GARANTE PROTEZIONE DATI PERSONALI – Comunicato 19 maggio 2022, n. 489
Il Garante sanziona Uber per complessivi 4 milioni e 240mila euro – Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente – Recupero crediti non corretto: Garante privacy sanziona una finanziaria – Telemarketing: sanzionata un’azienda per mancato riscontro a un cliente
Il Garante sanziona Uber per complessivi 4 milioni e 240mila euro
Poca trasparenza nel trattamento dei dati di oltre 1 milione e mezzo di utenti italiani
Due sanzioni di 2 milioni e 120mila euro ciascuna sono state comminate dal Garante privacy a Uber B.V. (UBV), con sede legale ad Amsterdam, e a Uber Technologies Inc (UTI), con sede legale a San Francisco, ritenute entrambe responsabili delle violazioni commesse nei confronti di oltre 1 milione e mezzo di utenti italiani, tra autisti e passeggeri. Informativa inidonea, dati trattati senza consenso, mancata notificazione all’Autorità sono le violazioni riscontrate dal Garante nel corso di accertamenti ispettivi effettuati presso Uber Italy srl a seguito di un data breach reso pubblico dalla capofila statunitense nel 2017.
L’incidente di sicurezza, avvenuto prima della piena applicazione del Regolamento europeo (Gdpr), aveva coinvolto i dati di circa 57 milioni di utenti di tutto il mondo, ed era stato sanzionato dall’Autorità privacy olandese e da quella inglese sulla base delle rispettive normative nazionali. Le informazioni personali trattate da Uber riguardavano i dati anagrafici e di contatto (nome, cognome, numero di telefono e e-mail), le credenziali di accesso all’app, dati di localizzazione (quelli che risultavano al momento della registrazione), le relazioni con altri utenti (condivisione di viaggi, presentazione di amici, informazioni di profilazione).
Con il provvedimento odierno l’Autorità sanziona dunque la società di diritto olandese Uber BV e la statunitense Uber Technologies, come contitolari del trattamento, ciascuna responsabile delle violazioni del Codice privacy commesse nei confronti degli utenti italiani. Le sanzioni riguardano in particolare l’inidonea informativa resa agli utenti (in quanto priva dell’indicazione relativa alla contitolarità del trattamento) e “formulata in maniera generica e approssimativa” con “informazioni poco chiare e incomplete” e “di non facile comprensione”. Nell’informativa, infatti, non erano ben specificate le finalità del trattamento, i riferimenti ai diritti degli interessati risultavano vaghi e lacunosi, e non era neppure chiaro se gli utenti fossero obbligati o meno a fornire i propri dati, né quali fossero le conseguenze di un eventuale diniego. Uber, inoltre, senza aver acquisito un valido consenso, trattava i dati di circa 1.379.00 passeggeri profilandoli sulla base del cosiddetto “rischio frode”, assegnando loro un giudizio qualitativo (ad es., low) e un parametro numerico (da 1 a 100). La multinazionale, infine, non aveva rispettato l’obbligo di notificare all’Autorità il trattamento di dati per finalità di geolocalizzazione, come previsto dalla normativa in vigore prima del nuovo Regolamento Ue.
Nel definire l’ammontare delle sanzioni, applicabile nella stessa misura di 2 milioni e 120mila euro sia a UBV che a UTI, l’Autorità, oltre alla gravità delle violazioni accertate, ha tenuto conto anche del rilevante numero di persone coinvolte e delle condizioni economiche della società.
Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente
Il Garante sanziona un’azienda per 50.000 euro
Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale.
Questo il principio ribadito dal Garante, che, a seguito di un reclamo, ha imposto ad una società la sanzione di 50.000 euro per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione delle norme sulla privacy.
La società senza alcun preavviso né comunicazione successiva, aveva inibito alla dipendente l’accesso al suo account, utilizzato per le relazioni commerciali, account che risultava però ancora attivo.
La lavoratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.
L’interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della casella di posta, che conteneva comunicazioni di lavoro e personali, ma non avendo ricevuto risposta si era rivolta al Garante.
A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, l’Autorità ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della Società, precisando che il fatto che la reclamante fosse un’agente e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti.
Numerose le violazioni contestate all’azienda: omesso riscontro alla richiesta di informazioni del Garante, inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale. Rilevati gli illeciti, il Garante ha comminato alla Società una sanzione di 50.000 euro.
L’azienda dovrà inoltre consentire alla lavoratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi. La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.
Recupero crediti non corretto: Garante privacy sanziona una finanziaria
Il sollecito inviato alla moglie del cliente
La banca o la finanziaria non possono far conoscere a familiari, colleghi di ufficio o vicini di casa di un debitore la situazione di insolvenza in cui versa. Un simile comportamento, tenuto a volte per esercitare indebite pressioni sul debitore e conseguire il pagamento della somma dovuta, viola il principio di liceità nel trattamento dei dati personali. Lo ha ribadito il Garante per la privacy nell’ordinare ad una finanziaria il pagamento di una sanzione di 10mila euro per aver inviato sms al coniuge di un cliente in ritardo con i pagamenti.
