GARANTE per la PROTEZIONE dei DATI PERSONALI – Nota n. 501 del 15 marzo 2023
Messaggistica via sms: Garante Privacy, no a conservazione contenuto messaggi – La difesa in giudizio non giustifica l’accesso alla posta elettronica del lavoratore – Garante privacy e Co.Re.Com insieme contro revenge porn e cyberbullismo
Messaggistica via sms: Garante Privacy, no a conservazione contenuto messaggi
Il Garante privacy ha sanzionato una società di servizi di messaggistica con una multa di 80mila euro per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti (circa 7.250 utenze). Alla società sono state inoltre contestate altre condotte illecite relative in particolare alle misure adottate per garantire la sicurezza del trattamento dei dati di traffico telematico e l’assenza di una base giuridica per effettuare controlli antifrode.
L’Autorità, nel corso degli accertamenti ispettivi avviati a seguito di una segnalazione e di un reclamo, ha rilevato che il contenuto integrale dei messaggi inviati dai clienti (in genere persone giuridiche) era conservato senza che questi avessero espressamente acconsentito. Tra i contenuti dei messaggi, consistenti per lo più in comunicazioni di servizio inviate dagli utenti della piattaforma (banche, società di assicurazioni, aziende sanitarie,) ai propri clienti, c’erano anche password per operare con i servizi bancari (Otp – One time password), credenziali di autenticazione e dati particolari riferiti allo stato di salute o all’appartenenza a un partito politico. Ai contenuti degli sms potevano accedere anche gli incaricati della società.
La società ha giustificato la sua attività ritenendo erroneamente che il contenuto degli sms rientrasse tra i dati di traffico, con conseguente obbligo di conservazione.
Al riguardo l’Autorità ha ricordato che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni che, anzi, è espressamente vietata a meno che non sia autorizzata dall’utente con specifico e libero consenso per l’erogazione di servizi a valore aggiunto.
Inoltre, nel corso delle attività ispettive, sono emerse una serie di altre violazioni, come ad esempio la conservazione dei dati di traffico senza che fosse prevista una distinzione tra i dati conservati per finalità di giustizia e quelli conservati per altre finalità (fatturazione o consultazione da parte del cliente) e la mancanza di una distinzione dei tempi di conservazione dei dati (data retention) in base alle finalità. Altresì la società effettuava preventivi controlli automatizzati, con finalità antifrode, sul contenuto degli sms inviati dai propri clienti per prevenire possibili attività di phishing ma senza avere un’idonea base giuridica per farlo.
Il Garante, pur considerando le misure correttive adottate dalla società a seguito dei vari accertamenti ispettivi, ha ammonito la società per le violazioni riscontrate e ha ordinato il pagamento di una sanzione amministrativa di 80mila euro, calcolata tenendo conto anche delle giustificazioni addotte dalla stessa.
Entro il termine stabilito, la società si è avvalsa della facoltà di definire la controversia ed ha pagato un importo pari alla metà della sanzione comminata.
La difesa in giudizio non giustifica l’accesso alla posta elettronica del lavoratore
Il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non annulla il diritto dei lavoratori alla protezione dei dati personali. Tanto più se riguarda una forma di corrispondenza, come i messaggi di posta elettronica, la cui segretezza è tutelata anche costituzionalmente.
È una delle motivazioni con cui il Garante privacy ha sanzionato un’azienda che, dopo l’interruzione della collaborazione con un’esponente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società.
La collaboratrice, prima che si definisse il rapporto di lavoro con l’azienda, aveva raccolto, a nome dell’azienda stessa e tramite una casella mail aperta per l’occasione, i riferimenti di potenziali clienti incontrati a una fiera.
Secondo l’azienda poi, il successivo tentativo di contattarli a nome della propria cooperativa aveva in seguito portato a un contenzioso giudiziale.
Quindi, nel timore di perdere i rapporti coi potenziali clienti, l’azienda non si era limitata a scrivere per spiegare loro che la persona era stata rimossa, ma ne aveva anche visionato le comunicazioni. Secondo il Garante, né l’esigenza di mantenere i rapporti con i clienti né l’interesse a difendere un proprio diritto in giudizio, legittimano un tale trattamento di dati personali. Per realizzare un adeguato bilanciamento degli interessi in gioco (necessità di prosecuzione dell’attività economica del titolare e diritto alla riservatezza dell’interessato) sarebbe stato sufficiente attivare un sistema di risposta automatico, con l’indicazione di indirizzi alternativi da contattare, senza prendere visione delle comunicazioni in entrata sull’account.
