NEWSLETTER PRIVACY 8/2025

AGOSTO 2025

Il Garante Privacy blocca la diffusione delle immagini dell’autopsia di Chiara Poggi Lesione gravissima della dignità della vittima e dei suoi familiari.

Il Garante Privacy ha disposto, d’ufficio e in via d’urgenza, con provvedimento dell’11.07.2025 il blocco nei confronti di un soggetto che sta rendendo disponibile online, a pagamento, un video contenente le immagini dell’autopsia di Chiara Poggi.

Con lo stesso provvedimento, l’Autorità avverte i media e i siti web che l’eventuale diffusione delle immagini risulterebbe illecita in quanto in contrasto con le Regole deontologiche dei giornalisti e la normativa privacy.

Il Garante invita dunque chiunque entri nella disponibilità di tali immagini, compresi i mezzi di informazione, ad astenersi dalla loro diffusione che anche in considerazione della violenza esercitata nei confronti della vittima lederebbe in modo gravissimo la sua dignità e quella dei suoi familiari.

L’Autorità si è riservata l’adozione di ulteriori provvedimenti anche di carattere sanzionatorio.

Sanzione di 420mila euro del Garante Privacy ad Autostrade per l’Italia S.p.A. per aver trattato in modo illecito i dati personali di una dipendente, poi utilizzati per giustificarne il licenziamento.

L’intervento dell’Autorità è seguito al reclamo della lavoratrice che aveva segnalato l’utilizzo, da parte della società, di contenuti estratti dal proprio profilo Facebook e da chat private su Messenger e WhatsApp per motivare i procedimenti disciplinari a proprio carico. Tra i contenuti utilizzati figuravano anche stralci virgolettati di commenti e descrizioni di foto.

Dagli accertamenti del Garante è emerso che i contenuti erano stati utilizzati dal datore di lavoro senza una base giuridica valida, attraverso screenshot forniti da alcuni colleghi e da un soggetto terzo, presenti tra gli “amici” della dipendente su Facebook e attivi nelle sue conversazioni private su Messenger e WhatsApp.

Le comunicazioni, inoltre, riguardavano opinioni e scambi avvenuti in contesti estranei al rapporto di lavoro, non rilevanti ai fini della valutazione dell’idoneità professionale. Nel motivare la sanzione, il Garante ha sottolineato che una volta accertato il carattere privato delle conversazioni e dei commenti pubblicati, tra l’altro, in ambienti digitali ad accesso limitato la società avrebbe dovuto astenersi dal farne uso.

L’impiego di tali informazioni, infatti, ha violato i principi di liceità, finalità e minimizzazione previsti dalla normativa privacy. L’Autorità ha inoltre ribadito che i dati personali presenti sui social network, o comunque accessibili online, non possono essere utilizzati liberamente e per qualunque scopo, solo perché visibili a una platea più o meno ampia di persone. Anche nell’ambito dell’attività disciplinare il datore di lavoro è tenuto a bilanciare correttamente tale potere con i diritti e le libertà fondamentali riconosciuti agli interessati.

Il principio di finalità, ha ricordato l’Autorità, impone che i dati siano raccolti per scopi specifici, espliciti e legittimi, e trattati in modo coerente con tali scopi. Pertanto, l’utilizzo nel procedimento disciplinare di messaggi scambiati su canali privati di comunicazione è avvenuto in violazione della segretezza e riservatezza della

Garante Privacy: lavoro, no alle impronte digitali per la rilevazione presenze il Garante sanziona un istituto scolastico.

Il Garante per la protezione dei dati personali, con provvedimento del 4.06.2025, ha affermato che l’uso dei dati biometrici sul posto di lavoro è consentito solo se previsto da una norma specifica che tuteli i diritti dei lavoratori.

Tale trattamento deve rispondere a un interesse pubblico e rispettare criteri di necessità e proporzionalità rispetto all’obiettivo perseguito.

