La riservatezza e la dignità dei bambini vanno tutelate sin dalla primissima infanzia. È questo, in sintesi, il principio alla base del provvedimento con il quale il Garante ha vietato a un asilo nido l’ulteriore diffusione online delle foto dei piccoli ospiti (di età compresa tra i 3 e i 36 mesi) e ha ordinato la cancellazione delle immagini illecitamente trattate.
Il procedimento dell’Autorità ha fatto seguito al reclamo di un genitore che, per poter iscrivere la figlia, ha dovuto prestare il consenso alla raccolta e all’utilizzo delle immagini della bambina. Il genitore, inoltre, aveva segnalato la presenza, all’interno dell’asilo, di un sistema di videosorveglianza in funzione anche durante lo svolgimento dell’attività scolastico-educativa.
Nel corso dell’istruttoria è emerso che l’asilo aveva pubblicato sia sul sito web sia sul proprio profilo di “Google Maps” numerose immagini dei minori in diversi momenti della “giornata tipo”, anche in contesti particolarmente delicati (sonno, mensa, utilizzo dei servizi igienici, cambio pannolino, massaggi infantili). In situazioni e attività, dunque, caratterizzate da una particolare delicatezza o destinate a rimanere riservate. Ciò senza considerare i rischi connessi alla maggiore esposizione delle immagini sul web e alla loro eventuale riutilizzabilità da parte di malintenzionati per fini illeciti o reati a danno dei minori.
Il Garante ha affermato che i trattamenti effettuati dall’asilo non avrebbero potuto trovare giuridico fondamento nel consenso dei genitori, prevalendo, comunque, il superiore interesse dei minori a non vedere pubblicate online, per promuovere l’attività dell’asilo, le fotografie che li ritraggono in momenti particolarmente intimi della loro esperienza scolastico-educativa. Oltretutto, tale consenso non sarebbe stato considerabile come consapevole e libero, visto che, in caso di rifiuto, sarebbe stata preclusa la possibilità di iscrivere i piccoli all’asilo. Anche il sistema di videosorveglianza, che raccoglieva immagini dei minori, del personale educativo, nonché di genitori, fornitori e visitatori, era stato utilizzato senza rispettare lo Statuto dei lavoratori e la normativa privacy. Per le numerose violazioni emerse, il Garante ha ingiunto all’asilo il pagamento di una sanzione di 10mila euro.
Link: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10162731
Marketing: il Garante sanziona per 45mila euro una società di rivendita auto online. E-mail senza consenso e mancato controllo sulla filiera dei partner – Garante della Privacy Provvedimento del 4 giugno 2025
Il Garante privacy ha comminato una sanzione di 45mila euro a un rivenditore di auto online per trattamento illecito di dati personali ai fini di marketing.
Il procedimento trae origine dal reclamo di un cliente che lamentava la ricezione di numerose e-mail indesiderate e il mancato riscontro alle richieste di esercizio dei diritti sanciti dal Regolamento. Nel reclamo, l’interessato precisava di aver ricevuto i messaggi da indirizzi e-mail sempre diversi, facenti capo a partner promozionali della società di cui ignorava l’esistenza. Numerosi gli illeciti riscontrati. In particolare, il Garante ha accertato che la società non aveva disciplinato correttamente i rapporti con i partner pubblicitari che potevano così trattare i dati dei clienti senza alcun controllo e in violazione della normativa privacy. Il rivenditore di auto avrebbe infatti dovuto adottare misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che i trattamenti effettuati da terzi, fossero conformi al Regolamento e che l’interessato avesse prestato il proprio consenso alla ricezione di messaggi pubblicitari. Al riguardo, il Garante ribadisce che tra le misure minime che i titolari del trattamento devono adottare vi è l’acquisizione dei consensi in modalità double opt-in, un processo che richiede agli utenti di confermare due volte la propria intenzione di iscriversi a contenuti promozionali, garantendo così maggiori tutele sia per gli interessati che per i titolari.
Per quanto riguarda il mancato riscontro alle richieste di esercizio dei diritti, il Garante ha accertato che l’errata qualificazione dei ruoli ha vanificato l’opposizione manifestata dal cliente: l’inserimento in black list effettuato dalla società non aveva infatti prodotto alcun risultato sui partner che avevano continuato a inviare le comunicazioni promozionali. Tenuto conto che la società ha rescisso i contratti con i partner e ha interrotto l’attività pubblicitaria tramite e-mail, il Garante non ha ingiunto misure correttive.
Link: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10143278
Rispondi
Il Garante privacy sanziona Autostrade spa per 420mila euro. Trattati illecitamente i dati di una lavoratrice poi utilizzati per giustificarne il licenziamento – Garante Privacy Provvedimento del 21 maggio 2025
Sanzione di 420mila euro del Garante privacy ad Autostrade per l’Italia Spa per aver trattato in modo illecito i dati personali di una dipendente, poi utilizzati per giustificarne il licenziamento. L’intervento dell’Autorità è seguito al reclamo della lavoratrice che aveva segnalato l’utilizzo, da parte della società, di contenuti estratti dal proprio profilo Facebook e da chat private su Messenger e WhatsApp per motivare i procedimenti disciplinari a proprio carico.
Tra i contenuti utilizzati figuravano anche stralci virgolettati di commenti e descrizioni di foto. Dagli accertamenti del Garante è emerso che i contenuti erano stati utilizzati dal datore di lavoro senza una base giuridica valida, attraverso screenshot forniti da alcuni colleghi e da un soggetto terzo, presenti tra gli “amici” della dipendente su Facebook e attivi nelle sue conversazioni private su Messenger e WhatsApp. Le comunicazioni, inoltre, riguardavano opinioni e scambi avvenuti in contesti estranei al rapporto di lavoro, non rilevanti ai fini della valutazione dell’idoneità professionale.
Nel motivare la sanzione, il Garante ha sottolineato che una volta accertato il carattere privato delle conversazioni e dei commenti – pubblicati, tra l’altro, in ambienti digitali ad accesso limitato – la società avrebbe dovuto astenersi dal farne uso. L’impiego di tali informazioni, infatti, ha violato i principi di liceità, finalità e minimizzazione previsti dalla normativa privacy. L’Autorità ha inoltre ribadito che i dati personali presenti sui social network, o comunque accessibili online, non possono essere utilizzati liberamente e per qualunque scopo, solo perché visibili a una platea più o meno ampia di persone.
Anche nell’ambito dell’attività disciplinare il datore di lavoro è tenuto a bilanciare correttamente tale potere con i diritti e le libertà fondamentali riconosciuti agli interessati. Il principio di finalità, ha ricordato l’Autorità, impone che i dati siano raccolti per scopi specifici, espliciti e legittimi, e trattati in modo coerente con tali scopi. Pertanto, l’utilizzo nel procedimento disciplinare di messaggi scambiati su canali privati di comunicazione è avvenuto in violazione della segretezza e riservatezza della corrispondenza, dunque in assenza di una giustificazione normativa.
Nel determinare l’ammontare della sanzione, il Garante ha considerato sia la gravità della violazione che il fatturato della società.
Link: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10143261
Rispondi