L’attività ispettiva e sanzionatoria del Garante della Privacy

In questo articolo riportiamo alcune attività ispettive che hanno portato a sanzionare le aziende per violazione delle normative in materia di privacy.

Partiamo dal 2019, l’anno successivo all’entrata in vigore del GDPR, anno in cui il Garante ha adottato nuove procedure per lo svolgimento dei Suoi compiti e l’esercizio dei poteri come previsto dal Regolamento Europeo UE 679/2016 – GDPR.

Ispezioni e sanzioni Privacy GDPR

Quali Autorità si occupano dell’attività ispettiva e sanzionatoria in materia di Privacy – GDPR?

La risposta è: il Garante per la protezione dei dati personali (autorità amministrativa indipendente che si occupa di assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali) e la Guardia di Finanza.

Il Garante si avvale della collaborazione della Guardia di Finanza per lo svolgimento delle attività di controllo secondo un protocollo di intensa che viene aggiornato periodicamente.

garante della privacy

A decorrere da luglio 2018 c’è stato un cambio dell’assetto organizzativo dei Reparti speciali della Guardia di Finanza, con la soppressione del “Nucleo speciale privacy” e l’istituzione del “Nucleo speciale tutela privacy e frodi tecnologiche”.

Il protocollo d’intesa del 2020 prevede la messa a disposizione di nuove unità di personale della Guardia di Finanza presso l’Autorità e, inoltre, dal punto di vista strategico, la possibilità per il Garante di avvalersi di personale specializza del Corpo anche per la conduzione di ispezioni congiunte con altre autorità estere.

Come viene programmata l’attività ispettiva in materia di privacy?

Annualmente il Collegio delibera gli ambiti di controllo e gli obiettivi numerici da conseguire, individuando i titolari dei trattamenti da sottoporre a controllo.

Ad esempio, il programma relativo al 2019 ha previsto che l’attività ispettiva fosse indirizzata, in particolare, nei seguenti settori:

  • trattamenti di dati personali effettuati da istituti bancari;
  • trattamenti di dati personali effettuati da società per attività di marketing (grandi gruppi alberghieri, call center, società di intermediazione immobiliare di rilevanza nazionale, tour operator, circoli sportivi);
  • trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
  • trattamenti di dati personali effettuati da intermediari per la fatturazione elettronica;
  • trattamenti di dati personali effettuati da società rientranti nel settore food delivery;
  • trattamenti di dati personali in ambito sanitario effettuati da parte di società private.
sanzioni gdpr

sanzioni gdpr

Provvedimenti e Sanzioni GDPR del Garante per la Privacy

Riportiamo di seguito alcune attività ispettive e le relative sanzioni comminate dal Garante.

TIM sanzionata per marketing selvaggio

Il Garante della privacy ha comminato nel 2019 nei confronti di una TIM S.p.A. (compagnia telefonica) una sanzione di euro 28.000.000 (28 milioni) per marketing selvaggio, nello specifico:

  • telefonate promozionali effettuate senza il consenso delle persone contattate;
  • mancanza di controlli sull’operato di alcuni fornitori/partner;
  • errata gestione e mancato aggiornamento delle black list;
  • acquisizione obbligata del consenso per azioni di marketing;
  • informazioni non corrette sul trattamento dei dati con l’uso dell’app;
  • progettazione inadeguate dei sistemi che trattano dati.

La TIM ha oblato alla sanzione pecuniaria e risulta aver avviato un percorso di adeguamento alla normativa dei propri sistemi, delle proprie procedure e dei connessi trattamenti, finalizzato ad implementare le numerose e puntuali misure correttive stabilite dal Garante.

FACEBOOK sanzionata per trattamento di dati per finalità politiche

Il Garante ha sanzionato Facebook Italy S.r.l per la somma di euro 1.000.000 (un milione) con provvedimento del 14 giugno 2019.

Il Garante ha rilevato che i servizi “Thisisyourdigitallife” e “Candidati” concepiti nel 2018 e rivolti ai cittadini italiani in prossimità delle elezioni politiche per il Parlamento non rientravano tra le finalità indicate nella data policy della piattaforma.

Si è quindi ritenuto che Facebook, attraverso detti servizi, abbia effettuato trattamenti di dati personali potenzialmente idonei a rilevare le opinioni politiche degli interessati che vi hanno aderito.

Per tali ragioni è stato vietato a Facebook il trattamento dei dati eventualmente raccolti mediante le descritte modalità.

CALL CENTER sanzionato per marketing selvaggio

Il Garante l’11 aprile 2019 ha comminato una sanzione di euro 2.018.000 (due milioni diciottomila) alla Vincall S.r.l.s. che aveva svolto, tramite un call center operante in Albania, attività di telemarketing e teleselling per conto di una società del settore energetico senza aver reso alcuna informativa alle persone contattate e senza acquisire il consenso al trattamento dei dati personali per finalità di marketing.

La società aveva infatti incaricato il call center di contattare telefonicamente potenziali clienti utilizzando numerazioni telefoniche raccolte dal call center, senza che la lista dei contatti fosse stata fornita o validata dal titolare o dal responsabile del trattamento.

Dopo il primo contatto da parte del call center, le persone che avevano manifestato la volontà di sottoscrivere un contratto venivano richiamate dalla società italiana.

sanzioni garante della privacy

Ente pubblico sanzionato per illecito trattamento di dati sensibili

Con l’ordinanza del 7 marzo 2019 l’Autorità ha comminato una sanzione amministrativa di 10.000 euro nei confronti di un ente pubblico per aver effettuato un illecito trattamento di dati giudiziari, consistente nella comunicazione a terzi di informazioni circa un procedimento penale ancora in corso a carico di uno spedizioniere, in assenza di una norma di legge che espressamente lo prevedesse.

Sanzionato un medico per illecito trattamento di dati

Il Garante ha sanzionato nel 2019 per 16.000 euro un medico che aveva utilizzato gli indirizzi di ex pazienti per inviare lettere a sostengo di un candidato alle elezioni politiche regionali, senza che gli interessati avessero espresso alcun specifico consenso al riguardo.

Pesanti sanzioni per WIND e ILIAD

Il 9 luglio 2020 il Garante per la privacy ha sanzionato Wind Tre S.p.A. per circa euro 17.000.000 (17 milioni) di per numerosi trattamenti illeciti di dati, legati prevalentemente ad attività promozionali.

Gli accertamenti hanno messo in luce diversi gravi illeciti nella filiera dei partner commerciali, anche con impropria attivazione di contratti.

Uno dei partner di Wind, che aveva sub affidato intere fasi dei trattamenti a call-center che raccoglievano i dati illecitamente, è stato sanzione per 200.000 euro e si è visto imporre il divieto di utilizzare i dati.

Il Garante ha sanzionato anche Iliad per 800.000 euro per carenze in merito alle modalità di accesso dei propri dipendenti ai dati di traffico.

Come puoi vedere le sanzioni del garante della privacy hanno colpito tanto grandi colossi come aziende più piccole. Per conoscere lo stato attuale della tua attività e sapere se stai rischiando di ricevere pesanti sanzioni, puoi contattarci per una consulenza privacy.

 
Informati Ora per il Corso su Privacy & GDPR