Su tale presupposto, il Garante Privacy, a seguito di un reclamo, ha sanzionato un Istituto di Istruzione superiore di Tropea per 4mila euro per aver impiegato un sistema di riconoscimento biometrico che, allo scopo di rilevarne la presenza e di prevenire danneggiamenti e atti vandalici, richiedeva l’uso delle impronte digitali del personale amministrativo.

I lavoratori coinvolti erano quelli che avevano rilasciato il proprio consenso e che non intendevano ricorrere a modalità tradizionali di attestazione della propria presenza in servizio.

Nel rilevare la violazione della normativa privacy, italiana ed europea, il Garante ha ricordato quanto già espresso in un precedente parere del 2019: non può ritenersi proporzionato l’uso sistematico, generalizzato e indifferenziato per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze, a causa dell’invasività tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato.

La mancanza di un’idonea base giuridica, in merito al trattamento dei dati biometrici, non può essere colmata neppure dal consenso dei dipendenti che non costituisce, di regola, un valido presupposto per il trattamento dei dati personali in ambito lavorativo, sia pubblico che privato, a causa dell’asimmetria tra le rispettive parti del rapporto di lavoro.

Nel definire la sanzione il Garante ha tuttavia tenuto conto sia della buona collaborazione offerta dall’Istituto nell’ambito dell’istruttoria che dell’assenza di precedenti violazioni analoghe.

Marketing: il Garante sanziona per 45 mila euro una società di rivendita auto online e – mail senza consenso e mancato controllo sulla filiera dei partner.

Il Garante Privacy con provvedimento 27.03.2025 ha accertato che una società non aveva disciplinato correttamente i rapporti con i partner pubblicitari che potevano così trattare i dati dei clienti senza alcun controllo e in violazione della normativa privacy.

Il rivenditore di auto avrebbe infatti dovuto adottare misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che i trattamenti effettuati da terzi, fossero conformi al regolamento e che l’interessato avesse prestato il proprio consenso alla ricezione di messaggi pubblicitari. a un rivenditore di auto online per trattamento illecito di dati personali ai fini di marketing.

Il procedimento trae origine dal reclamo di un cliente che lamentava la ricezione di numerose e-mail indesiderate e il mancato riscontro alle richieste di esercizio dei diritti sanciti dal Regolamento.

Nel reclamo, l’interessato precisava di aver ricevuto i messaggi da indirizzi Email sempre diversi, facenti capo a partner promozionali della società di cui ignorava l’esistenza.

Numerosi gli illeciti riscontrati.

In particolare, il Garante ha accertato che la società non aveva disciplinato correttamente i rapporti con i partner pubblicitari che potevano così trattare i dati dei clienti senza alcun controllo e in violazione della normativa privacy.

Il rivenditore di auto avrebbe infatti dovuto adottare misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che i trattamenti effettuati da terzi, fossero conformi al regolamento e che l’interessato avesse prestato il proprio consenso alla ricezione di messaggi pubblicitari.

Al riguardo, il Garante ribadisce che tra le misure minime che i titolari del trattamento devono adottare vi è l’acquisizione dei consensi in modalità double optin, un processo che richiede agli utenti di confermare due volte la propria intenzione di iscriversi a contenuti promozionali, garantendo così maggiori tutele sia per gli interessati che per i titolari.

Per quanto riguarda il mancato riscontro alle richieste di esercizio dei diritti, il Garante ha accertato che l’errata qualificazione dei ruoli ha vanificato l’opposizione manifestata dal cliente: l’inserimento in black list effettuato dalla società non aveva infatti prodotto alcun risultato sui partner che avevano continuato a inviare le comunicazioni promozionali.

Tenuto conto che la società ha rescisso i contratti con i partner e ha interrotto l’attività pubblicitaria tramite Email, il Garante non ha ingiunto misure correttive.

G7 Privacy: azioni comuni per un ambiente digitale più sicuro Concluso a Ottawa, il vertice delle Autorità di protezione dei dati dei 7 Grandi.

Promuovere la fiducia nell’economia digitale e sostenere l’innovazione nel rispetto della privacy e della protezione dei dati personali.

