GARANTE per la PROTEZIONE dei DATI PERSONALI – Nota n. 537 del 1° agosto 2025 – Videosorveglianza, il Garante privacy scrive a Confcommercio: attenzione agli abusi – Data breach, il Garante sanziona Poste Vita per 80mila euro – Lavoro, il Garante privacy sanziona un’azienda per questionari post-malattia

Videosorveglianza, il Garante privacy scrive a Confcommercio: attenzione agli abusi – Data breach, il Garante sanziona Poste Vita per 80mila euro – Lavoro, il Garante privacy sanziona un’azienda per questionari post-malattia

Videosorveglianza, il Garante privacy scrive a Confcommercio: attenzione agli abusi

Troppi negozi utilizzano telecamere invasive e senza garanzie

Il Garante per la protezione dei dati personali ha inviato una lettera al presidente di Confcommercio-Imprese per l’Italia, Carlo Sangalli, per segnalare l’uso improprio, sempre più diffuso, dei sistemi di videosorveglianza nei negozi e sollecitare interventi concreti per prevenirne gli abusi, tutelare la privacy e avviare forme di collaborazione efficaci contro il fenomeno.

L’intervento del Garante fa seguito alle numerose segnalazioni emerse dai controlli effettuati da Forze dell’ordine, Nucleo tutela privacy della Guardia di Finanza e Polizia locale, che hanno portato a sanzioni, anche di migliaia di euro, nei confronti di esercizi commerciali che utilizzavano sistemi di videosorveglianza non conformi alla normativa privacy.

Le violazioni più frequenti hanno riguardato l’assenza di cartelli informativi, l’uso di telecamere puntate su aree pubbliche o proprietà altrui, in alcuni casi registrazioni audio non autorizzate e conservazione delle immagini oltre i limiti di tempo consentiti. Più gravi i casi in cui le telecamere venivano usate addirittura per controllare i dipendenti, senza rispettare le garanzie previste dallo Statuto dei lavoratori.

Nella lettera, il Garante richiama come riferimento per un uso corretto dei sistemi di videosorveglianza le Linee guida 3/2019 del Comitato europeo per la protezione dei dati, insieme alla pagina tematica dedicata disponibile sul proprio sito istituzionale. L’obiettivo è garantire la sicurezza all’interno delle attività commerciali nel pieno rispetto della riservatezza di cittadini e lavoratori e scongiurare eventuali sanzioni da parte dell’Autorità, in particolare nei confronti dei negozi di prossimità e delle imprese del commercio di piccole dimensioni.

Data breach, il Garante sanziona Poste Vita per 80mila euro

Misure di sicurezza inadeguate e comunicazione tardiva della violazione

Il Garante privacy ha sanzionato per 80mila euro Poste Vita, la società di investimenti e assicurazioni di Poste Italiane per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati di una cliente. Tardiva anche la comunicazione del data breach all’Autorità, che doveva essere notificato ai sensi del Regolamento europeo, entro 72 ore dall’appresa conoscenza della violazione.

Il procedimento ha preso avvio dal reclamo di una cliente di Poste Vita che lamentava la comunicazione illecita di dati personali a un soggetto terzo non autorizzato che li aveva poi utilizzati nell’ambito di un procedimento giudiziario. I dati si riferivano a tre polizze vita di cui la reclamante era titolare.

Nel corso dell’istruttoria, Il Garante ha accertato che il data breach era avvenuto a causa di una serie di errori commessi dagli operatori della compagnia, che avevano risposto ad alcune richieste di informazioni riguardanti le polizze dell’interessata senza aver preventivamente verificato l’effettiva corrispondenza tra l’indirizzo di posta elettronica da cui pervenivano e i recapiti rilasciati dalla cliente. Le richieste arrivavano infatti da due e-mail, che seppur recavano il nome e cognome dell’interessata, la quale, tra l’altro non aveva mai fornito alcun indirizzo di posta alla società, erano in realtà riconducibili a terzi.

Per tali ragioni il Garante, si è limitato a comminare la sanzione pecuniaria, avendo preso atto, nel corso del procedimento, di quanto dichiarato dalla società in ordine all’avvenuta implementazione delle procedure aziendali, che prevedono – a fronte di richieste informative da parte della clientela – una rigorosa verifica dell’identità del richiedente.

Lavoro, il Garante privacy sanziona un’azienda per questionari post-malattia

Il Garante per la protezione dei dati personali ha applicato una sanzione di 50mila euro ad un’azienda del settore automotive per aver gestito in modo scorretto le informazioni dei propri dipendenti, incluse quelle sulla salute.

Il provvedimento è scattato a seguito di una segnalazione sindacale, che ha evidenziato una pratica diffusa all’interno dell’azienda: dopo assenze per malattia, infortunio o ricovero, i lavoratori venivano sottoposti a un colloquio accompagnato da un questionario. Il documento, compilato da un diretto responsabile, veniva poi trasmesso all’Ufficio Risorse Umane che con il responsabile e/o con il medico competente valutava, in base a quanto rappresentato dall’azienda, eventuali iniziative a tutela della salute dei lavoratori, ad esempio modificando la postazione di lavoro o intervenendo sulle relazioni lavorative.

Nel corso dell’istruttoria il Garante ha però riscontrato numerose violazioni del Regolamento UE (GDPR), tra cui l’assenza di un’informativa chiara e trasparente ai dipendenti e la mancanza di una base giuridica per il trattamento dei dati, anche relativi alla salute. L’Autorità ha inoltre ravvisato una conservazione di dati dei lavoratori non pertinenti (nel caso di assenze dal lavoro) e sproporzionati (fino a dieci anni), e un trattamento di dati non rilevante per valutare le capacità professionali del personale.

Il Garante ha dunque ordinato all’azienda il divieto del trattamento dei dati e la cancellazione di quelli già raccolti e conservati. Nel comminare la sanzione l’Autorità ha tenuto conto della gravità e della durata delle violazioni, del fatto che il trattamento abbia riguardato anche dati sulla salute, del numero di dipendenti coinvolti (circa 890) e del fatturato dell’azienda.