I dati dei lavoratori non si trattano in base al loro consenso. Se si segue questa strada (sbagliata), al datore di lavoro può arrivare una sanzione molto salata. Come è successo a una grande società (Price Waterhouse Business Solution), sanzionata dal Garante della privacy greco a pagare 150 mila euro. Il provvedimento, n. 26/2019, si segnala anche per un altro motivo. Il Garante greco ha sanzionato per la violazione dell'articolo 5 del Gdpr, che è una disposizione formulata in maniera generalissima, tale da essere applicata per ogni violazione, piccola o grande, sostanziale o formale, anche quando non si accerta la violazione di una norma specifica.
Il recente provvedimento sanzionatorio emesso dal Garante per la Protezione dei Dati personali (provv. n. 90 dell'11 marzo 2021) consente di trarre dalla realtà concreta che quotidianamente deve affrontare chi si occupa di data protection spunti per riflettere su competenze, requisiti e qualità che un Data Protection Officer deve possedere, argomento che operativamente si riflette nelle selezioni dei DPO.
L’Autorità Garante per la protezione dei dati personali ha comminato una sanzione amministrativa pecuniaria di 100 mila euro a Banca Intesa San Paolo perché un proprio dipendente, funzionario dell’unità crediti della direzione regionale dell’istituto, aveva consultato tramite i terminali della banca i dati del conto corrente dell’ex compagna, correntista dell’istituto di credito.
Con la pubblicazione del D.Lgs. 10 agosto 2018, n. 101, si completa la prima fase del processo di adeguamento della disciplina italiana in materia di protezione dei dati personali a quella europea contenuta nel Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, com'è noto entrato in vigore lo scorso 25 maggio, che prevede un pesante apparato sanzionatorio. Il provvedimento, in vigore dal prossimo 19 settembre, arriva però con ritardo ma deve essere accolto favorevolmente in quanto armonizza le disposizioni contenute nel Codice in materia di protezione dei dati personali (D.Lgs. 196/2003), con quelle introdotte dal citato Regolamento europeo 2016/679; al tempo stesso mette anche fine anche ad alcuni rumors, risultati poi infondati, su alcune previsioni della versione definitiva del D.Lgs. n.101/2018.
Anche in materia di sanità pubblica il responsabile della protezione dei dati personali (DPO) è un mero consulente che non deve firmare le informative o assumere ruoli tipici del titolare del trattamento. La responsabilità e gli obblighi privacy gravano infatti su quest'ultimo soggetto ovvero l'azienda sanitaria locale con tutta la sua struttura organizzativa e dirigenziale. Così il Garante per la protezione dei dati personali con l'ordinanza ingiunzione 8/2022.
Il Garante Privacy ha comminato una sanzione di 10 milioni di euro ad Axpo Italia Spa, società fornitrice di energia elettrica e gas, per l’attivazione di contratti non richiesti nel mercato libero mediante il trattamento di dati inesatti e non aggiornati della clientela.
No a messaggi incomprensibili e a contatti promozionali indesiderati per spingere gli utenti telefonici, specialmente gli anziani, a sottoscrivere nuovi contratti. Lo ha ribadito il Garante privacy che ha sanzionato per 500 mila euro Vodafone Italia in seguito al reclamo presentato da una signora ultraottantenne, che si era vista trasferire, contro la sua volontà, la propria utenza telefonica da un altro operatore a Vodafone stessa.
La catena di profumerie Douglas Italia Spa dovrà pagare una sanzione di 1 milione e 400 mila euro per aver violato la normativa in materia di protezione dei dati. Lo ha stabilito il Garante per la protezione dei dati personali a conclusione di un procedimento avviato a seguito di un reclamo.
Le aziende sanitarie devono mettere in atto tutte le misure tecniche e organizzative necessarie per evitare l’accesso ai dati dei pazienti da parte di personale medico e infermieristico non coinvolto nel processo di cura. Lo ha ribadito il Garante privacy nel sanzionare due Asl della Regione Friuli-Venezia Giulia. L’Autorità inoltre ha ordinato l’adozione di misure correttive alla società informatica che gestisce l’applicazione per la consultazione dei referti online.
Il Garante per la privacy ha applicato a Eni Gas e Luce (Egl) due sanzioni, per complessivi 11,5 milioni di euro, riguardanti rispettivamente trattamenti illeciti di dati personali nell'ambito di attività promozionali e attivazione di contratti non richiesti. Le sanzioni sono state determinate tenendo conto dei parametri indicati nel Regolamento Ue, tra i quali figurano l’ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Egl.
