Sommario
Il Garante per la protezione dei dati personali ha recentemente comminato sanzioni significative a diverse aziende e professionisti per violazioni della normativa sulla privacy. Tra le principali misure adottate figurano una multa da oltre 890.000 euro a un fornitore di luce e gas per telemarketing illecito, tre sanzioni per il data breach del fascicolo sanitario elettronico del Molise e una multa a un chirurgo per la diffusione non autorizzata delle immagini di una paziente.
Telemarketing illecito: multa da oltre 890.000 euro a E.ON Energia
Il Garante privacy ha sanzionato E.ON Energia spa con una multa di 892.738 euro per aver effettuato attività di telemarketing senza una base giuridica adeguata. L’indagine è partita da due segnalazioni relative a chiamate indesiderate e alla mancata risposta alle richieste di esercizio dei diritti sanciti dal Regolamento generale sulla protezione dei dati (GDPR).
Nel corso dell’istruttoria, è emerso che i consensi forniti dagli utenti in fase di attivazione delle forniture di luce e gas erano stati trascritti erroneamente da un dipendente. Questo errore ha rivelato gravi lacune nei meccanismi di tutela dei dati personali dei clienti:
- mancanza di verifiche sulla corrispondenza tra consensi e dati registrati nei sistemi aziendali
- assenza di supervisione e formazione adeguata per gli addetti al telemarketing
Un ulteriore reclamo ha rivelato che E.ON aveva raccolto dati personali tramite un form pubblicato su Facebook, utilizzandoli per attività di marketing, senza che l’interessata avesse mai attivato un account sul social network.
L’Autorità ha quindi imposto alla società di adottare misure correttive per garantire che il trattamento dei dati avvenga nel pieno rispetto della normativa sulla privacy.
Data breach fascicolo sanitario elettronico del Molise: tre sanzioni per 30.000 euro
Un grave data breach ha coinvolto il fascicolo sanitario elettronico (FSE) della Regione Molise, esponendo dati anagrafici e informazioni sanitarie di alcuni utenti. L’incidente è stato causato da una vulnerabilità nel sistema informatico, che ha permesso a un cittadino di accedere ai dati di sette individui mediante una manipolazione della URL.
Il Garante ha sanzionato tre soggetti con 10.000 euro ciascuno:
- Regione Molise, titolare del portale, per non aver predisposto misure di sicurezza adeguate
- Molise dati, responsabile dell’implementazione tecnica del FSE, per non aver verificato la presenza di falle nel sistema
- Engineering ingegneria informatica spa, che ha sviluppato il software, per non aver adottato le misure necessarie a limitare l’accesso ai dati solo agli utenti autorizzati
Questo episodio evidenzia l’importanza della sicurezza informatica nella gestione di dati sanitari, considerati tra le informazioni più sensibili tutelate dal GDPR.
Foto di un lifting sui social: il Garante multa un chirurgo
Un chirurgo plastico è stato sanzionato con 20.000 euro per aver pubblicato su Instagram le foto di una paziente prima e dopo un intervento di lifting al volto, senza il suo consenso.
L’indagine del Garante è partita da una segnalazione della stessa paziente, che ha denunciato la diffusione delle immagini in modo riconoscibile sul profilo del medico. Il chirurgo ha dichiarato che le foto erano state scattate per uso interno e che la pubblicazione era frutto di un equivoco tra i professionisti coinvolti nell’intervento.
Tuttavia, l’Autorità ha ritenuto questa spiegazione insufficiente e ha sancito l’illegittimità del trattamento dei dati sanitari, in violazione del diritto alla riservatezza della paziente. La decisione sottolinea l’importanza di proteggere la privacy dei pazienti e di ottenere sempre un consenso esplicito per la diffusione di informazioni personali.
Pseudonimizzazione dei dati: le nuove linee guida europee
Il Garante privacy ha partecipato alla stesura delle nuove linee guida sulla pseudonimizzazione dei dati adottate dal Comitato europeo per la protezione dei dati (EDPB). Il documento, attualmente in consultazione pubblica fino al 28 febbraio 2025, chiarisce che i dati pseudonimizzati rimangono sempre dati personali e, di conseguenza, sono soggetti agli obblighi del GDPR.
La pseudonimizzazione è una misura di protezione che impedisce di attribuire direttamente un dato a una persona, a meno che non vengano utilizzate informazioni aggiuntive conservate separatamente e protette da misure di sicurezza tecniche e organizzative.
Le linee guida evidenziano i vantaggi della pseudonimizzazione, tra cui:
- riduzione del rischio di violazioni dei dati
- garanzia di conformità ai principi di privacy by design
- maggiore possibilità di utilizzare il legittimo interesse come base giuridica per il trattamento
L’adozione di queste misure rappresenta un passo avanti nella protezione dei dati personali, specialmente in settori come la sanità, la finanza e la ricerca scientifica.
Le recenti sanzioni del Garante privacy dimostrano l’importanza della protezione dei dati personali e la necessità per aziende e professionisti di adottare misure rigorose per evitare violazioni della normativa vigente.
Dai problemi legati al telemarketing senza consenso, ai data breach nei sistemi sanitari, fino alla diffusione illecita di dati sanitari sui social, questi casi mettono in evidenza le sfide che le aziende devono affrontare per garantire la sicurezza e la riservatezza delle informazioni personali.
Le nuove linee guida sulla pseudonimizzazione offrono strumenti utili per ridurre i rischi e garantire la conformità al GDPR, ma è fondamentale che le organizzazioni implementino strategie efficaci di protezione dei dati per evitare sanzioni e proteggere la privacy degli utenti.