La sanzione giunge a conclusione di un procedimento avviato dall’Autorità a seguito del reclamo presentato dal titolare di tre finanziamenti il quale lamentava una violazione della propria riservatezza da parte della società, che aveva contattato più volte la moglie, garante per uno dei tre prestiti, ma non di quello per cui veniva sollecitato il recupero del credito. La finanziaria, dal canto suo, si era difesa attribuendo ad un disguido interno l’inserimento nel proprio sistema del numero di telefono della coniuge come recapito principale da contattare per la riscossione del credito. Giustificazioni insufficienti secondo il Garante che ha ritenuto illecito il trattamento di dati, effettuato dalla società in maniera non conforme ai principi di liceità, correttezza e trasparenza, nonché di minimizzazione dei dati fissati dal Regolamento Ue. Principi già alla base del provvedimento generale con cui il Garante nel 2005 aveva prescritto agli operatori del settore le misure necessarie e opportune per rendere il trattamento conforme alla normativa in materia di protezione dei dati personali.
Nel determinare l’ammontare della sanzione il Garante, oltre alla mancata osservanza delle indicazioni date alle banche nel 2005, ha tenuto in considerazione l’assenza di precedenti specifici a carico della società e la decisione di cancellare il numero di telefono della coniuge dalla pratica relativa al finanziamento del marito.
Telemarketing: sanzionata un’azienda per mancato riscontro a un cliente
Il titolare del trattamento è sempre tenuto a soddisfare la richiesta di esercizio dei diritti da parte dell’interessato, nei tempi previsti dalla normativa in materia di protezione dati personali. È quanto si evince da un provvedimento del Garante Privacy che ha sanzionato un’azienda commerciale per 20mila euro, non solo per aver utilizzato senza consenso i dati di un cliente per finalità promozionali, ma anche per le successive condotte tenute nei suoi confronti.
Come segnalato dall’Autorità, l’interessato, pur avendo nel corso di una prima chiamata promozionale, espresso all’operatore la propria opposizione a ricevere ulteriori telefonate, era stato nuovamente contattato dalla stessa azienda a fini di marketing. L’interessato aveva dunque deciso di esercitare i diritti riconosciuti dalla normativa privacy, e aveva chiesto all’azienda di conoscere l’origine dei dati e di cancellarli, richiesta a cui non era mai stato dato riscontro.
Inoltre, dopo l’apertura dell’istruttoria da parte dell’Autorità, l’azienda (la cui casella PEC era perfettamente funzionante) non aveva mai risposto neanche alla richiesta di informazioni e di esibizione di documenti formulata dal Garante, determinando quindi un appesantimento degli adempimenti istruttori e un rallentamento dell’azione amministrativa.
Ritenuto dunque illecito il comportamento dell’azienda, il Garante ha applicato la sanzione e ha ordinato al titolare di dare comunque riscontro alle richieste del reclamante.
Possono essere interessanti anche le seguenti pubblicazioni:
- MINISTERO FINANZE - Decreto ministeriale 01 febbraio 2024 Modalità di utilizzo dei dati fiscali relativi ai corrispettivi trasmessi al Sistema tessera sanitaria Art. 1 Definizioni 1. Ai fini del presente decreto si intende per: a) «dati fiscali», i…
- GARANTE per la PROTEZIONE dei DATI PERSONALI - Nota n. 517 del 6 febbraio 2024 - Intercettazioni: Garante, più tutele per i dati nelle infrastrutture centralizzate - Garante: no a cancellazione di un articolo dall’archivio online di un quotidiano -…
- GARANTE della PROTEZIONE dei DATI PERSONALI - Nota n. 521 del 10 aprile 2024 - Attacco hacker ai sistemi informatici della Regione Lazio: sanzioni del Garante privacy - Dossier sanitario: il Garante Privacy sanziona una Asl - Pa: trasparenza siti, il…
- GARANTE PROTEZIONE DATI PERSONALI - Nota 03 dicembre 2021, n. 484 - Tabulati: Tim nega l'accesso a un cliente e scatta la sanzione del Garante privacy - Customer care: Garante privacy, no al controllo a distanza dei lavoratori - Sanità: sì del Garante…
- GARANTE PROTEZIONE dei DATI PERSONALI - Nota n. 503 del 26 maggio 2023 - Enti locali: indagine del Garante Privacy sui Responsabili protezione dati - Videosorveglianza: sanzionata un’azienda di abbigliamento - Antiriciclaggio: no a limitazione diritto…
- GARANTE PROTEZIONE DATI PERSONALI - Nota 28 novembre 2022, n. 497 - Fidelity card: il Garante privacy sanziona Douglas Italia per 1 milione e 400 mila euro. Il Garante multa Vodafone, il call center deve dare informazioni comprensibili. Dossier…
RICERCA NEL SITO
NEWSLETTER
ARTICOLI RECENTI
- L’indennità sostitutiva di ferie non godute
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 9009 depositata…
- Il giudice tributario è tenuto a valutare la corre
La Corte di Cassazione, sezione tributaria, con l’ordinanza n. 5894 deposi…
- Il lavoratore ha diritto al risarcimento del danno
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 10267 depositat…
- L’Iva detratta e stornata non costituisce elusione
L’Iva detratta e stornata non costituisce elusione, infatti il risparmio fiscale…
- Spese di sponsorizzazione sono deducibili per pres
La Corte di Cassazione, sezione tributaria, con l’ordinanza n. 6079 deposi…