello deve invece essere utilizzato per avvisare la persona che una scelta appena compiuta potrebbe comportare rischi per i propri dati e la privacy.

download Modelli di progettazione ingannevoli (Dark Pattern)
download

Corso Antincendio dispense, Radiazioni, Garante Privacy

portaleconsulenti
Newsletter portaleconsulenti

News sicurezza, ambiente, qualità,  E-learning, Formazione,  Competenze. Newsletter 2 del 11 Gennaio 2023

Corso Antincendio dispense, Radiazioni, Garante Privacy.

In caso di difficoltà  nel recupero credenziali, non esiti a inviare una mail a mail@portaleconsulenti.it.

Ricordiamo che l’accesso al Portale è Gratuito per l’utilizzo dell’intera Banca Dati.


Cessione gratuita Pc e server a scuole

 

Scuole e no-profit, bando Agenzia Entrate Con nota del 2 gennaio 2023 l’Agenzia delle Entrate ha pubblicato un bando per la cessione a titolo gratuito di proprie apparecchiature informatiche in disuso. L’Agenzia delle …LEGGI TUTTO


Impronte digitali senza specifici requisiti

 

Ordinanza ingiunzione nei confronti di Sportitalia, società sportiva dilettantistica a responsabilità limitata. Impronte digitali senza requisiti. Garante Privacy Il Garante per la protezione dei dati personali ha pubblicato la Newsletter …LEGGI TUTTO


Corso Antincendio Livello 3

 

DM 2 settembre 2021 Corso Antincendio Livello 3 Indicazioni procedurali per le attività di formazione e materiali didattici per i corsi di formazione per addetti antincendio Corsi per addetti antincendio …LEGGI TUTTO


Corso Antincendio Livello 2

 

Corso per addetti antincendio di cui al D.Lgs. 81/08 e al D.M. 2/9/2021 Supporti didattici per lo svolgimento dell’attività formativa Corso di tipo 2 -FOR Corpo Nazionale dei Vigili del …LEGGI TUTTO


decalogo sicurezza nel frigorifero

 

Ministero della Salute Direzione generale per l’igiene e la sicurezza degli alimenti e la nutrizione. Sicurezza Frigorifero. Con le alte temperature cresce la voglia di cibi freschi. Attenti a conservare …LEGGI TUTTO


Radiazioni ionizzanti

 

Il Decreto Legislativo n. 203 del 25 novembre 2022 è stato pubblicato sulla Gazzetta Ufficiale Serie Generale n. 2 del 03/01/2023. Disposizioni integrative e correttive al decreto legislativo 31 luglio …LEGGI TUTTO


L’inquinamento luminoso urbano ecosistemi marini

 

L’inquinamento luminoso urbano è un pericolo per gli ecosistemi marini Ricerca pubblicata da Tim Smith Responsabile scientifico: biogeochimica marina e osservazioni, laboratorio marino di Plymouth Le città inquinamento luminoso urbano …LEGGI TUTTO


Corso D.M. 2/9/2021

 

Corpo Nazionale dei Vigili del Fuoco Direzione Centrale per la Prevenzione e la Sicurezza Tecnica Corsi per addetti antincendio di cui al D.Lgs. 81/08 e al D.M. 2/9/2021. Supporti didattici …LEGGI TUTTO


D lgs 81 2023, Ambienti sanitari, Lavoro e alcol, Interpello.

 

News sicurezza, ambiente, qualità,  E-learning, Formazione,  Competenze. Newsletter 1 del 03 Gennaio 2023 D lgs 81 2023, Ambienti sanitari, Lavoro e alcol, Interpello. In caso di difficoltà  nel recupero credenziali, …LEGGI TUTTO


Inoltre siamo alla ricerca di writer editor che vogliono collaborare con il PortaleConsulenti. Scopri di più

Gruppo linkedin del Portale Consulenti

Ad ogni modo, Cliccando sul link del gruppo potrai ricevere le notifiche direttamente da Linkedin ed essere aggiornato costantemente sulle novità  in ambito HSE sicurezza ambiente qualità  E-learning

Newsletter 2 del 11 Gennaio 2023

Corso Antincendio dispense, Radiazioni, Garante Privacy

Impronte digitali senza specifici requisiti

Ordinanza ingiunzione nei confronti di Sportitalia, società sportiva dilettantistica a responsabilità limitata. Impronte digitali senza requisiti. Garante Privacy

Il Garante per la protezione dei dati personali ha pubblicato la Newsletter n. 498 del 22 dicembre 2022, con la quale, tra le altre cose, ha chiarito quali devono essere i requisiti per l’attivazione, da parte del datore di lavoro, di un sistema di rilevazione delle impronte digitali per accertare la presenza dei dipendenti.

Il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie.

L’Autorità è intervenuta a seguito di una segnalazione di un’organizzazione sindacale, che lamentava l’introduzione del sistema biometrico da parte della società, nonostante la richiesta del sindacato di adottare mezzi di rilevazione meno invasivi.

Nel corso dell’istruttoria e degli accertamenti ispettivi, effettuati dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, è emerso che la società aveva effettuato, per quasi quattro anni, la rilevazione delle impronte digitali dei 132 dipendenti senza un’adeguata base normativa.

E, violando i principi di minimizzazione e proporzionalità, aveva trattato per scopi di ordinaria gestione (consentire maggiore velocità e snellezza dell’attività di rilevazione delle presenze) una tipologia di dati protetta dal Regolamento europeo con particolari garanzie. La società aveva inoltre fornito ai lavoratori informazioni del tutto carenti sulle caratteristiche dei trattamenti biometrici.


