Il Garante per la protezione dei dati personali ha applicato a Facebook una sanzione di 1 milione di euro per gli illeciti compiuti nell’ambito del caso “Cambridge Analytica”, la società che attraverso un app per test psicologici aveva avuto accesso ai dati di 87 milioni di utenti e li aveva usati per tentare di influenzare le presidenziali americane del 2016.

Senza l’autorizzazione del Garante della privacy è vietato raccogliere le impronte della mano dei dipendenti, attraverso un badge per vedere se sono presenti. Ora lo sa una Srl, attiva nel settore della raccolta dei rifiuti, condannata dall’Authority a pagare una sanzione di 66 mila euro, per aver violato il Codice sulla protezione dei dati personali. La società aveva installato un sistema di raccolta dei dati biometrici della mano, per rilevare le presenze dei dipendenti. Azione che - ad avviso del Tribunale che aveva condannato il Garante a pagare 30 mila euro per responsabilità aggravata - non provava il trattamento dei dati in violazione della disciplina di settore.

Da mercoledì si completa il quadro della nuova privacy in chiave europea. Il 19 settembre entra, infatti, in vigore il decreto legislativo 101, che ha coordinato le vecchie norme nazionali in materia di riservatezza con il sistema introdotto dal regolamento Ue 679 (il cosiddetto Gdpr), diventato operativo il 25 maggio. Tra tre giorni, dunque, gli operatori pubblici e privati avranno tutti gli strumenti per muoversi tra i nuovi obblighi - a cominciare dalle procedure per il condono delle vecchie sanzioni, il cui pagamento va effettuato entro il 18 dicembre - anche se la navigazione si preannuncia complicata.

Scade il prossimo 18 dicembre la possibilità di oblare le sanzioni mediante il pagamento in misura ridotta di una somma pari ai due quinti del minimo edittale stabilito per la sanzione. Potranno usufruire di questa speciale procedura quanti abbiamo ricevuto entro il 25 maggio 2018, data di piena applicazione del Regolamento Ue, l’atto con il quale è stato avviato il procedimento sanzionatorio (ad esempio, l’atto di contestazione)

L'Autorità per la privacy danese ha rilevato che la società Taxa 4x35 non rispettava il principio di "minimizzazione" previsto dal Gdpr conservando i dati personali dei clienti oltre il limite di conservazione previsto. La Taxa cancellava i nomi e gli indirizzi dei clienti dopo 2 anni di conservazione secondo il periodo fissato per la "data retention", ma manteneva i numeri di telefono dei clienti per altri 3 anni.

Nel 2017 sono state riscosse sanzioni amministrative per circa 3 milioni 800 mila euro, pari ad un complessivo 15% in più rispetto al 2016, mentre le comunicazioni di notizie di reato all'autorità giudiziaria sono state 41, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati e trattamento illecito. Sono alcuni dei risultati dell’attività del Garante per la protezione dei dati personali diffusi alla Camera in occasione della presentazione della Relazione annuale sull'attività svolta lo scorso anno.

Maxi-sanzione a Uber, sotto accusa per avere nascosto un attacco hacker. Uber Technologies ha raggiunto un patteggiamento nei 50 Stati americani e nel District of Columbia in base al quale pagherà 148 milioni di dollari per avere intenzionalmente nascosto un’intrusione di hacker nel 2016. Per legge, il gruppo che offre un servizio alternativo al taxi tradizionale avrebbe dovuto comunicarlo.

Dati sanitari a fini di ricerca, rating sulla solvibilità delle imprese, sistema statistico nazionale (Sistan), Spid, telemarketing. Sono questi i settori sui quali nei prossimi mesi punterà la sua lente il Garante per la protezione dei dati personali contenuti nel piano ispettivo per il primo semestre 2018 approvato nelle scorse settimane.

Il Garante per la protezione dei dati personali ha messo a punto una serie di indicazioni operative per chiarire a soggetti pubblici e privati come usufruire della definizione agevolata dei procedimenti sanzionatori pendenti. L’agevolazione è stata prevista dal recente decreto legislativo 101/2018 che ha adeguato la normativa italiana alle disposizione del Regolamento europeo 2016/679 in materia di privacy. Le FAQ sono disponibili sul sito dell’Autorità.

È eccessivo scattare foto al passeggero del trasporto pubblico che non ha un biglietto valido per contestargli la sanzione amministrativa. A questo risultato si giunge attraverso un’analisi del flusso dei dati nel caso in cui non ci sia un archivio fotografico per fare il raffronto delle immagini e il rintraccio del nome. Altra questione è la raccolta di prove per contestare reati.