Sommario
Il Garante per la protezione dei dati personali ha recentemente emesso una serie di provvedimenti che mettono in luce criticità nella gestione della privacy da parte di aziende e istituzioni pubbliche. Wind Tre è stata multata per telemarketing aggressivo e violazioni nella protezione dei dati degli utenti, mentre una società di riabilitazione creditizia ha ricevuto una sanzione per gravi irregolarità nel trattamento delle informazioni finanziarie di migliaia di persone. Anche il Comune di Brescia è stato coinvolto in una controversia legata alla gestione delle sepolture dei feti nel cimitero cittadino. Parallelamente, l’Autorità ha dato il via libera al nuovo decreto sulla telemedicina, imponendo condizioni più stringenti per la tutela della privacy dei pazienti.
Wind Tre e il telemarketing fuori controllo
L’Autorità ha imposto a Wind Tre una sanzione di 347mila euro a seguito di un’istruttoria avviata in seguito a numerose segnalazioni da parte degli utenti. Le indagini hanno rivelato che l’azienda si avvaleva di partner commerciali che utilizzavano liste di contatti raccolte senza adeguate garanzie, spesso provenienti da soggetti extra-UE privi delle necessarie tutele in materia di protezione dei dati. Molti clienti hanno lamentato di aver ricevuto telefonate promozionali senza aver mai fornito il proprio consenso.
Le violazioni non si sono limitate alle pratiche di telemarketing. Un’ulteriore criticità è emersa nella gestione delle aree riservate del sito web dell’operatore telefonico, dove un cliente ha segnalato di aver potuto visualizzare i dati personali di un altro utente. L’indagine ha confermato la presenza di falle nei sistemi di sicurezza informatica e la mancata notifica della violazione all’Autorità, aggravando la posizione della società.
Riabilitazione creditizia e gestione illecita dei dati
Un’altra indagine condotta dal Garante, con il supporto della Guardia di Finanza, ha portato a una sanzione di 70mila euro nei confronti di una società specializzata nella riabilitazione creditizia. L’azienda gestiva un archivio con i dati di oltre 70mila persone, ma la raccolta e la conservazione delle informazioni avvenivano senza adeguate misure di tracciabilità. Il principale problema evidenziato dall’istruttoria riguardava la sovrapposizione tra il ruolo del responsabile della protezione dei dati e quello del rappresentante legale della società, una condizione che comprometteva il principio di indipendenza richiesto dal GDPR.
Un’altra grave irregolarità è emersa nella gestione della banca dati aziendale. L’assenza di meccanismi per individuare quale società avesse raccolto le informazioni personali ha reso impossibile per i clienti stabilire chi avesse accesso ai loro dati. La conservazione delle informazioni era inoltre priva di limiti temporali definiti, contravvenendo ai principi di minimizzazione e proporzionalità stabiliti dal Regolamento europeo.
Il caso delle sepolture dei feti a Brescia
Il Comune di Brescia è stato sanzionato per 10mila euro a seguito di un’indagine che ha portato alla luce una gestione illecita dei dati personali all’interno del sistema cimiteriale. Nella sezione del cimitero dedicata alle sepolture dei feti, i nomi convenzionali assegnati erano associati al cognome della madre e alla data di interruzione della gravidanza. Questa pratica, oltre a costituire una violazione del divieto di diffusione di dati sanitari sensibili, ha esposto informazioni personali senza il consenso delle donne coinvolte.
L’Autorità ha ritenuto che l’abbinamento del cognome materno con la data dell’evento potesse consentire l’identificazione della persona, soprattutto attraverso l’incrocio con altre fonti di dati. Nel corso dell’istruttoria, l’amministrazione comunale ha adottato misure correttive per rimuovere i riferimenti personali, introducendo un sistema di codici anonimi per l’identificazione delle sepolture e limitando le informazioni visibili nel portale dei servizi cimiteriali online.
Nuove garanzie per la telemedicina
Accanto alle sanzioni, il Garante ha dato il via libera al decreto del Ministero della Salute che disciplina il trattamento dei dati personali all’interno della Piattaforma Nazionale di Telemedicina (PNT) prevista dal PNRR. La versione definitiva del provvedimento ha recepito una serie di modifiche richieste dall’Autorità per garantire maggiore tutela alla privacy dei pazienti.
Il nuovo schema impone l’obbligo di una valutazione d’impatto preventiva, necessaria per valutare i rischi legati alla gestione dei dati sanitari. Sono state introdotte misure di sicurezza rafforzate, tra cui sistemi avanzati di cifratura, strumenti di prevenzione delle intrusioni e meccanismi di monitoraggio delle attività sospette. Su richiesta del Garante, particolare attenzione è stata posta alla protezione delle identità digitali dei pazienti, per evitare rischi di accesso non autorizzato alle informazioni cliniche.
Il provvedimento prevede inoltre un aggiornamento delle linee guida per i servizi di telemedicina, in modo da adeguarle alle nuove disposizioni del Regolamento europeo e alle recenti evoluzioni in materia di gestione dei dati sanitari.
Le recenti decisioni del Garante confermano l’urgenza di una maggiore regolamentazione nella gestione dei dati personali, sia nel settore privato che nelle amministrazioni pubbliche. Il caso Wind Tre dimostra la necessità di un controllo più rigoroso sulle pratiche di telemarketing, mentre la vicenda del Comune di Brescia solleva interrogativi sulla tutela della riservatezza nei servizi pubblici.
L’approvazione del decreto sulla telemedicina rappresenta un passo avanti nella protezione dei dati sanitari, ma evidenzia al contempo la complessità di garantire un equilibrio tra digitalizzazione e sicurezza delle informazioni sensibili. Il futuro della privacy si giocherà sempre più sulla capacità delle aziende e delle istituzioni di adottare misure efficaci per prevenire violazioni e garantire il rispetto dei diritti degli utenti.
