NEWSLETTER N. 548 del 17 giugno 2026

• Passeggeri a mobilità ridotta, il Garante privacy sanziona Emirates
• Telecamere di sicurezza urbana, Garante: usi ulteriori solo se previsti dalla legge
• Foto dei minori sui social: serve il consenso di entrambi i genitori
• Data breach: in consultazione il nuovo modello di notificazione approvato dai Garanti europei

Passeggeri a mobilità ridotta, il Garante privacy sanziona Emirates

Le compagnie aeree possono trattare i dati sanitari dei passeggeri con disabilità o a mobilità ridotta (Pmr) senza acquisirne il consenso quando ciò sia necessario per garantire la sicurezza del trasporto e l'assistenza durante il viaggio, secondo quanto previsto dalla normativa di settore.

Devono però assicurare il rispetto dei principi di trasparenza sul trattamento dei dati e limitarne la conservazione al periodo strettamente necessario al perseguimento di tali finalità. Lo ha ribadito il Garante per la protezione dei dati personali che, a seguito del reclamo di una passeggera, ha sanzionato la compagnia aerea Emirates per 180mila euro.

Secondo la reclamante, Emirates subordinava l'erogazione dell'assistenza alla compilazione del modulo Medif (Medical information for fitness to travel or medical assistance) - destinato alla raccolta di informazioni sullo stato di salute del passeggero, di dati relativi al medico curante e agli eventuali accompagnatori - pur non rientrando tra le categorie di passeggeri tenute a compilare tale documentazione. Inadeguata, inoltre, l’informativa sul trattamento dei dati raccolti tramite il modulo.

Nel corso dell'istruttoria, nell'ambito della quale è stato consultato anche l'Ente nazionale per l'aviazione civile (Enac), il Garante ha ritenuto legittimo il trattamento dei dati sanitari, in quanto necessario a garantire il trasporto sicuro e l’assistenza ai passeggeri con disabilità o a mobilità ridotta. Sono tuttavia emerse violazioni degli obblighi di trasparenza e del principio di limitazione della conservazione dei dati.     

In particolare, Emirates non forniva agli interessati un’informativa sufficientemente chiara e completa né attraverso il proprio sito web né tramite il personale incaricato dell'assistenza. Inoltre, la compagnia conservava i dati sanitari raccolti mediante il modulo Medif per un periodo di sette anni, ritenuto dall’Autorità eccessivo e non proporzionato rispetto alla finalità perseguita, limitata all’organizzazione e al corretto svolgimento del viaggio. Il Garante ha quindi ordinato a Emirates di aggiornare l'informativa privacy, specificando quali categorie di passeggeri siano tenute a compilare il modulo Medif e quali sezioni dello stesso siano effettivamente obbligatorie. Ha imposto inoltre alla compagnia di definire tempi di conservazione coerenti con le finalità del trattamento e di cancellare i dati conservati oltre il periodo ritenuto congruo. 

Telecamere di sicurezza urbana, Garante: usi ulteriori solo se previsti dalla legge

L’attuale disciplina di settore non consente ai Comuni di utilizzare i filmati ottenuti dalle telecamere installate sulla pubblica via per finalità di sicurezza urbana al fine di accertare e contestare infrazioni al Codice della strada.

Lo ha affermato il Garante privacy rivolgendo un ammonimento a un Comune, che si era avvalso di un filmato di videosorveglianza per ricostruire la dinamica di un incidente stradale, accertare le responsabilità dei soggetti coinvolti e contestare a un automobilista una violazione del Codice della strada. Nel provvedimento l’Autorità evidenzia come le telecamere che riprendono ad ampio raggio e su base continuativa la pubblica via siano soggette a uno specifico vincolo di finalità, vale a dire la prevenzione e il contrasto dei fenomeni di criminalità diffusa e predatoria; pertanto, eventuali ulteriori finalità, anche di natura amministrativa, possono essere perseguite con le medesime telecamere solo a condizione che sussista un’idonea base giuridica, che preveda e disciplini espressamente il trattamento.

Ciò fermo restando che i filmati di videosorveglianza possono essere, in ogni caso, conservati e utilizzati qualora, in un incidente stradale, siano state poste in essere condotte rilevanti sotto il profilo penale.

Per queste ragioni l’Autorità ha ritenuto che l’utilizzo delle immagini per accertare la violazione del Codice della strada fosse incompatibile con la finalità per la quale erano state raccolte e fosse avvenuto in assenza di un’idonea base giuridica, in violazione dei principi di liceità, correttezza, trasparenza e limitazione della finalità. Illecito anche l’invio del filmato da parte del Comune alla Motorizzazione civile, ai fini dell’eventuale procedimento di revisione della patente dell’interessata, perché non previsto dal Codice della strada o da altre disposizioni di settore. Tenuto conto delle circostanze del caso e della collaborazione fornita dal Comune nel corso dell’istruttoria, il Garante ha ritenuto sufficiente ammonire l’ente. 

