25 Marzo 2025 - carmignaniconsulenza

Lavoro: Garante privacy, no al controllo a distanza - Garante della Privacy Provvedimento del 16 gennaio 2025

Il Garante Privacy ha sanzionato un’azienda di autotrasporto per aver controllato in modo illecito circa 50 dipendenti, durante la loro attività lavorativa, utilizzando un sistema Gps installato sui veicoli aziendali. Diverse le violazioni riscontrate dall’Autorità, intervenuta a seguito della ricezione di un reclamo da parte di un ex dipendente dell’azienda.

Dalle ispezioni, effettuate in collaborazione con il Nucleo tutela privacy della Guardia di finanza, è emerso che il sistema Gps tracciava in modo continuativo i dati di localizzazione, velocità, chilometraggio e stato dei veicoli (ad es. quando erano spenti o accesi), senza rispettare la normativa privacy e in modo difforme da quanto previsto dal provvedimento autorizzatorio rilasciato dall’Ispettorato territoriale del lavoro.

In particolare, sono state rilevate gravi carenze nell’informativa fornita ai lavoratori, tra cui la mancata indicazione delle specifiche modalità con cui il trattamento veniva realizzato e la informazione relativa alla diretta identificabilità dei conducenti dei veicoli geolocalizzati. Tali trattamenti sono risultati contrari anche alle specifiche misure di garanzia indicate dall’Ispettorato del lavoro nel provvedimento di autorizzazione che era stato rilasciato all’azienda, che infatti prevedeva l’anonimizzazione dei dati raccolti e l’adozione di soluzioni tecnologiche in grado di limitare la raccolta di dati personali non necessari o eccedenti rispetto alle finalità di sicurezza e organizzazione aziendale.

Inoltre, i dati raccolti venivano conservati per oltre 5 mesi, in violazione dei principi di minimizzazione e limitazione della conservazione dei dati stabiliti dal Regolamento UE.

Il Garante, in considerazione delle numerose e gravi violazioni riscontrate, oltre al pagamento di una sanzione di 50mila euro, ha ordinato all’azienda di fornire un’idonea informativa ai dipendenti e di adeguare i trattamenti effettuati attraverso il sistema Gps alle garanzie prescritte nel provvedimento autorizzatorio rilasciato, a suo tempo, dall’Ispettorato territoriale del lavoro all’azienda.

Link: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10112287

Telemarketing: Garante privacy, stop ai consensi “omnibus” - Garante della Privacy provvedimento del 27.02.2025

Il consenso alla cessione dei dati personali a terzi per finalità di marketing può considerarsi realmente libero soltanto se all’interessato sono garantiti una scelta effettiva e il controllo sui propri dati. L’utilizzo di formule generiche che non permettano di selezionare la singola categoria merceologica delle offerte commerciali desiderate (p.e. telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.), non è quindi in linea con la normativa privacy e non può far venir meno gli effetti della opposizione manifestata con l’iscrizione al Registro Pubblico delle Opposizioni. Lo stesso principio vale per form e informative che ostacolino l’esercizio dei diritti riconosciuti all’interessato in ordine alla scelta degli strumenti attraverso cui ricevere le comunicazioni promozionali.

È quanto affermato dal Garante privacy nel sanzionare Energia Pulita srl, società fornitrice di energia elettrica e gas, per aver trattato in modo illecito i dati di un centinaio di persone che si erano rivolte all’Autorità lamentando la ricezione di chiamate indesiderate effettuate in mancanza di un’idonea base giuridica e, in molti casi, utilizzando tecniche commerciali particolarmente insidiose.

Il ricorso a simili form per l’acquisizione del consenso, inoltre, non permette di esprimere una valida, consapevole e inequivocabile manifestazione di volontà, realizzando invece un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori.

Nel corso dell’istruttoria dell’Autorità, è stato accertato anche che la società si è avvalsa di soggetti interni ed esterni all’organizzazione aziendale, violando gli obblighi gravanti sul titolare del trattamento riguardo all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati. Oltre al pagamento della sanzione di 300mila euro, il Garante ha vietato alla società l’ulteriore trattamento dei dati personali dei segnalanti e le ha ingiunto di predisporre adeguati controlli sulla propria rete di vendita e implementazioni dei sistemi, per escludere che possano fare ingresso nel patrimonio aziendale contratti generati da contatti illeciti.

Link: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10114967