sanzioni

Francia: sanzione a Google e Amazon per utilizzo di cookie “tracciatori” senza consenso

by

L’utilizzo senza consenso di cookie di tracciamento costa ad Amazon una sanzione di 35 milioni di euro e a Google un totale di 100 milioni di euro. Si tratta di sanzioni comminate il 7 dicembre 2020 dall’autorità di controllo francese, il CNIL, dopo le verifiche effettuate nel corso del 2020.

Tra il dicembre 2019 ed il maggio 2020, il CNIL ha effettuato ripetute indagini online sul funzionamento del sito amazon.fr. Tali verifiche appurarono che quando un utente visitava il sito, i cookies venivano automaticamente archiviati sul suo PC senza che nessuna azione venisse richiesta all’utente. Diversi di questi cookie erano utilizzati per scopi pubblicitari. Il CNIL ricorda come questa tipologia di cookie, non necessaria per la navigazione nel sito richiesta dall’utente, possa essere memorizzata nel PC dell’utente solo dopo avere ricevuto il suo consenso. La memorizzazione di questi cookie nel PC dell’utente nel momento stesso in cui questo apre il sito di destinazione è una pratica incompatibile con la necessità del consenso preventivo.

L’autorità francese ha osservato anche come le informazioni fornite a chi apriva la homepage amazon.fr fossero poco chiare e incomplete. In particolare:

  • il banner obbligatorio mostrato all’apertura della pagina non indicava esplicitamente all’utente che i cookie utilizzati fossero utilizzati principalmente per inviare annunci pubblicitari personalizzati;
  • il banner non spiegava che l’utente poteva rifiutare l’installazione di questi cookie e non spiegava come fare;
  • la mancata informazione risulta ancora più chiara se si pensa che i cookie di tracciamento venivano memorizzati anche quando il visitatore arrivava alla pagina amazon.fr dopo avere cliccato sulla pubblicità presente in altri siti e che nemmeno in quel caso venivano mostrate le necessarie informazioni.

Considerando la gravità della violazione, l’autorità francese ha deciso di sanzionare Amazon e di rendere pubblico il provvedimento.

Una simile indagine è stata effettuata nel marzo 2020 sul sito google.fr rilevando analoghe violazioni, con in aggiunta un parziale fallimento del meccanismo proposto da Google per bloccare l’installazione dei cookies di tracciamento e l’aggravante del gran numero di utenti coinvolti e del fatto che Google beneficia di elevati profitti derivanti dagli introiti pubblicitari generati indirettamente dai dati raccolti dai cookie di tracciamento.

(fonte: CNIL)

Controllo di accessi mancante in ospedale: sanzione

by

L’autorità di controllo norvegese ha sanzionato per circa 72.000 euro l’ospedale “Østfold HF Hospital” per avere archiviato nei propri server informazioni sensibili sui propri pazienti in cartelle prive di controllo di accessi senza che ci fossero log di sistema in grado di tracciare le attività su tali cartelle. Le informazioni riguardano circa 14.000 persone suddivise in tre liste contenenti informazioni varie tra cui, in diversi casi, le ragioni del ricovero. L’analisi condotta ha appurato che all’interno dell’ospedale avevano accesso a queste cartelle 118 persone, alcune delle quali senza avere una mansione che giustificasse la consultazione di tali dati.

La Norvegian Data Protection Authority ha considerato che la struttura sanitaria avrebbe dovuto predisporre un sistema di controllo di accesso ed una procedura di verifica periodica sull’efficacia di tale sistema.

(fonte: EDPB)

Telemarketing in violazione al GDPR: sanzione del Garante

by

Il Garante per la Protezione dei Dati Personali ha sanzionato Vodafone per oltre 12 milioni di euro dopo avere appurato un trattamento illecito di dati personali di milioni di utenti con finalità di telemarketing. Il Garante ha anche ordinato alla società di adottare una serie di misure per rendere conformi i trattamenti. La decisione segue i provvedimenti prescrittivi e sanzionatori presi per motivi analoghi in data 8 maro 2018 e 5 luglio 2018 nonché le segnalazioni ed i reclami che il Garante ha ricevuto da dicembre 2018 al giugno 2020, aprendo 438 fascicoli nei confronti di Vodafone prevalentemente riguardanti attività di telemarketing.

L’istruttoria del Garante ha rilevato come i trattamenti siano stati svolti in violazione dell’obbligo del consenso e dei principi di protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita di cui all’art. 25 del GDPR. Un gran numero di contatti sono stati acquisiti da partner esterni i quali a loro volta avevano ricevuto tali liste da altre aziende, trasferendo i contatti a Vodafone senza il necessario consenso degli utenti. Vodafone, afferma il Garante, avrebbe dovuto attuare controlli sull’esistenza e la correttezza di tali consensi. In generale il Garante ha ordinato l’adozione di sistemi che consentano di com provare che i trattamenti per finalità di telemarketing avvengano in conformità alle disposizioni in materia di consenso, dovrà dimostare che i contatti siano attivati solo in seguito di chiamate promozionali effettuate dalla sua rete di vendita, attraverso numerazioni censite e iscritte al ROC (Registro unico degli Operatori di Comunicazione) e dovrà irrobustire le misure di sicurezza finalizzate ad impedire gli accessi abusivi al database dei clienti.

La sanzione a Vodafone fa seguito ai provvedimenti recenti nei confronti di Wind Tre SpA (compreso quello collegato nei confronti di Merlini Srl) e di Iliad SpA.

(fonte: Garante Privacy)