NEWSLETTER del 25 giugno 2025 – Il Garante privacy sanziona Autostrade…

NEWSLETTER N. 536 del 25 giugno 2025

Il Garante privacy sanziona Autostrade spa per 420mila euro
Trattati illecitamente i dati di una lavoratrice poi utilizzati per giustificarne il licenziamento

Sanzione di 420mila euro del Garante privacy ad Autostrade per l’Italia Spa per aver trattato in modo illecito i dati personali di una dipendente, poi utilizzati per giustificarne il licenziamento. L’intervento dell’Autorità è seguito al reclamo della lavoratrice che aveva segnalato l’utilizzo, da parte della società, di contenuti estratti dal proprio profilo Facebook e da chat private su Messenger e WhatsApp per motivare i procedimenti disciplinari a proprio carico.

Tra i contenuti utilizzati figuravano anche stralci virgolettati di commenti e descrizioni di foto. Dagli accertamenti del Garante è emerso che i contenuti erano stati utilizzati dal datore di lavoro senza una base giuridica valida, attraverso screenshot forniti da alcuni colleghi e da un soggetto terzo, presenti tra gli “amici” della dipendente su Facebook e attivi nelle sue conversazioni private su Messenger e WhatsApp. Le comunicazioni, inoltre, riguardavano opinioni e scambi avvenuti in contesti estranei al rapporto di lavoro, non rilevanti ai fini della valutazione dell’idoneità professionale.

Nel motivare la sanzione, il Garante ha sottolineato che una volta accertato il carattere privato delle conversazioni e dei commenti – pubblicati, tra l’altro, in ambienti digitali ad accesso limitato – la società avrebbe dovuto astenersi dal farne uso. L’impiego di tali informazioni, infatti, ha violato i principi di liceità, finalità e minimizzazione previsti dalla normativa privacy. L’Autorità ha inoltre ribadito che i dati personali presenti sui social network, o comunque accessibili online, non possono essere utilizzati liberamente e per qualunque scopo, solo perché visibili a una platea più o meno ampia di persone.

Anche nell’ambito dell’attività disciplinare il datore di lavoro è tenuto a bilanciare correttamente tale potere con i diritti e le libertà fondamentali riconosciuti agli interessati. Il principio di finalità, ha ricordato l’Autorità, impone che i dati siano raccolti per scopi specifici, espliciti e legittimi, e trattati in modo coerente con tali scopi. Pertanto, l’utilizzo nel procedimento disciplinare di messaggi scambiati su canali privati di comunicazione è avvenuto in violazione della segretezza e riservatezza della corrispondenza, dunque in assenza di una giustificazione normativa.

Nel determinare l’ammontare della sanzione, il Garante ha considerato sia la gravità della violazione che il fatturato della società.

Lavoro: no alle impronte digitali per la rilevazione presenze 
Il Garante sanziona un istituto scolastico 

L’uso dei dati biometrici sul posto di lavoro è consentito solo se previsto da una norma specifica che tuteli i diritti dei lavoratori. Tale trattamento deve rispondere a un interesse pubblico e rispettare criteri di necessità e proporzionalità rispetto all’obiettivo perseguito.

È quanto ha ribadito il Garante privacy che, a seguito di un reclamo, ha sanzionato un Istituto di istruzione superiore di Tropea per 4mila euro per aver impiegato un sistema di riconoscimento biometrico che, allo scopo di rilevarne la presenza e di prevenire danneggiamenti e atti vandalici, richiedeva l’uso delle impronte digitali del personale amministrativo. I lavoratori coinvolti erano quelli che avevano rilasciato il proprio consenso e che non intendevano ricorrere a modalità tradizionali di attestazione della propria presenza in servizio.

Nel rilevare la violazione della normativa privacy, italiana ed europea, il Garante ha ricordato quanto già espresso in un precedente parere del 2019: non può ritenersi proporzionato l’uso sistematico, generalizzato e indifferenziato per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze, a causa dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato. La mancanza di un’idonea base giuridica, in merito al trattamento dei dati biometrici, non può essere colmata neppure dal consenso dei dipendenti che non costituisce, di regola, un valido presupposto per il trattamento dei dati personali in ambito lavorativo, sia pubblico che privato, a causa dell’asimmetria tra le rispettive parti del rapporto di lavoro.

