Home
18 dicembre 2023
Il Garante Privacy multa Autostrade e Amazon trasporti e dice no ai sistemi di videosorveglianza in condominio senza delibera assembleare
Con la newsletter n. 515 del 15 dicembre 2023, l'Autorità è intervenuta anche sulla tutela dei dati personali, i quali erano stati pubblicati online tra i documenti di un corso formativo per medici psichiatri e sull'utilizzo illecito delle registrazioni di un colloquio intercorso presso un Comando di Polizia Locale.
La Redazione
Nessun riscontro a istanze dipendenti, l’Autorità multa Autostrade e Amazon
I titolari del trattamento devono consentire sempre all'esercizio dei diritti previsti dalla normativa privacy.
Il GPDP ha sanzionato Autostrade per l'Italia e Amazon Italia Trasporti per non aver dato tempestivo e motivato riscontro, neanche di diniego o di differimento, alle richieste di accesso ai propri dati personali presentate da alcuni dipendenti ed ex dipendenti.
In particolare, alcuni dipendenti avevano chiesto ad Autostrade di poter accedere ai propri fascicoli personali, alle buste paga e a una serie di informazioni relative al trattamento dei dati per il calcolo delle stesse senza ottenere alcuna risposta.
Alla richiesta di spiegazioni dell'Autorità, Autostrade aveva risposto di non aver dato riscontro alle istanze per non compromettere il proprio diritto di difesa in giudizio. Tra la società e i lavoratori, infatti, erano in corso diversi procedimenti giudiziari riguardanti l'accantonamento e le modalità di calcolo della liquidazione.
Per l'Autorità Autostrade avrebbe dovuto rispondere comunque alle istanze dei dipendenti, precisando il motivo del diniego nonché la possibilità di presentare reclamo al Garante per la Protezione dei Dati Personali o ricorso all'autorità giudiziaria. La società, inoltre, avrebbe dovuto fornire riscontro anche riguardo ai dati già nella disponibilità dei lavoratori, indicandogli la piattaforma informatica mediante il quale accedere alle informazioni richieste.
Pertanto, l'Autorità ha ingiunto ad Autostrade di fornire completo riscontro alle istanze dei reclamanti e per le violazioni riscontrate ha comminato alla società una sanzione di 100mila euro.
Quanto ad Amazon, l'Autorità è intervenuta a seguito del reclamo di un ex dipendente che aveva lamentato il mancato riscontro della società alla richiesta volta ad ottenere copia dei documenti riguardanti il proprio rapporto di lavoro.
Alla richiesta di spiegazioni dell'Autorità, Amazon ha risposto di non aver dato riscontro all'istanza perché redatta in maniera molto ampia e generica.
La società aveva successivamente inviato copia dei documenti richiesti all'ex dipendente, ma solo dopo l'avvio dell'istruttoria da parte del Garante, e comunque quasi sei mesi dopo il termine dei 30 giorni previsto dal Regolamento europeo in materia di privacy.
Il GPDP ha comminato ad Amazon una sanzione di 40mila euro perché la società avrebbe dovuto rispondere tempestivamente all'istanza dell'ex dipendente, eventualmente chiedendo di dettagliare i dati ai quali voleva accedere.
Sanità: l’Autorità sanziona una società di formazione on line. I dati personali erano stati pubblicati online, tra i documenti di un corso formativo per medici psichiatri
Tizio si era rivolto al GPDP in quanto scopre che i propri dati personali e le informazioni relative alla salute e alle indagini giudiziarie riguardanti il figlio deceduto erano stati pubblicati online, tra i documenti di un corso formativo per medici psichiatri. A seguito di tale violazione il Garante sanziona la società con una multa di 18mila euro.
I documenti facevano parte del materiale didattico utilizzato per illustrare ai medici la particolare patologia di cui soffriva il ragazzo.
Tale materiale era accessibile online da chiunque conoscesse l'Url.
Nel provvedimento sanzionatorio, l'Autorità, oltre a ricordare che ai dati delle persone decedute continuano ad applicarsi le tutele della normativa privacy, ha affermato che la società avrebbe dovuto mettere in atto misure tecniche, organizzative e di verifica idonee a garantire la riservatezza dei dati trattati.
Oltre a verificare l'adeguatezza delle misure di anonimizzazione adottate sui dati personali della reclamante e del figlio deceduto, la società avrebbe dovuto impiegare una procedura di autenticazione informatica per consentire l'accesso alla documentazione solo ai medici che avevano frequentato il corso.
Condominio: no a sistemi di videosorveglianza senza la delibera dell’assemblea
Sanzionato l'amministratore del condomino che aveva installato un sistema di videosorveglianza senza la delibera dell'assemblea condominiale.
La delibera condominiale rappresenta infatti il presupposto di liceità del trattamento realizzato mediante telecamere.
Dall'istruttoria dell'Autorità era emerso che stato istallato un sistema di videosorveglianza, presso il condominio, composto da due telecamere, posizionate all'esterno dell'edificio, il cui angolo di visuale era esteso all'area destinata al parcheggio e al cancello di accesso, con parziale visione della strada pubblica. L'informativa che avvertiva della presenza delle telecamere per quanto fosse segnalata da alcuni cartelli era priva dell'indicazione del titolare del trattamento. Il dispositivo poi, oltre a riprendere le immagini, consentiva di visualizzarle su un telefonino in possesso dell'amministratore.
L'Autorità ha ricordato che, laddove i condomini siano d'accordo sulla tutela degli spazi comuni, per procedere all'installazione delle telecamere è necessaria una delibera condominiale a cui l'Amministratore deve dare esecuzione.
Sanzionati due Comuni per uso illecito delle registrazioni di un colloquio intercorso presso un Comando di Polizia Locale
Il Garante è intervenuto a seguito del reclamo di un dipendente di un Comune della provincia di Brescia, all'epoca Vice Commissario di Polizia Locale, che si era recato presso gli uffici del Comando di Polizia Locale di un altro Comune e lì aveva avuto un colloquio con un agente su questioni lavorative e condizioni di lavoro.
Il colloquio era stato registrato e tali riprese erano state utilizzare per infliggere una sanzione al Vice Commissario che si era poi dimesso.
L'Autorità ha ribadito che il datore di lavoro può trattare i dati personali dei dipendenti solo se questo è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore.
Il Garante ha quindi ritenuto illeciti la trasmissione e l'uso delle registrazioni utilizzate per infliggere la sanzione disciplinare, perché privi di una idonea base giuridica. In particolare, il Garante ha rilevato che la registrazione riguardava fatti non rilevanti nell'ambito del rapporto di lavoro.