Ammonta a 5 milioni di euro la sanzione che il Garante Privacy ha comminato ad una società per gravi violazioni riscontrate nel trattamento dei dati personali di oltre 2.300 clienti nell'ambito della fornitura di energia elettrica e gas.

A seguito di numerose segnalazioni e reclami riguardanti la conclusione di contratti non richiesti nel mercato libero, compilati con dati inesatti e non aggiornati di clienti della società, l'Autorità ha accertato che la società non aveva adottato misure tecniche e organizzative adeguate a scongiurare l'utilizzo illecito dei dati dei clienti da parte degli agenti porta a porta. Quest'ultimi acquisivano infatti le generalità degli interessati mediante l'uso di dispositivi personali, scattando ad esempio foto del relativo documento di riconoscimento, per poi procedere a loro insaputa all'attivazione della fornitura.
Oltre alla sanzione pecuniaria, il Garante ha ingiunto alla società una serie di misure correttive, tra cui l'adozione di un sistema che preveda l'interruzione del processo di contrattualizzazione in caso di mancata risposta alla telefonata di controllo; nonché l'effettuazione di verifiche preventive e audit periodici per la valutazione dell'operato delle agenzie incaricate.

«Nel pubblicare articoli che riportano fatti di cronaca e sentenze che riguardano i minori, occorre sempre verificare che siano oscurati nomi e dettagli che possano ledere la loro riservatezza e dignità».

Lo ha ribadito l'Autorità nel sanzionare una rivista online che, all'interno di un articolo, aveva pubblicato il link ad una sentenza di Tribunale, in cui erano riportati in chiaro nomi, residenza e periodo di permanenza dei minori presso delle strutture di accoglienza. La rivista si è giustificata ritenendo, erroneamente, che fosse compito del Tribunale anonimizzare i dettagli riferiti ai minori presenti nella sentenza.
Considerato l'immediato oscuramento dell'articolo contenente il link alla sentenza e la deindicizzazione dai motori di ricerca, il Garante ha comminato all'editore della rivista una sanzione di 10mila euro per trattamento illecito di dati personali.

Nell'ambito dei Privacy Sweep, il Garante ha avviato l'indagine conoscitiva della rete internazionale del GPEN (Global privacy enforcement network), dedicata quest'anno ai cosiddetti modelli di design ingannevole (darkpattern).
26 Autorità di protezione dati del GPEN, tra il 29 gennaio e il 2 febbraio scorsi, hanno passato al setaccio 899 siti web e 111 app, e nel 97% dei casi hanno individuato la presenza di almeno una tipologia di design ingannevole.
L'attenzione del Garante Privacy italiano si è concentrata su 50 siti web di cosiddetti “comparatori” di servizi e prodotti ed ha riguardato i cookie banner e le modalità di cancellazione degli account utente. In più del 60% dei casi i banner mostravano con maggiore enfasi l'opzione meno favorevole per la privacy degli utenti, nel quasi 40% dei casi per rifiutare tale opzione l'utente era costretto a un maggior numero di passaggi; in un numero più ristretto di casi (circa il 30%) non era presentata altra opzione che quella dell'accettazione di tutti i cookie.

L'Autorità ha espresso parere favorevole del Garante Privacy sullo schema di decreto legislativo che recepisce la direttiva europea sulla resilienza dei soggetti critici (direttiva CER - critical entities resilience), operativi in settori particolarmente delicati (energia, sanità, infrastrutture digitali, PA).
Lo schema di decreto legislativo prevede, tra l'altro, l'introduzione di misure, criteri, obblighi, sanzioni e disposizioni volti a garantire l'erogazione dei servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, della salute e della sicurezza pubbliche o dell'ambiente.
Pur non presentando particolari criticità sotto il profilo della protezione dati, il Garanti ha ritenuto che lo schema di decreto legislativo necessiti di alcune integrazioni in merito alla verifica dei precedenti penali per quanti ricoprono ruoli sensibili all'interno delle strutture. Nello specifico, occorrerebbe precisare quali siano le categorie di precedenti (essenzialmente penali) ritenuti "rilevanti" e di disciplinare le modalità e i tempi di conservazione dei certificati del casellario giudiziale europeo acquisiti, demandando eventualmente anche alla fonte regolamentare.