L'Autorità ha sanzionato cinque società, impegnate a vario titolo presso lo stesso sito di smaltimento dei rifiuti, con sanzioni rispettivamente di 70mila, 20mila, 6mila, 5mila e 2mila euro, per aver trattatoin modo illecito i dati biometrici di un numero elevato di lavoratori per controllare la loro presenza sul posto di lavoro.
A fondamento delle sanzioni, il Garante sostiene che al momento non esiste alcuna norma che consente l'uso di dati biometrici come prevede il Regolamento, per svolgere una tale attività.
Intervenuta a seguito dei reclami di diversi dipendenti, l'Autorità ha anche evidenziato i particolari rischi per i diritti dei lavoratori connessi all'uso dei sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell'ordinamento nazionale che in quello europeo. Nel corso dell'indagine, sono emerse anche ulteriori violazioni da parte delle società: tre aziende avevano condiviso per più di un anno lo stesso sistema di rilevazione biometrica, oltretutto senza aver adottato misure tecniche e di sicurezza adeguate.
Oltre al pagamento delle sanzioni il Garante ha ordinato la cancellazione dei dati raccolti illecitamente.

Un'azienda di trasporto dell'Emilia Romagna è stata sanzionata dal Garante Privacy con 50mila euro di multa per aver utilizzato un modulo per la sottoscrizione degli abbonamential servizio di trasporto pubblico locale non conforme alla disciplina in materia di protezione dei dati.
Nello specifico, è stato accertato che l'informativa resa ai passeggeri al momento della sottoscrizione degli abbonamenti, priva di molti elementi essenziali, non consentiva di prestare un consenso libero, specifico e informato. Il modulo per il rilascio della tessera di abbonamento non permetteva infatti ai viaggiatori di distinguere tra dati obbligatori e dati facoltativi (come ad esempio il numero di cellulare e l'indirizzo e-mail) e non segnalava chiaramente agli utenti il diritto di opporsi al trattamento per finalità di marketing diretto.
Oltre alla sanzione, il Garante Privacy ha imposto all'azienda di trasporto il divieto di trattare, per finalità di marketing e invio di comunicazioni sullo stato del servizio di trasporto, i dati degli utenti raccolti in assenza di una idonea informativa e sulla base di consensi non validi.

L'Autorità ha pubblicato un documento in 10 punti in cui si indicano gli obblighi e gli adempimenti da rispettare al momento di trattare dati personali in app e siti che mettono in contatto i pazienti con i medici per offrire servizi quali la scelta del professionista, la prenotazione delle visite, l'invio e l'archiviazione di documenti sanitari.
Il compendio fornisce chiarimenti con riferimento a tre macro tipologie di trattamenti:

1. dati dei pazienti, necessari per offrire loro servizi anche di tipo amministrativo correlati alla prestazione sanitaria richiesta (ad es. creazione dell'account, prenotazione di una visita medica);
2. dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell'agenda del medico e recensioni degli utenti);
3. dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti).

Per ciascuna delle macro tipologie di trattamenti, il compendio identifica le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi in capo a siti e app; inoltre ricorda la necessità di adottare misure di sicurezza tecniche e organizzative, volte a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale.

L'Autorità ha espresso parere favorevole allo schema di decreto del Ministero della Giustizia che regola l'attivazione dell'archivio digitale delle intercettazioni (ADI) presso le infrastrutture interdistrettuali e definisce tempi, modalità e requisiti di sicurezza della migrazione e del conferimento dei dati.
Il Garante ha chiesto al Ministero di esplicitare nel testo il ruolo di titolare del trattamento dei dati svolto dalle Procure della Repubblica, per fugare possibili dubbi interpretativi e agevolare l'esercizio dei diritti da parte degli interessati.