La newsletter del 17 giugno 2026 del Garante per la protezione dei dati personali raccoglie una serie di provvedimenti che toccano alcuni dei temi più sensibili nell’applicazione del GDPR e della normativa italiana sulla protezione dei dati. Al centro delle decisioni figura una sanzione da 180.000 euro nei confronti di Emirates per il trattamento dei dati sanitari dei passeggeri a mobilità ridotta. L’Autorità è inoltre intervenuta sull’utilizzo improprio di sistemi di videosorveglianza da parte di un Comune e sulla pubblicazione di fotografie di minori sui social network senza il consenso di entrambi i genitori. Sul piano europeo, il European Data Protection Board ha avviato una consultazione pubblica per un nuovo modello di notifica dei data breach, destinato a influenzare le future procedure di gestione delle violazioni dei dati personali nell’Unione Europea.
Cosa leggere
Emirates sanzionata per il trattamento dei dati sanitari dei passeggeri
Il provvedimento più significativo riguarda Emirates, ritenuta responsabile di diverse irregolarità nella gestione delle informazioni sanitarie raccolte attraverso il modulo Medif, utilizzato per i passeggeri che richiedono assistenza speciale o che presentano condizioni mediche particolari. Secondo il Garante, l’informativa fornita agli interessati risultava insufficiente e poco trasparente, poiché non indicava con chiarezza quali categorie di dati venissero raccolte né quali sezioni del modulo fossero effettivamente obbligatorie. L’Autorità ha inoltre rilevato che alcuni viaggiatori erano tenuti a compilare il modulo anche in situazioni in cui tale raccolta di informazioni non appariva strettamente necessaria rispetto alle finalità di sicurezza o assistenza dichiarate dalla compagnia aerea. La decisione ribadisce il principio secondo cui il trattamento dei dati sanitari, classificati come categorie particolari di dati personali, deve essere fondato su una base giuridica precisa e accompagnato da informazioni chiare e comprensibili per gli interessati.
Conservazione eccessiva dei dati e obblighi di minimizzazione
Tra gli elementi contestati figura anche il periodo di conservazione delle informazioni raccolte. Emirates manteneva infatti i dati sanitari dei passeggeri per un periodo di sette anni, una durata ritenuta sproporzionata rispetto alle finalità dichiarate. Il Garante ha richiamato i principi di minimizzazione, limitazione della conservazione e proporzionalità, cardini della disciplina europea sulla protezione dei dati. L’Autorità ha ordinato alla compagnia di aggiornare le proprie informative, definire tempi di conservazione coerenti con le effettive esigenze operative e procedere alla cancellazione dei dati conservati oltre i limiti ritenuti giustificabili. La decisione rappresenta un richiamo importante per tutto il settore del trasporto aereo, che gestisce quotidianamente grandi quantità di informazioni personali e sanitarie connesse all’assistenza dei passeggeri.
Il Garante richiama un Comune sull’utilizzo delle telecamere
Un secondo intervento riguarda un’amministrazione comunale che aveva utilizzato immagini provenienti da telecamere installate per finalità di sicurezza urbana per accertare infrazioni al Codice della strada. I filmati erano stati trasmessi alla Motorizzazione civile senza che esistesse una specifica previsione normativa che autorizzasse tale utilizzo. Secondo il Garante, questa condotta viola i principi di liceità, trasparenza, correttezza e limitazione della finalità, poiché i dati raccolti attraverso un sistema di videosorveglianza possono essere utilizzati esclusivamente per gli scopi per cui il sistema è stato installato, salvo diversa previsione legislativa. L’Autorità ha pertanto adottato un ammonimento nei confronti del Comune, sottolineando che ogni riutilizzo delle immagini deve essere fondato su una base giuridica chiara e compatibile con la finalità originaria della raccolta.