Foto dei minori sui social: serve il consenso di entrambi i genitori
Il Garante ammonisce una madre 

Per pubblicare sui social network immagini che ritraggono minori di 14 anni è necessario il consenso preventivo di entrambi i genitori. Al compimento dei 14 anni, invece, la normativa italiana riconosce al minore la facoltà di decidere autonomamente sulla diffusione online delle proprie immagini.

È il principio ribadito dal Garante per la protezione dei dati personali, che ha dichiarato illecito il trattamento di immagini di figli minori pubblicate sui social da una madre senza il consenso dell’altro genitore.

Il caso nasce dal reclamo presentato da un padre, che aveva segnalato la pubblicazione di fotografie dei figli infraquattordicenni sui profili social dell’ex moglie, in particolare su Facebook.

Secondo il reclamante, la diffusione ripetuta delle immagini configurava una forma di sharenting che avrebbe potuto esporre i minori a rischi di abuso e compromettere la loro futura autodeterminazione digitale.

L’Autorità ha ricordato che i minori meritano una tutela rafforzata e la pubblicazione delle loro immagini sui social costituisce un trattamento di dati personali, per il quale è richiesta un’idonea base giuridica.

Non rilevano, ha precisato il Garante, la finalità affettiva della condivisione, il numero limitato delle fotografie o l’eventuale impostazione privata del profilo, poiché i contenuti online possono essere ulteriormente diffusi e resi visibili a terzi.

Accertata l’assenza del consenso del padre, il Garante ha imposto alla madre il divieto di pubblicazione delle immagini dei figli minori sui social network senza il consenso di entrambi i genitori e ha disposto nei suoi confronti un provvedimento di ammonimento per violazione della normativa privacy.

Data breach: in consultazione il nuovo modello di notificazione approvato dai Garanti europei 
Nella plenaria di giugno anche protezione dei minori online e digital omnibus 

Si è svolta l’8 e 9 giugno, a Bruxelles, la 121a riunione plenaria del Comitato per la protezione dei dati personali (EDPB, nell’acronimo inglese), a cui hanno preso parte per il Garante privacy la Vice Presidente Ginevra Cerrina Feroni e il direttore del Servizio relazioni internazionali e con l’UE, Riccardo Acciai.

Numerosi e di rilievo i punti esaminati nel corso delle due giornate. In particolare, è stato approvato e messo in consultazione pubblica un modello di notificazione dei data breach con l’obiettivo di giungere a un’adozione condivisa fra tutte le Autorità di protezione dei dati personali e di coordinarsi in futuro con il Single Entry Point (SEP), un sistema informativo volto a concentrare in un solo sito tutti gli obblighi di notifica imposti dai diversi atti europei.

Fra le tematiche prese in esame, si segnalano poi le linee guida sul trattamento dei dati personali nell’ambito del “political advertisement” e quelle sull’anonimizzazione.

Ampio spazio è stato dedicato al tema della protezione dei minori online, anche in preparazione di un apposito incontro organizzato a margine della Plenaria tra una ristretta rappresentanza dell’EDPB (tra cui la delegazione italiana) e i co-chairs dello Special Panel di esperti istituito dalla Presidente della Commissione Ue Ursula von der Leyen. In tale ambito la professoressa Cerrina Feroni ha illustrato le iniziative italiane, sia sotto il profilo dell’applicazione del GDPR, con i vari provvedimenti assunti dal Garante in materia, che sotto quello legislativo, portando all’attenzione dei colleghi le competenze dell’Autorità sul cyberbullismo e sul revenge porn e fornendo una panoramica sugli sviluppi introdotti c.d. decreto Caivano (d.l. 15 settembre 2023, n. 123) nell’ambito della verifica dell’età dei minori.

La plenaria è stata caratterizzata dall’incontro con Michael McGrath, Commissario UE per la democrazia, la giustizia, lo stato di diritto e la protezione dei consumatori, al quale sono state rivolte diverse domande sull’iter di approvazione del digital omnibus, ricevendo apprezzamenti per il lavoro svolto dall’EDPB su tale versante e su ulteriori scenari di comune interesse, a partire dalla diffusione dell’IA.

Molte delegazioni, tra cui quella italiana, hanno infine evidenziato l’esigenza che a nuove competenze, come ad esempio sul digital advertising, facciano seguito coerenti adeguamenti nelle dotazioni di personale, considerato anche il generale aumento del carico di lavoro, in particolare legato al numero sempre crescente di reclami che si sta registrando in tutta Europa.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ

Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

- Garante privacy su ricorso Report - Comunicato del 5 giugno 2026

- IA a scuola, il Garante privacy chiede informazioni agli istituti Salesiani - Comunicato del 3 giugno 2026

- IA e lavoro: il Garante Privacy avverte una start-up italiana. Sotto la lente dell’Autorità il plug-in che può rilevare linguaggio, emozioni e livello di stress dei dipendenti – Comunicato del 28 maggio 2026

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it