Il Garante ha sanzionato per 900mila euro la società Postel per non essersi adoperata a correggere una vulnerabilità già nota dei propri sistemi informatici, facilitando così l'attacco informatico che ha portato alla violazione dei dati personali. 

La società aveva già subito un attacco informatico nel 2023 e da allora non si era attivata per correggere la propria vulnerabilità. Le informazioni violate, successivamente pubblicate nel dark web, riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e, tra quelli appartenenti a categorie particolari, dati che rivelano l'appartenenza sindacale e relativi alla salute.

Secondo l'Autorità, la società non ha rispettato gli obblighi previsti dalla normativa di protezione dei dati personali che richiedono l'adozione di misure tecniche e organizzative in grado di garantire un livello di sicurezza adeguato al rischio.

Il GPDP ha multato una società per 80mila euro per aver utilizzato un software che accedeva e conservava i dati delle mail dei dipendenti, violando le norme sulla protezione dei dati personali e lo Statuto dei lavoratori.

La società faceva un backup delle mail e dei log di accesso, conservandoli per 3 anni dopo la cessazione del rapporto di lavoro, senza fornire una corretta informativa ai lavoratori. Questi dati venivano poi utilizzati un contenzioso legale.

Il Garante ha stabilito che questa pratica configurava un controllo illecito dell'attività dei lavoratori e che la conservazione dei dati era sproporzionata rispetto alle finalità dichiarate, ossia garantire la continuità e sicurezza aziendale. Inoltre, ha ricordato che l'acceso alle mail dei dipendenti può avvenire solo per contenziosi già in corso, non per ragioni astratte o indeterminate.

Oltre alla sanzione, l'Autorità ha imposto alla società di cessare immediatamente il trattamento dei dati tramite quel software.

Il GPDP ha dato il via libera alle modalità e alle misure adottate dall'INPS per gestire i dati necessari di controllo sull'Assegno di inclusione e sul Supporto per la formazione e il lavoro. L'INPS potrà utilizzare i propri database e quelli di altre amministrazioni, come Comuni, Ministero dell'Interno e Agenzia delle Entrate, per verificare che i richiedenti abbiano i requisiti necessari. 

Le misure tengono conto delle indicazioni fornite dal Garante, soprattutto per proteggere i sati sensibili, come quelli sulla salute, i minori e le condanne penali. I dati trattati saranno limitati a quelli strettamente necessari per i controlli previsti dalla legge. Inoltre, sono state definite, procedure per lo scambio rapido di informazioni tra l'INPS e le amministrazioni in caso di violazioni di sicurezza, come un data breach.
In questo modo, si mira a evitare che l'assegno venga erogato a chi non ne ha diritto, garantendo la conformità con la normativa sulla privacy. 

Il Garante Privacy ha espresso un parere favorevole sullo schema di decreto che regola la videoregistrazione dei colloqui dei richiedenti asilo nell'ambito del progetto S.IN.D.A.C.A..
Questo schema, firmato dal Ministero dell'Interno e dal Ministero della Giustizia, definisce le tecniche per mettere a disposizione dell'autorità giudiziaria e dei soggetti abilitati, come avvocati e cancellieri, le registrazioni audiovisive dei colloqui, che vengono trascritti e archiviati. 

la videoregistrazione e la trascrizione sono necessarie in caso di ricorso contro le decisioni delle Commissioni territoriali che valutano le richieste di asilo. Il decreto attua normative europee che stabiliscono che i colloqui siano registrati, trascritti in italiano e letti al richiedente in lingua comprensibile.

Il Garante ha però richiesto alcune modifiche, tra cui l'indicazione di termini chiari per la conservazione dei dati e la designazione del Ministero dell'Interno come titolare del trattamento dei dati, piuttosto che il Dipartimento per le Libertà Civili e l'Immigrazione.