Privacy News – Dicembre 2019
POSTA ELETTRONICA E DATI NELLA MEMORIA DEL COMPUTER ACQUISIBILI CON LE FORME DEL SEQUESTRO PROBATORIO
La posta elettronica e più in generale i dati conservati nella memoria di un computer sono qualificabili come documents ai sensi dell’articolo 234 del Cppe, pertanto, possono essere acquisibili con le forme del sequestro probatorio, dovendosi escludere, invece, che tale attività acquisitiva soggiaccia alle regole stabilite per la corrispondenza ovvero alla disciplina delle intercettazioni telefoniche. Lo ha detto la Cassazione con la Sentenza n. 28269 del 27 giugno 2019.
La Corte ha, quindi, stabilito che è legittimo acquisire le mail presenti su un server, in un caso in cui si procedeva per il reato di cui all’articolo 353 del Cp, con semplice decreto del pubblico ministero, senza le tutele previste per le ipotesi di intercettazione.
(Fonte: Il Sole 24 Ore – Federprivacy)
RISERVATEZZA, DIRITTO ALL’OBLIO E DIRITTO ALLA RIEVOCAZIONE STORICA
In tema di rapporti tra diritto all’oblio e diritto alla rievocazione storica di fatti e vicende concernenti eventi del passato, la menzione degli elementi identificativi delle persone che di quei fatti e di quelle vicende furono protagoniste è lecita solo nell’ipotesi in cui si riferisca a personaggi che destino nel momento presente l’interesse della collettività, sia per ragioni di notorietà che per il ruolo pubblico rivestiti.
In caso contrario prevale il diritto degli interessati alla riservatezza rispetto ad avvenimenti del passato che li feriscano nella dignità e nell’onore e dei quali si sia ormai spenta la memoria collettiva. (Corte di Cassazione; Sezioni Unite civili; sentenza, 22-07-2019, n. 19681).
(Fonte Ateneoweb)
ADDETTI DELLA GDO, NECESSARIA UNA FORMAZIONE IN MATERIA DI PRIVACY
Il Regolamento Generale sulla Protezione dei Dati, GDPR UE 2016/679, prevede che chiunque in azienda tratti dati personali (rilevi presenze, prepari i turni di lavoro, elabori e paga gli stipendi, comunicazioni via mail, ecc.), deve essere adeguatamente istruito.
Il Regolamento lascia alle valutazioni del Titolare ogni scelta in merito ai tempi e alle modalità di effettuazione della formazione strutturata del personale addetto al trattamento dei dati personali.
Lo specifico obbligo di formazione, ai sensi dell’articolato della Sezione 4 del GDPR, si desume in particolare per le companies che sono obbligate a nominare il DPO, ma non solo per quelle.
Poiché gli operatori della GDO che propongono l’adesione a programmi di fidelizzazione (Carte Fedeltà) rientrano generalmente nella tipologia dei soggetti obbligati a nominare il DPO, è evidente come l’operatore GDO sia soggetto a tale obbligo, dal quale deriva senza dubbio anche l’obbligo di formazione di coloro che hanno accesso ai dati personali o, più precisamente come specificato dall’art. 39, del “personale che partecipa ai trattamenti e alle connesse attività di controllo”.
L’operatore GDO dovrà perciò prevedere specifici interventi di formazione per tutti i soggetti che trattano dati personali, particolarmente mirati per coloro che svolgono le proprie attività a diretto contatto con i consumatori.
(Fonte Federprivacy)
FOTO SUI SOCIAL DELLA FIGLIA CHE SFILA: NON BASTA IL CONSENSO DI UN SOLO GENITORE
Non basta il consenso di un solo genitore per autorizzare la pubblicazione online delle foto dei figli minorenni. Questo vale anche se marito e moglie sono separati e se i figli sono in regime di affido condiviso. Ma se mamma o papà assistono all’evento che poi finisce postato sui social non possono ottenere il risarcimento del danno: perché, essendo presenti, avrebbero potuto intervenire per tutelare i figli.
Così è capitato a un padre separato di Ravenna che prima aveva assistito alla sfilata della figlia di tre anni in costume da bagno, accompagnata sul palco dalla madre, poi si era opposto alla pubblicazione delle fotografie sulla pagina Facebook del locale che aveva organizzato il defilè. Per il giudice (Tribunale di Ravenna, sentenza 1038 del 15 ottobre 2019) si profila una responsabilità per fatto illecito del locale che ha pubblicato le fotografie con il solo consenso della madre, ma non può essere risarcito il padre che avrebbe potuto interrompere la sfilata e non lo ha fatto.
La necessità del consenso di entrambi i genitori dipende dal fatto che la diffusione dell’immagine non rientra nelle decisioni di ordinaria amministrazione, per cui è sufficiente il consenso di un solo genitore, ma in quelle maggiormente rilevanti per cui è, invece, necessario il consenso di entrambi.