Con segnalazione del 15 maggio 2019 la SLC CGIL ha lamentato che, a partire dal mese di ottobre del 2018, presso i Club Get Fit di Milano gestiti dalla Società Sportitalia, società sportiva dilettantistica a responsabilità limitata (di seguito, la Società), “è stato introdotto un sistema di timbratura per rilevazione delle presenze, con terminale biometrico (rilevamento delle impronte digitali) per tutti i dipendenti e collaboratori al fine di registrare l’accesso e la presenza presso i Club”.

L’introduzione del sistema biometrico, disposta nonostante la richiesta formulata alla Società dalla organizzazione segnalante, di adottare “mezzi meno invasivi – scegliendo procedimenti non biometrici”, sarebbe avvenuta in violazione dei principi di liceità, necessità e proporzionalità.

L’Autorità, in data 5 settembre 2019, ha trasmesso alla Società un invito a fornire riscontro in ordine ai fatti oggetto di segnalazione e, in data 10 gennaio 2020, non essendo pervenuta alcuna riposta, una richiesta di informazioni ai sensi dell’art. 157 del Codice.

Poiché anche in questo caso la Società non ha fatto pervenire alcun riscontro, l’Autorità ha delegato il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza ad effettuare la notifica dell’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice, in relazione alla prospettata violazione del medesimo art. 166, comma 2 (laddove stabilisce che la violazione dell’art. 157 del Codice è soggetta all’applicazione della sanzione amministrativa di cui all’art. 83, par. 5, del Regolamento). Il Nucleo è stato altresì delegato ad acquisire le informazioni già richieste alla Società in relazione ai fatti oggetto di segnalazione.

Vedi News completa sul sito del Garante

Videosorveglianza: stop del Garante

Videosorveglianza: stop del Garante privacy a riconoscimento facciale e occhiali smart
L’Autorità apre istruttorie nei confronti di due Comuni

Il Garante mette in guardia dall’utilizzo degli “occhiali speciali” dei vigili che accedono ai dati attraverso la targa

L’Autorità ha aperto un’istruttoria nei confronti del Comune di Lecce, che ha annunciato l’avvio di un sistema che prevede l’impiego di tecnologie di riconoscimento facciale.

In base alla normativa europea e nazionale, ha ricordato l’Autorità, il trattamento di dati personali realizzato da soggetti pubblici, mediante dispositivi video, è generalmente ammesso se necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.

Ma i Comuni, ha sottolineato il Garante, possono utilizzare impianti di videosorveglianza, solo a condizione che venga stipulato il cosiddetto “patto per la sicurezza urbana tra Sindaco e Prefettura”.

Inoltre, fino all’entrata in vigore di una specifica legge in materia, e comunque fino al 31 dicembre 2023, in Italia non sono consentiti l’installazione e l’uso di sistemi di riconoscimento facciale tramite dati biometrici, a meno che il trattamento non sia effettuato per indagini della magistratura o prevenzione e repressione dei reati. La moratoria nasce dall’esigenza di disciplinare requisiti di ammissibilità, condizioni e garanzie relative al riconoscimento facciale, nel rispetto del principio di proporzionalità.

Il Comune dovrà quindi fornire all’Autorità una descrizione dei sistemi adottati, le finalità e le basi giuridiche dei trattamenti, un elenco delle banche dati consultate dai dispositivi e la valutazione d’impatto sul trattamento dati, che il titolare è sempre tenuto ad effettuare nel caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

Sempre in materia di videosorveglianza, il Garante ha avviato un’istruttoria anche nei confronti del Comune di Arezzo, dove, secondo notizie di stampa, a partire dal 1° dicembre 2022 è prevista la sperimentazione di “super-occhiali infrarossi” (che rileverebbero le infrazioni dal numero di targa e, collegandosi ad alcune banche dati nazionali, sarebbero in grado di verificare la validità dei documenti del guidatore).

L’Autorità ha messo in guardia dall’uso di dispositivi video che possano comportare – anche indirettamente – un controllo a distanza sulle attività del lavoratore e ha invitato al rispetto delle garanzie previste dalla disciplina privacy e dallo Statuto dei lavoratori.

Anche il Comune di Arezzo dovrà fornire copia dell’informativa che sarà resa agli interessati, sia cittadini a cui si riferiscono i veicoli e sia personale che indosserà i dispositivi, e la valutazione d’impatto sul trattamento dei dati che li riguarda.

Fonte www.garanteprivacy.it

Email aziendale Garante Privacy

Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente
Il Garante sanziona un’azienda per 50.000 euro


Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale.

Questo il principio ribadito dal Garante, che, a seguito di un reclamo, ha imposto ad una società la sanzione di 50.000 euro per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione delle norme sulla privacy.

La società senza alcun preavviso né comunicazione successiva, aveva inibito alla dipendente l’accesso al suo account, utilizzato per le relazioni commerciali, account che risultava però ancora attivo.
La lavoratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.

L’interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della casella di posta, che conteneva comunicazioni di lavoro e personali, ma non avendo ricevuto risposta si era rivolta al Garante.

A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, l’Autorità ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della Società, precisando che il fatto che la reclamante fosse un’agente e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti.

Numerose le violazioni contestate all’azienda: omesso riscontro alla richiesta di informazioni del Garante, inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale. Rilevati gli illeciti, il Garante ha comminato alla Società una sanzione di 50.000 euro.

L’azienda dovrà inoltre consentire alla lavoratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi. La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.

Fonte: Garante per la protezione dei dati personali