Nel corso del procedimento è inoltre emerso che l’azienda, in quanto titolare del trattamento, non aveva fornito all’interessata né idoneo riscontro alla richiesta di cancellazione della casella e-mail né l’informativa sul trattamento dati. A nulla vale il fatto che il contratto di assunzione non fosse stato ancora firmato. Come ricorda l’Autorità, nell’ambito di trattative precontrattuali, infatti, l’obbligo di informare gli interessati è espressione del principio generale di correttezza.
Garante privacy e Co.Re.Com insieme contro revenge porn e cyberbullismo
Firmati nuovi protocolli di intesa con Campania, Calabria e Lombardia. Rinnovati quelli con Abruzzo e Piemonte
Per contrastare cyberbullismo e revenge porn il Garante per la protezione dei dati personali e Co.re.com rafforzano la collaborazione. L’Autorità e i Comitati regionali per le comunicazioni della Campania, della Calabria e della Lombardia hanno sottoscritto protocolli d’intesa.
Sono stati inoltre rinnovati quelli con i Co.re.com del Piemonte e dell’Abruzzo stipulati nel 2019.
Gli accordi consentiranno forme di cooperazione, nell’ambito delle rispettive competenze, volte a valorizzare l’attività di tutela della privacy in sinergia con le opportunità offerte dalla presenza sul territorio dai Comitati.
Nell’ambito della cooperazione, è prevista l’organizzazione di iniziative pubbliche che coinvolgano esperti, cittadini ed istituzioni attraverso ricerche, corsi, convegni ed incontri sui temi della protezione dati, con particolare attenzione ai fenomeni più preoccupanti che riguardano i minori in rete. Saranno anche predisposti vademecum divulgativi, linee guida, articoli e pubblicazioni.
I Co.re.com, infine, nell’ambito dei corsi di educazione digitale che terranno presso le scuole delle Regioni interessate, si impegnano ad inserire un apposito modulo sul trattamento dei dati personali dei minori in rete.
I protocolli avranno durata triennale e potranno essere prorogati per ulteriori tre anni.
Possono essere interessanti anche le seguenti pubblicazioni:
- GARANTE PROTEZIONE DATI PERSONALI - Nota 30 maggio 2022, n. 490 - Newsletter del 30/05/2022 - Revenge porn: primi interventi del Garante privacy a tutela di potenziali vittime - Data breach: Garante privacy, sanziona Inail per 50mila euro - Piattaforma…
- MINISTERO FINANZE - Decreto ministeriale 01 febbraio 2024 Modalità di utilizzo dei dati fiscali relativi ai corrispettivi trasmessi al Sistema tessera sanitaria Art. 1 Definizioni 1. Ai fini del presente decreto si intende per: a) «dati fiscali», i…
- GARANTE PROTEZIONE dei DATI PERSONALI - Nota n. 503 del 26 maggio 2023 - Enti locali: indagine del Garante Privacy sui Responsabili protezione dati - Videosorveglianza: sanzionata un’azienda di abbigliamento - Antiriciclaggio: no a limitazione diritto…
- GARANTE della PROTEZIONE dei DATI PERSONALI - Nota n. 521 del 10 aprile 2024 - Attacco hacker ai sistemi informatici della Regione Lazio: sanzioni del Garante privacy - Dossier sanitario: il Garante Privacy sanziona una Asl - Pa: trasparenza siti, il…
- GARANTE PROTEZIONE DATI PERSONALI - Nota 03 dicembre 2021, n. 484 - Tabulati: Tim nega l'accesso a un cliente e scatta la sanzione del Garante privacy - Customer care: Garante privacy, no al controllo a distanza dei lavoratori - Sanità: sì del Garante…
- Lavoro: no del Garante Privacy all’uso del riconoscimento facciale per controllo presenze - Trasporti: Garante Privacy, più tutele per i dati degli abbonati - Siti e app per il contatto tra medico e paziente: le indicazioni del Garante -…
RICERCA NEL SITO
NEWSLETTER
ARTICOLI RECENTI
- Alla parte autodifesasi in quanto avvocato vanno l
La Corte di Cassazione, sezione lavoro, con la sentenza n. 7356 depositata il 19…
- Processo Tributario: il principio di equità sostit
Il processo tributario, costantemente affermato dal Supremo consesso, non è anno…
- Processo Tributario: la prova testimoniale
L’art. 7 comma 4 del d.lgs. n. 546 del 1992 (codice di procedura tributar…
- L’inerenza dei costi va intesa in termini qu
L’inerenza dei costi va intesa in termini qualitativi e dunque di compatibilità,…
- IMU: la crisi di liquidità non è causa di forza ma
La Corte di Cassazione, sezione tributaria, ordinanza n. 7707 depositata il 21 m…