Il principio giuridico si fonda oggi anche sull’articolo 8 del regolamento Ue 679/2016 (Gdpr), così come coordinato dall’articolo 2-quinquies del decreto legislativo 101/2018 che ha previsto che il trattamento dei dati personali del minore di età inferiore a 14 anni è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale.
(Fonte: Il Sole 24 Ore)
UE: SEMPRE PIÙ SANZIONI PER VIOLAZIONI DEL GDPR
Anche in Europa assume sempre più rilevanza il GDPR and aumentano le sanzioni per imprese ed enti.
GRAN BRETAGNA – Notificata a un gruppo alberghiero l’avviso di procedimento finalizzato all’applicazione di una sanzione di oltre 99 milioni di sterline a seguito di un attacco informatico. La stessa società ha notificato al garante inglese (Ico) la violazione della sicurezza risalente al novembre 2018 che ha messo a rischio 339 milioni di informazioni. Secondo il garante inglese la società non ha fatto le opportune verifiche e non ha messo in sicurezza i sistemi.
BELGIO – Il garante della privacy belga ha applicato una sanzione di 2 mila euro per violazione del trattamento di dati nell’ambito di campagna elettorale. Un amministratore locale ha utilizzato, per fini di propaganda, dati ottenuti durante l’esercizio del mandato. Secondo il garante belga un conto è la corrispondenza istituzionale, un altro è utilizzare la e-mail ricevuta per inviare con il comando «rispondi» messaggi di propaganda elettorale.
POLONIA – Il garante polacco ha comminato 220 mila euro di sanzione a una società che non aveva dato l’informativa privacy agli interessati, il cui numero supera i 6 milioni. I dati erano stati raccolti da fonti disponibili al pubblico e trattati per scopi commerciali. L’informativa è stata inviata solo ai soggetti di cui la società aveva l’indirizzo di posta elettronica (un’esigua minoranza).
ROMANIA – In tre casi il garante rumeno ha applicato sanzioni pecuniarie.
Nel primo episodio la violazione da parte di una società privata ha riguardato le norme sulla sicurezza dei trattamenti. L’importo della sanzione è stato modesto (3 mila euro).
Nel secondo caso la violazione è stata la stessa, ma la sanzione è stata più alta (15 mila euro). Si è trattato di una lista stampata su carta, usata per controllare clienti di un hotel al momento dell’ingresso alla sala ristorante per la colazione (in totale 46 persone), fotografata e diffusa.
Il terzo episodio ha coinvolto una banca e si è trattato della violazione dell’articolo 25 Gdpr (privacy by design e by default). La sanzione è stata di circa 130 mila euro. La mancata conformità ai principi di sicurezza e minimizzazione del trattamento dei dati ha esposto i clienti alla acquisizione indebita dei dati identificativi personali e della movimentazione. Interessati dalla vicenda sono state oltre 337 mila persone.
DANIMARCA – Il garante danese ha aperto una procedura contro un’azienda di arredi per non avere cancellato i dati di 385 mila clienti, conservati in un vecchio sistema informativo, non più in uso.
Il garante danese ha anche aperto un procedimento per l’applicazione di una sanzione di 160 mila euro alla compagnia di taxi, per mancata cancellazione dei dati della prenotazione delle corse. La società aveva la regola interna di distruzione dei dati dopo due anni ma questo non è avvenuto, in quanto la società cancellava solo i nomi, ma non i numeri di telefono dei clienti.
NORVEGIA – Il garante norvegese ha comminato una sanzione di 170 mila euro a un comune, reo di non avere protetto 35 mila credenziali di accesso al sistema informativo municipale, in particolare relativi a studenti e dipendenti delle scuole primarie.
(Fonte: Italia Oggi)
REATO DI DIFFAMAZIONE PER L’AMMINISTRATORE DI CONDOMINIO CHE DIFFONDE A TERZI INFORMAZIONI SULLA MOROSITÀ ALTRUI
È diffamazione rendere noto a terzi lo stato di morosità altrui. Infatti, l’amministratore di condominio deve sempre tutelare la privacy dei condòmini con riferimento ai loro dati personali sui pagamenti delle spese condominiali.
Lo ha stabilito la Cassazione con la sentenza 22184 del 5 settembre 2019, con la quale i giudici hanno dichiarato inammissibile il ricorso presentato da un amministratore di condominio e del suo avvocato contro la sentenza d’appello che li aveva ritenuti responsabili in solido e li aveva condannati al pagamento di un risarcimento del danno a un condomino.
Il caso riguardava l’invio, da parte del legale dell’amministratore del condominio con l’approvazione di quest’ultimo, di una serie di lettere di sollecito indirizzate a diversi destinatari nelle quali si dava comunicazione che il condomino era inadempiente al pagamento delle spese condominiali.
Per la Corte d’appello, benché il contenuto corrispondesse al vero, era però diffamatorio, violando inoltre il diritto alla riservatezza del condomino, in quanto “lo raffigurava come un soggetto inadempiente alle suddette obbligazioni pecuniarie, notizia lesiva del suo grado di affidabilità commerciale”.
(Fonte Federprivacy)