Le ultime attività del Garante Privacy in materia di forniture di luce e gas, design ingannevole, giornalismo e d.lgs resilienza.

Con la newsletter n. 527 sono stati rese note le attività esperita dal Garante Privacy in vari ambiti, quali la fornitura di energia elettrica e gas, design ingannevole, giornalismo e d.lgs. resilienza. 

In primis, rilevante la sanzione di 5 milioni di euro emessa dal Garante per la protezione dei dati personali nei confronti di Hera Comm S.p.A a causa delle gravi violazioni riscontrate nel trattamento dei dati personali di oltre 2.300 clienti nel settore della fornitura di energia e gas.  

Questo intervento è scaturito dalle numerose segnalazioni da parte di utenti che lamentavano l’instaurazione di contratti mai sottoscritti, dei quali venivano a conoscenza soltanto a seguito della ricezione di documentazione, da parte di Hera, sottoscritta con firme apocrife o di attivazione della fornitura di energia e gas, senza che gli utenti avessero mai interagito con l'azienda. Inoltre, si segnalava l’inesatto o tardivo riscontro alle richieste di esercizio dei diritti privacy ai sensi del Regolamento. 

Le indagini hanno rivelato che Hera non aveva adottato le adeguate misure di sicurezza per prevenire l'utilizzo fraudolento dei dati dei clienti da parte degli agenti porta a porta, i quali acquisivano informazioni personali scattando foto dei documenti d'identità dei clienti per attivare contratti e polizze assicurative senza autorizzazione. Il sistema di monitoraggio della società tramite telefonate di verifica della volontà del cliente è risultato inefficace, poiché in molti casi le attivazioni avvenivano nonostante la mancata risposta del cliente. 

Di conseguenza, il Garante ha non solo multato Hera, ma ha anche ordinato l'adozione di misure correttive e la specificazione dei tempi di conservazione dei dati per ciascuna categoria e finalità di trattamento. 

Il Garante ha inoltre, partecipato al Privacy Sweep, un'indagine internazionale sul design ingannevole chiamato "dark pattern" relativamente alla gestione dei cookie e all'eliminazione degli account su siti web e app. Le autorità di protezione dati hanno individuato la presenza di design ingannevoli in quasi il 97% dei casi esaminati su 899 siti web e 111 app. Il Garante italiano, in particolare, si è focalizzato su 50 siti web dedicati ai servizi e ha notato che i banner sui cookie mostravano in modo troppo evidente l'opzione meno favorevole per la privacy, costringendo l'utente in numerosi casi ad accettare tutti i cookie. Inoltre, ha osservato che la cancellazione degli account risultava spesso complessa a causa di procedure lunghe e disincentivanti per l'utente. 

Si è poi pronunciato in materia di giornalismo, sanzionando una rivista online, la quale aveva pubblicato una sentenza di un Tribunale in cui venivano riportati i nomi, le residenze nonché il periodo di permanenza dei minori presso strutture di accoglienza. Il Garante ha ribadito l'importanza di preservare la riservatezza e la dignità dei minori nell'ambito delle pubblicazioni di articoli relativi a fatti giudiziari, oscurando nomi e dettagli.  

Il Garante ha infine, accolto positivamente lo schema legislativo che recepisce la Direttiva europea sulla resilienza dei soggetti critici, sebbene richieda precisazioni rispetto alla verifica dei precedenti penali per coloro che rivestono ruoli sensibili, oltre a ritenere necessario stabilire chiaramente quali precedenti siano ritenuti "rilevanti" e a regolare la conservazione dei certificati del casellario giudiziale europei.