Nel definire la sanzione il Garante ha tuttavia tenuto conto sia della buona collaborazione offerta dall’Istituto nell’ambito dell’istruttoria che dell’assenza di precedenti violazioni analoghe.

Marketing: il Garante sanziona per 45mila euro una società di rivendita auto online
E-mail senza consenso e mancato controllo sulla filiera dei partner

Il Garante privacy ha comminato una sanzione di 45mila euro a un rivenditore di auto online per trattamento illecito di dati personali ai fini di marketing.

Il procedimento trae origine dal reclamo di un cliente che lamentava la ricezione di numerose e-mail indesiderate e il mancato riscontro alle richieste di esercizio dei diritti sanciti dal Regolamento. Nel reclamo, l’interessato precisava di aver ricevuto i messaggi da indirizzi e-mail sempre diversi, facenti capo a partner promozionali della società di cui ignorava l’esistenza. Numerosi gli illeciti riscontrati. In particolare, il Garante ha accertato che la società non aveva disciplinato correttamente i rapporti con i partner pubblicitari che potevano così trattare i dati dei clienti senza alcun controllo e in violazione della normativa privacy. Il rivenditore di auto avrebbe infatti dovuto adottare misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che i trattamenti effettuati da terzi, fossero conformi al Regolamento e che l’interessato avesse prestato il proprio consenso alla ricezione di messaggi pubblicitari. Al riguardo, il Garante ribadisce che tra le misure minime che i titolari del trattamento devono adottare vi è l’acquisizione dei consensi in modalità double opt-in, un processo che richiede agli utenti di confermare due volte la propria intenzione di iscriversi a contenuti promozionali, garantendo così maggiori tutele sia per gli interessati che per i titolari.

Per quanto riguarda il mancato riscontro alle richieste di esercizio dei diritti, il Garante ha accertato che l’errata qualificazione dei ruoli ha vanificato l’opposizione manifestata dal cliente: l’inserimento in black list effettuato dalla società non aveva infatti prodotto alcun risultato sui partner che avevano continuato a inviare le comunicazioni promozionali. Tenuto conto che la società ha rescisso i contratti con i partner e ha interrotto l’attività pubblicitaria tramite e-mail, il Garante non ha ingiunto misure correttive.

G7 Privacy: azioni comuni per un ambiente digitale più sicuro
Concluso a Ottawa, il vertice delle Autorità di protezione dei dati dei 7 Grandi

Promuovere la fiducia nell’economia digitale e sostenere l’innovazione nel rispetto della privacy e della protezione dei dati personali. È questo l’impegno condiviso dalle Autorità di protezione dei dati personali con la Dichiarazione approvata a conclusione del G7 Privacy che si è svolto in Canada il 17, 18, 19 e 20 giugno. Secondo i Garanti le azioni comuni intraprese contribuiranno a creare un ambiente digitale più sicuro per il futuro. Il trattamento dei dati dovrebbe essere progettato per servire l’umanità, per questo le Autorità incoraggiano sviluppatori e innovatori a riflettere sui contenuti della dichiarazione approvata a Ottawa. Inoltre, dando seguito al Piano d’azione adottato al G7 di Roma nel 2024, le Autorità invitano a promuovere un’innovazione responsabile e a proteggere i minori, dando priorità alla privacy. “I bambini vogliono e hanno il diritto di essere cittadini digitali attivi – sostiene la dichiarazione – e meritano una protezione forte e adeguata, che tenga conto dei loro interessi e permetta loro di partecipare pienamente al mondo digitale”.