È questo l’impegno condiviso dalle Autorità di protezione dei dati personali con la dichiarazione approvata a conclusione del G7 Privacy che si è svolto in Canada il 17, 18, 19 e 20 giugno.

Secondo i Garanti le azioni comuni intraprese contribuiranno a creare un ambiente digitale più sicuro per il futuro.

Il trattamento dei dati dovrebbe essere progettato per servire l’umanità, per questo le Autorità incoraggiano sviluppatori e innovatori a riflettere sui contenuti della dichiarazione approvata a Ottawa.

Inoltre, dando seguito al piano d’azione adottato al G7 di Roma nel 2024, le Autorità invitano a promuovere un’innovazione responsabile e a proteggere i minori, dando priorità alla privacy.

“I bambini vogliono e hanno il diritto di essere cittadini digitali attivi sostiene la dichiarazione e meritano una protezione forte e adeguata, che tenga conto dei loro interessi e permetta loro di partecipare pienamente al mondo digitale”.

Nel corso del vertice, inoltre, è stato dato conto delle attività dei tre gruppi di lavoro del G7 privacy: libera e responsabile circolazione dei dati, Tecnologie emergenti e intelligenza artificiale e Cooperazione per l’attuazione di regole comuni.

L’obiettivo è l’adozione a dicembre, nel corso di una riunione programmata, dei restanti documenti sui temi affrontati, che riguardano tra gli altri: le procedure per rendere operativa la DFFT in un contesto globale; l’uso responsabile dei dati nei dispositivi smart home; la definizione di un modello condiviso di applicazione della normativa sulla protezione dei dati. Il Collegio del Garante Italiano, rappresentato dal presidente Pasquale Stanzione, dalla vicepresidente Ginevra Cerrina Feroni e dai componenti Agostino Ghiglia e Guido Scorza, ha partecipato attivamente a tutti i tavoli di lavori, alle discussioni collegiali, con interventi e dichiarazioni, oltre agli eventi collaterali del G7, in tema di tecnologie per il rafforzamento e il miglioramento della privacy e al Privacy Symposium finale sulle prospettive della protezione dei dati personali nell’era digitale. In particolare, la prof.ssa Cerrina Feroni, nell’ambito dell’evento svoltosi il 16 e il 17 giugno organizzato dall’OCSE, dal Governo Canadese e dall’Agenzia per l’innovazione digitale Giapponese, ha tenuto una relazione sul ruolo delle Autorità di protezione dati personali nella promozione delle PETs, alla quale si sono aggiunte le riflessioni nel dibattito presentate dal dott. Ghiglia.

Al presidente Stanzione è stato poi chiesto un intervento di apertura ai lavori del G7 volto ad evidenziare il “passaggio di testimone” rispetto all’edizione romana del 2024.

La vicepresidente ha, quindi, illustrato il volume preparato dal Garante italiano contenente i documenti e gli interventi del G7 2024, che è stato consegnato a tutti i partecipanti.

Quanto ai contenuti più specifici, tra i vari temi affrontati dal Collegio del Garante nelle varie sessioni, il dott. Ghiglia è intervenuto sulla libera e responsabile circolazione dei dati sostenendo la crucialità della cooperazione tra le giurisdizioni, in particolar modo al di fuori dello spazio economico europeo, per supportare e facilitare flussi di dati transfrontalieri sicuri, affidabili e conformi alla normativa sulla protezione dei dati personali.

L’Avv. Scorza ha affrontato la questione delle nuove tecnologie con riguardo alle possibilità che esse possono aprire anche per la protezione dei dati personali, la prof.ssa Cerrina Feroni ha esaminato il ruolo dell’enforcement al fine di individuare strategie comuni alla luce delle analogie e delle differenze dei vari ordinamenti giuridici.

Il Presidente ha concluso con un intervento sulle prospettive future del G7 sia sotto il profilo delle procedure che degli ambiti di azione futura.