Videosorveglianza e rispetto delle finalità dichiarate
Il provvedimento offre indicazioni rilevanti per tutte le amministrazioni pubbliche che gestiscono impianti di videosorveglianza. Il Garante ribadisce infatti che la disponibilità tecnica delle immagini non autorizza automaticamente il loro utilizzo per finalità ulteriori rispetto a quelle inizialmente dichiarate. Ogni ampliamento degli scopi perseguiti deve essere previsto dalla legge e valutato alla luce dei principi di necessità e proporzionalità. La decisione assume particolare rilievo in una fase storica in cui le amministrazioni fanno sempre maggiore ricorso a sistemi di monitoraggio urbano e tecnologie di controllo del territorio. Il richiamo dell’Autorità conferma che l’espansione delle capacità tecnologiche deve sempre essere accompagnata dal rispetto rigoroso delle garanzie previste dalla normativa sulla privacy.
Foto dei minori sui social senza consenso dell’altro genitore
Un ulteriore provvedimento riguarda il fenomeno dello sharenting, ossia la pubblicazione sui social network di fotografie e contenuti relativi ai figli minorenni. Il Garante ha ammonito una madre che pubblicava immagini dei propri figli di età inferiore ai 14 anni senza il consenso dell’altro genitore. Secondo l’Autorità, per i minori che non hanno ancora compiuto 14 anni la diffusione di immagini sui social costituisce un trattamento di dati personali che richiede il consenso di entrambi i genitori esercenti la responsabilità genitoriale. In assenza di tale consenso, il trattamento risulta illecito. Il provvedimento vieta quindi la prosecuzione delle pubblicazioni senza il necessario accordo tra i genitori e rappresenta un importante chiarimento interpretativo in un ambito sempre più rilevante per la tutela dei diritti digitali dei minori.
La tutela della privacy dei bambini nell’era dei social network
L’intervento del Garante richiama l’attenzione sui rischi associati alla diffusione incontrollata di immagini e informazioni relative ai minori. La pubblicazione di fotografie sui social network può infatti incidere sulla privacy, sulla reputazione futura e sulla sicurezza dei bambini, creando una traccia digitale permanente difficilmente eliminabile nel tempo. L’Autorità ricorda inoltre che, una volta raggiunta l’età di 14 anni, i minori acquisiscono una maggiore autonomia decisionale rispetto al trattamento dei propri dati personali. Il provvedimento si inserisce in una più ampia strategia di tutela dei minori online che coinvolge fenomeni quali cyberbullismo, esposizione mediatica e utilizzo improprio delle piattaforme digitali da parte degli adulti.
L’EDPB apre la consultazione sul nuovo modello europeo di data breach
Sul piano europeo, il Comitato europeo per la protezione dei dati ha approvato un nuovo modello di notifica delle violazioni dei dati personali e ha avviato una consultazione pubblica per raccogliere osservazioni da parte di imprese, professionisti e autorità nazionali. L’obiettivo è migliorare il coordinamento tra le autorità di controllo e integrare in modo più efficace il meccanismo del Single Entry Point (SEP) utilizzato nei procedimenti transfrontalieri. Il nuovo schema punta a rendere più uniforme la gestione dei data breach nei diversi Stati membri e a semplificare gli obblighi di comunicazione per i titolari del trattamento. La standardizzazione delle procedure dovrebbe inoltre consentire una risposta più rapida e coordinata agli incidenti che coinvolgono dati personali su scala europea.
Le nuove regole europee influenzeranno aziende e pubbliche amministrazioni
La consultazione promossa dall’EDPB rappresenta un passaggio importante per l’evoluzione della governance europea della privacy. Le organizzazioni che trattano dati personali dovranno seguire con attenzione l’iter del nuovo modello poiché esso potrebbe modificare in modo significativo le procedure interne di gestione degli incidenti e degli obblighi di notifica alle autorità competenti. In parallelo, il Comitato continua a concentrarsi sulla protezione dei minori online e sul contrasto a fenomeni come revenge porn, cyberbullismo e abuso delle piattaforme digitali. Le decisioni annunciate nella newsletter del Garante mostrano come la tutela dei dati personali continui a estendersi ben oltre gli aspetti puramente tecnologici, coinvolgendo trasporti, amministrazioni pubbliche, famiglie e organizzazioni private in un quadro normativo sempre più attento alla trasparenza, alla proporzionalità e alla protezione dei soggetti più vulnerabili.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