Nel corso del vertice, inoltre, è stato dato conto delle attività dei tre gruppi di lavoro del G7 privacy: Libera e responsabile circolazione dei dati (DFFT), Tecnologie emergenti e intelligenza artificiale e Cooperazione per l’attuazione di regole comuni. L’obiettivo è l’adozione a dicembre, nel corso di una riunione programmata, dei restanti documenti sui temi affrontati, che riguardano tra gli altri: le procedure per rendere operativa la DFFT in un contesto globale; l’uso responsabile dei dati nei dispositivi smart home; la definizione di un modello condiviso di applicazione della normativa sulla protezione dei dati.

Il Collegio del Garante italiano, rappresentato dal presidente Pasquale Stanzione, dalla vicepresidente Ginevra Cerrina Feroni e dai componenti Agostino Ghiglia e Guido Scorza, ha partecipato attivamente a tutti i tavoli di lavori, alle discussioni collegiali, con interventi e dichiarazioni, oltre agli eventi collaterali del G7, in tema di tecnologie per il rafforzamento e il miglioramento della privacy (PETs) e al Privacy Symposium finale sulle prospettive della protezione dei dati personali nell’era digitale.

In particolare, la prof.ssa Cerrina Feroni, nell’ambito dell’evento svoltosi il 16 e il 17 giugno organizzato dall’Ocse, dal Governo canadese e dall’Agenzia per l’innovazione digitale giapponese, ha tenuto una relazione sul ruolo delle Autorità di protezione dati personali nella promozione delle PETs, alla quale si sono aggiunte le riflessioni nel dibattito presentate dal dott. Ghiglia.

Al presidente Stanzione è stato poi chiesto un intervento di apertura ai lavori del G7 volto ad evidenziare il “passaggio di testimone” rispetto all’edizione romana del 2024. La vicepresidente ha, quindi, illustrato il volume preparato dal Garante italiano contenente i documenti e gli interventi del G7 2024, che è stato consegnato a tutti i partecipanti. Quanto ai contenuti più specifici, tra i vari temi affrontati dal Collegio del Garante nelle varie sessioni, il dott. Ghiglia è intervenuto sulla libera e responsabile circolazione dei dati sostenendo la crucialità della cooperazione tra le giurisdizioni, in particolar modo al di fuori dello Spazio economico europeo, per supportare e facilitare flussi di dati transfrontalieri sicuri, affidabili e conformi alla normativa sulla protezione dei dati personali.

L’avv. Scorza ha affrontato la questione delle nuove tecnologie con riguardo alle possibilità che esse possono aprire anche per la protezione dei dati personali, la prof.ssa Cerrina Feroni ha esaminato il ruolo dell’enforcement al fine di individuare strategie comuni alla luce delle analogie e delle differenze dei vari ordinamenti giuridici. Il Presidente ha concluso con un intervento sulle prospettive future del G7 sia sotto il profilo delle procedure che degli ambiti di azione futura.

L’avv. Scorza ha partecipato a Ottawa al Privacy Symposium del 20 giugno, intervenendo nell’ambito della tavola rotonda fra le varie autorità presenti al G7 per sottolineare come non si possa continuare a sacrificare il best interest del minore sull’altare del mercato e degli interessi commerciali, mentre il presidente Stanzione, la vicepresidente Cerrina Feroni, il componente Ghiglia a Montreal, invitati dalla McGill University, sono stati protagonisti di un dibattito pubblico sul ruolo del Garante italiano in ambito di intelligenza artificiale e dati sanitari e sui temi affrontati nel G7.

L’ATTIVITÀ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

• Il Collegio del Garante privacy incontra l’Ambasciatore d’Italia a Ottawa – Comunicato del 24 giugno 2025

• Al via a Ottawa il quinto G7 delle Autorità privacy – Comunicato del 18 giugno 2025

• Protezione dei dati personali: il Garante ospita una delegazione dalla Bosnia -Erzegovina per un ciclo di seminari – 9 giugno 2025

• Sharenting: dal Garante privacy consigli per genitori troppo social. Nel secondo episodio del podcast del Garante l’eccessiva condivisione online di immagini dei figli piccoli – Comunicato del 4 giugno 2025

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 – 00187 Roma.
Tel: 06.69677.2751 – Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it