L’Avv. Scorza ha partecipato a Ottawa al Privacy Symposium del 20 giugno, intervenendo nell’ambito della tavola rotonda fra le varie autorità presenti al G7 per sottolineare come non si possa continuare a sacrificare il best interest del minore sull’altare del mercato e degli interessi commerciali, mentre il presidente Stanzione, la vicepresidente Cerrina Feroni, il componente Ghiglia a Montreal, invitati dalla McGill University, sono stati protagonisti di un dibattito pubblico sul ruolo del Garante Italiano in ambito di intelligenza artificiale e dati sanitari e sui temi affrontati nel G7.

Privacy e AI: Meta addestra i suoi sistemi con i dati degli utenti che non si sono opposti.

A decorrere dalla fine del mese di maggio 2025, Meta ha dato avvio all’impiego dei dati personali degli utenti maggiorenni di Facebook e Instagram al fine di addestrare i propri modelli di intelligenza artificiale, a prescindere dalla legittima acquisizione del consenso.

Meta società capogruppo delle piattaforme Facebook, Instagram e WhatsApp ha comunicato di avere avviato, a partire dalla fine di maggio 2025, l’utilizzo dei dati personali degli utenti maggiorenni che non hanno esercitato il diritto di opposizione, allo scopo di alimentare e perfezionare i propri sistemi di intelligenza artificiale generativa, tra cui Meta AI e LLaMA (Large Language Model Meta AI).

L’iniziativa, formalmente giustificata dalla finalità di “miglioramento tecnologico”, ha comportato l’elaborazione di contenuti resi pubblici dagli utenti, quali testi, immagini e interazioni condivise sulle piattaforme, ad eccezione secondo le dichiarazioni ufficiali delle conversazioni private e i messaggi riservati.

L’assenza di una manifestazione espressa di dissenso da parte dell’utente è stata interpretata da Meta quale forma implicita di adesione al trattamento, fondando tale presunzione sulla base giuridica del legittimo interesse del titolare, ai sensi dell’articolo 6, paragrafo 1, lettera f), del Regolamento (UE) 2016/679.

Tale impostazione, tuttavia, si confronta con un orientamento consolidato, sia nella giurisprudenza della Corte di Giustizia dell’Unione Europea, sia nelle linee guida adottate dal Comitato Europeo per la Protezione dei Dati tra cui si segnalano il parere WP217 e le Linee guida 06/2020 secondo cui ogni passaggio a una finalità ulteriore rispetto a quella originaria, in particolare quando comporta forme di trattamento potenzialmente invasive, impone una verifica stringente in ordine alla compatibilità, alla proporzionalità, alla trasparenza e all’intelligibilità dell’informativa resa all’interessato, conformemente ai principi sanciti dall’articolo 5 del GDPR.

Leggi anche:

  • NEWSLETTER 12/2025 - Novita’ normative È stata pubblicata la legge n. 167/2025, recante “Misure per la semplificazione normativa e il miglioramento della qualità della normazione e deleghe al Governo per la semplificazione, il riordino e il riassetto in determinate materie”. La legge, in vigore dal 29 novembre 2025, prevede che gli atti normativi del Governo, ad eccezione dei… Read More
  • NEWSLETTER 11/2025 - Novita’ normative D.L. 31 ottobre 2025 n. 159. Pubblicato in Gazzetta il nuovo decreto legge in materia di salute e sicurezza sul lavoro. Le misure adottate con il rafforzano controlli e strumenti di prevenzione. Tra le principali novità: Incentivi premiali per le imprese virtuose e revisione delle aliquote Inail in funzione dell’andamento infortunistico. Nuovo badge… Read More
  • NEWSLETTER 10/2025 - Novita’ normative Legge 23 settembre 2025, n. 132. Pubblicata la legge delega che regolamenta l’uso dell’intelligenza artificiale nel lavoro. Disposizioni e deleghe al Governo in materia di intelligenza artificiale. Per quanto riguarda la materia lavoro, questi gli articoli di riferimento: Art. 11. (Disposizioni sull’uso dell’intelligenza artificiale in materia di lavoro) L’intelligenza artificiale è impiegata per… Read More
Ultime News