ALTROCONSUMO, paladino dei consumatori, pagherà 100.000 Euro di sanzione al Garante per violazione del GDPR nell'attività di telemarketing.
Una batosta eclatante che fa traballare la limpidezza degli altissimi ideali sbandierati.
@Altroconsumo è in prima linea per la tutela dei diritti... combatte con noi per un mondo migliore, fa inchieste sulle aziende brutte e cattive che trattano male i dati personali... tipo questa giusto giusto di un anno fa altroconsumo.it/vita-privata-f…
Altroconsumo, la stessa che s'offre per supportare la gente che soffre, brandendo la stadera del diritto, proponendo CONSULENZA PRIVACY per esercitare i diritti e per tutelare i consumatori.
Mi sa che la benda della Giustizia è stata messa sugli occhi del #QualifiedDPO
Che hanno fatto?
Hanno appaltato un servizio di callcenter "selvaggio" per raccattare iscritti, chiamando numeri acquistati da broker di dati, venditori di fuffa: Toleadoo GmbH “per reperire liste di utenti verso cui indirizzare le proprie promozioni”
Il consenso, però, non è documentato: “consenso per finalità di marketing e per la cessione dei dati a terzi”
Il Garante, che sa fare il suo mestiere, ha indagato per verificare se esiste una condotta sistematica o se si tratti di un singolo "errore"
Tanto per avere un'idea: da gennaio a dicembre 2020 altroconsumo ha commissionato “circa 2.698.000 contatti telefonici da cui sono derivati 22.317 soci”
Per verificare la bontà delle liste AC ha verificato 5 (cinque) numerazioni a campione, lo 0.0001%
Rappresentativo!
Il Garante contesta:
- mancata informativa
- mancata acquisizione di un valido consenso
e quindi Violazione dei principi dell'art 5 gdpr
La sanzione include:
-divieto di usare i dati acquistati
-obbligo di verificare in modo congruo le nuove liste di dati
Come dimostrare al mondo che non te ne frega niente della privacy? Chiediamolo ad Amazon AWS.
Il tutorial (pubblicitario) del fighissimo servizio di analisi facciale di AWS... dice tutto, tranne una cosa: non lo puoi usare se non chiedi il permesso!
Non c'è traccia di avvertimento, non si cita mai la normativa (il GDPR), non si fa cenno al contesto, non si suggerisce di avere una base di legittimazione o anche solo una finalità legittima per farlo.
Peccato che, per usare un sistema di riconoscimento facciale e profilazione, ci siano molte implicazioni lato privacy: occorre COME MINIMO il consenso, serve una informativa, bisogna "fare delle cose" (adempimenti, documenti, valutazioni, registri, incarichi, ecc)
Oggi parliamo di ARETI spa (gruppo @AceaGruppo)
Il Garante Privacy ha sanzionato per € 1.000.000 e obbligato l'azienda ad aggiornare/correggere i dati che tratta.
Una batosta notevole che arriva non senza una ragione.
Vediamo alcune luci e ombre del provvedimento del @GPDP_IT
Areti ha trattato per anni dati senza alcuna procedura di controllo per garantirne l'esattezza e l'aggiornamento.
Questo ha coinvolto 16.743 clienti e ha portato a 47.767 casi di richieste di variazione di gestore non accettate dall'operatore con evidenti danni per gli utenti.
Il sistema informativo integrato, permette il passaggio da un gestore all'altro, da una tariffa all'altra.
Ovviamente serve per ripartire i pagamenti pro quota, ma viene usato anche come valutazione di affidabilità dell'utente.
Il Conservatorio Santa Cecilia (Roma) è stato sanzionato dal Garante Privacy (@GPDP_IT) per aver utilizzato la registrazione di una assemblea studentesca "trovata" su una pendrive usb rinvenuta per caso.
È ILLECITO FARLO = € 6.000
Segue
Il provvedimento evidenzia vari temi tra i quali l'uso illegittimo di dati rinvenuti per caso, il fatto di non poter considerare pubbliche le parole dette in una assemblea aperta, la nomina di un DPO in conflitto di interessi, aver condiviso i dati con terzi in modo illecito.
Molto bello lo spiegone del Garante sul concetto di "dato resto manifestamente pubblico dall'interessato" e sul fatto che sia irrilevante che l'assemblea online fosse accessibile a chiunque tramite un link diffuso sui social.
NON SI POSSONO USARE I DATI CARPITI NELL'OMBRA.
Di nuovo, oggi, il Garante pubblica un provvedimento e sanziona il COMUNE di CISTERNA DI LATINA @ComuneCisterna
€5000 ed errori nella gestione degli adempimenti in materia di protezione dei dati personali.
il Comune ha comunicato dati riservati in due accessi agli atti, ha omesso di nominare per diversi mesi un nuovo RPD dopo le dimissioni del precedente e non ha dato riscontro agli interessati.
Una tripletta niente male.
cosa imparare?
Innanzitutto non rimanere mai senza DPO.
L'interregno deve essere breve, brevissimo. Non si può tergiversare e le lungaggini burocratiche per la nomina non sono una scusante.
Nel caso specifico 9 mesi sono stati considerati TROPPI per la nomina del nuovo DPO.
Regione Lazio riceve una sanzione pesantissima dal Garante Privacy. €100.000 + Limitazione del trattamento + cancellazione dei dati.
Una batosta INCREDIBILE motivata da violazioni gravissime... Regione Lazio, con l'indispensabile supporto di Lazio Crea, non poteva fare peggio!
Il trattamento illecito riguarda l'uso scorretto delle email utilizzate dagli avvocati della regione e dai controlli datoriali. Tutto effettuato in palese violazione del GDPR e dello statuto dei lavoratori.
Vediamo nel dettaglio le principali violazioni accertate dal Garante:
0) mancanza di trasparenza e assenza di adeguata informativa.
1) assenza di base di legittimazione del trattamento
2) controllo a distanza dei lavoratori in violazione dell'art 4 dello statuto e al di fuori dei casi di uso ammessi per gli strumenti di controllo a distanza.