Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude

Scritto il 14 Luglio 2024

Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito

Chiamate promozionali effettuate senza il consenso dell’interessato o rivolte a numeri iscritti al Registro pubblico delle opposizioni e assenza di controlli sui contratti acquisiti tramite contatti illeciti: il Garante per la protezione dei dati personali ha sanzionato Eni Plenitude per 6.419.631 euro.

Il provvedimento arriva a seguito di ben 108 segnalazioni e 7 reclami nei confronti della società, che lamentavano la ricezione di telefonate indesiderate.

Nel corso dell’istruttoria, il Garante ha anche chiesto a Eni Plenitude i dati delle proposte di acquisto effettuate dalla rete di vendita e concluse con l’attivazione di servizi energetici, relativi a una “settimana campione”: su 747 contratti stipulati nel periodo di tempo individuato, 657 sono arrivati da un contatto illegittimo. Numeri che, se fossero ipoteticamente proiettati su un anno, porterebbero a 32.850 forniture attivate in modo illecito.

Leggi tutto

FSE 2.0, Garante Privacy: al via procedimenti nei confronti di 18 Regioni e 2 Province autonome

Scritto il 14 Luglio 2024

La grave situazione segnalata al Presidente del Consiglio e al Ministro della salute nei giorni scorsi

È urgente intervenire per tutelare i diritti di tutti gli assistiti italiani coinvolti nel trattamento dei dati sulla salute effettuato attraverso il Fascicolo Sanitario Elettronico 2.0.

Con questa motivazione il Garante Privacy ha notificato a 18 Regioni e alle Province autonome di Bolzano e Trento l’avvio di procedimenti correttivi e sanzionatori per le numerose violazioni riscontrate nell’attuazione della nuova disciplina sul FSE 2.0, introdotta con il decreto del Ministero della salute del 7 settembre 2023.

Nei giorni precedenti la grave situazione e l’urgenza di interventi correttivi era stata segnalata al Presidente del Consiglio dei Ministri e al Ministro della salute.

Leggi tutto

GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT

Scritto il 15 Giugno 2024

Quali sono i principi di protezione dei dati personali applicabili a ChatGPT? È la domanda a cui risponde il Report sul lavoro della task force del Comitato europeo (EDPB), creata lo scorso anno per promuovere la cooperazione tra le Autorità di protezione dei dati personali che indagano a livello nazionale sul chatbot di OpenAI.

Nel valutarne la liceità, il Report suggerisce di distinguere le diverse fasi del trattamento: raccolta dati per addestramento, compresi web scraping o riutilizzo di set di dati; pre-elaborazione, compreso il filtraggio; addestramento; prompt e output di ChatGPT; addestramento di ChatGPT con prompt.

Particolare attenzione viene riservata al web scraping. Per la raccolta dei dati, OpenAI ha individuato come base giuridica il legittimo interesse del titolare. Una condizione che – ricorda l’EDPB– deve essere bilanciata con diritti e le libertà fondamentali degli interessati. Benché le istruttorie siano ancora in corso, il Comitato europeo suggerisce alcune garanzie che potrebbero rendere lecito il legittimo interesse, come la definizione di criteri di raccolta e l’esclusione di determinate categorie di dati e fonti (es: profili pubblici sui social). Ulteriori misure adottabili potrebbero essere la cancellazione o l’anonimizzazione dei dati personali prima della fase di addestramento.

Leggi tutto

Servizi cloud per la P.A.: ok del Garante Privacy al Regolamento di ACN

Scritto il 15 Giugno 2024

Parere favorevole del Garante Privacy sullo schema di Regolamento per le infrastrutture digitali e per i servizi cloud della PA. Lo schema di decreto, predisposto dall’Agenzia per la cybersicurezza nazionale (ACN), sostituisce l’atto adottato in precedenza dall’Agenzia per l’Italia digitale (AGID).

Lo schema di Regolamento tiene conto delle indicazioni fornite dal Garante nel corso delle interlocuzioni. Il documento introduce un nuovo articolo dedicato alla corretta applicazione della normativa privacy, che mira ad assicurare il controllo, da parte delle Pubbliche Amministrazioni, su tutti i soggetti che intervengono nel trattamento dei dati. In particolare, attribuisce alle PA il ruolo di titolari del trattamento, mentre gli operatori di infrastrutture digitali e i fornitori di servizi cloud vengono indicati quali responsabili del trattamento.

Il testo stabilisce inoltre l’obbligo per i responsabili del trattamento di adottare misure che garantiscano una tempestiva e adeguata informazione da parte delle amministrazioni in caso di data breach, considerata la mole e la delicatezza dei dati trattati (dati sulla salute, dati fiscali). I responsabili del trattamento dovranno poi fornire alle PA idonei strumenti di controllo delle attività di trattamento effettuate da eventuali sub responsabili.

Leggi tutto