Provvedimento Garante su ticketing e conservazione dati

Se non leggi correttamente questo messaggio, clicca qui

Egregi Clienti,

desideriamo sottoporre alla vostra attenzione un recente Provvedimento dell'Autorità Garante (n. 243 del 29 aprile 2025) che ha sanzionato una Regione per violazioni significative nel trattamento dei dati in ambito lavorativo, in particolare per quanto riguarda la gestione di posta elettronica, log di navigazione e sistemi di ticketing.

Il caso ha evidenziato diverse non conformità (artt. 5, par. 1, lett. a), c) ed e), 6, 25, 28, 35 e 88 del GDPR, e artt. 113 e 114 del D.Lgs. 196/2003). Tra le criticità principali, l'Autorità ha riscontrato:

- Una conservazione eccessiva e ingiustificata dei dati (fino a 78 mesi) tramite il sistema di ticketing in violazione del principio di limitazione della conservazione.

- La mancanza di una regolamentazione contrattuale completa e specifica con i fornitori del servizio, come richiesto dall'articolo 28 del GDPR.

Alla luce di queste criticità, e considerando anche recenti violazioni di dati personali in altri contesti, riteniamo fondamentale che il Titolare del Trattamento ponga una specifica attenzione all'adeguatezza delle misure di sicurezza tecniche e organizzative relative alla gestione dei servizi di ticketing.

A tal fine, raccomandiamo le seguenti azioni:

- Accertarsi che sia stata predisposta una DPIA (Data Protection Impact Assessment) specifica e puntuale prima di avviare qualsiasi trattamento.

- Verificare che il servizio non preveda il trasferimento di dati in paesi extra-UE e che gli eventuali sub-responsabili siano stati designati conformemente all'articolo 28, paragrafi 2 e 4, del GDPR.

- Assicurarsi che i dati personali siano utilizzati nel pieno rispetto del principio di minimizzazione.

- Verificare e adeguare l'attuale periodo di conservazione dei dati, fornendo indicazioni operative chiare al Responsabile del trattamento per garantire la conformità all'articolo 5, paragrafo 1, lettera c) del GDPR.

- Aggiornare e integrare gli atti di nomina a Responsabile del trattamento dei fornitori, descrivendo in modo esaustivo natura, finalità del trattamento, tipo di dati, categorie di interessati e istruzioni operative.

- Annotare il servizio di ticketing nel Registro delle attività di trattamento ai sensi dell'articolo 30, paragrafo 1, del GDPR.

Restiamo a disposizione per qualsiasi chiarimento o per approfondire quanto sopra.

Grazie

Cordiali saluti,

Sicurdata S.r.l.

Via Ernesto Codignola 10/a, Scandicci, 50018 IT Firenze
C.C.D.C. by Sicurdata Srl

www.sicurdata.com | tel. +39055750808

C.C.D.C. (Centro Competenza Data Protection & Cybersecurity) by Sicurdata Srl

Hai ricevuto questo messaggio perché sei registrato alla newsletter di SICURDATA Srl.

Gestisci la tua iscrizione | Cancella iscrizione

Hai ricevuto questo messaggio perché sei registrato alla newsletter di SICURDATA Srl.Per annullare l'iscrizione a questo portale, clicca qui oppure scrivi a info@opendata.it.Per altre opzioni leggi qui l'informativa privacy di Sicurdata Srl.
Sicurdata Srl, Via E. Codignola, SCANDICCI, 50018 IT FI
Ufficio Compliance www.sicurdata.com +39055750808

Messaggio inviato con MailUp^®

Iscriviti

Contact