Novità privacy dall’Italia e dal mondo
Panorama italiano
Garante per la protezione dei dati personali
Pubblicate schede informative sul diritto di accesso
Il Garante ha reso disponibili brevi schede informative sull’esercizio del diritto d’accesso da parte degli interessati. Le slides – ad oggi limitate nel contenuto agli aspetti basilari del tema – verranno gradualmente integrate, affiancando informazioni relative a casi generali con quelle inerenti casi particolari. [17/12/20]
Garante per la protezione dei dati personali
Tutelare la privacy dei contagiati nella raccolta di rifiuti Covid
Allo scopo di tutelare la riservatezza dei contagiati Covid nelle operazioni di raccolta dei rifiuti, il Garante ha aggiornato le FAQ sull’emergenza sanitaria con apposita voce, rivolta agli enti locali. In particolare, il Garante suggerisce di prevedere soluzioni organizzative quali l’adozione di un preavviso telefonico prima del passaggio degli addetti alla raccolta; la previsione di brevi finestre temporali per il ritiro o il ritiro in orari notturni; l’individuazione, ove possibile, di punti di raccolta isolati. [11/12/20]
Dal mondo
ENISA (Agenzia dell’Unione europea per la cybersecurity)
L’ENISA accoglie con favore la strategia dell’UE in materia di cybersicurezza e i compiti proposti dall’Agenzia
La nuova strategia dell’UE in materia di cybersicurezza porterà compiti e responsabilità per l’ENISA per aiutare l’Europa a diventare un leader sovrano tecnologico resiliente nel ciberspazio. L’Agenzia ha pertanto dato il via ieri al nuovo gruppo di lavoro ad hoc in risposta all’agenda europea per le competenze. [18/12/2020]
ENISA (Agenzia dell’Unione europea per la cybersecurity)
Il rapporto ENISA AI Threat Landscape svela le principali sfide della sicurezza informatica.
Il nuovo report mappa le risorse e le minacce dell’intelligenza artificiale (IA) e stabilisce una base per la protezione dell’ecosistema di IA in tutta Europa. [15/12/2020]
EDPB (European Data Protection Board)
Pubblicata la decisione finale del Garante irlandese sul data breach Twitter
L’EDPB ha pubblicato nel registro delle decisioni prese da Autorità capofila nell’ambito del meccanismo di cooperazione la decisione del Garante irlandese sul data breach Twitter del 2018. Il caso – diventato il primo ad essere interessato dall’adozione di una decisione vincolante dell’EDPB in forza dell’art. 65 del Regolamento – si è concluso con l’irrogazione di una sanzione di 450.000 euro. [16/12/20]
EDPB (European Data Protection Board)
Gli argomenti della 43esima plenaria del Board
L’EDPB, nel corso della sua 43esima plenaria, ha definito la Strategia 2021 - 2023, orientata a continuare il processo di armonizzazione tra gli Stati membri e a rafforzare l’attività di compliance. In aggiunta, fra i principali contenuti della plenaria, si ravvisano l’apertura della fase di consultazione per le Linee Guida 10/2020 sulla limitazione dei diritti dell’interessato in forza dell’art. 23 GDPR e l’adozione delle Linee Guida sull’interoperatività delle disposizioni della PSD2 (direttiva europea sui servizi di pagamento digitali) e del GDPR. [15/12/20]
Commissione Europea
Presentato il Digital Services Act Package
La Commissione, nell’ambito della Strategia Digitale Europea, ha annunciato che proporrà alle Istituzioni legislative dell’Unione due atti normativi: il Digital Services Act e il Digital Markets Act. Entrambi hanno il fine di incrementare la competitività dell’Unione, senza rinunciare alle garanzie relative ai diritti fondamentali, qual è il diritto degli interessati ad un trattamento lecito dei propri dati personali. [15/12/20]
Autorità garanti estere
CNIL (Autorità Garante francese per la protezione dei dati)
Violazioni dei dati sanitari: la CNIL sanziona due medici
Il 7 dicembre 2020, il collegio ristretto della CNIL ha inflitto due multe per 3.000 euro e 6.000 euro a due medici per non aver protetto in modo insufficiente i dati personali dei loro pazienti e non aver segnalato una violazione dei dati alla CNIL. [17/12/2020]
Persònu Vernd (Autorità Garante islandese per la protezione dei dati)
Illecito il trattamento dei messaggi di posta elettronica di un dipendente pensionato
Il Garante islandese ha statuito l’illiceità del trattamento relativo al contenuto della casella di posta elettronica di un dipendente pensionato. I messaggi, per circa 5 mesi dall’interruzione del rapporto di lavoro, erano stati inoltrati ad un altro dipendente della società, per ragioni di business continuity. Il titolare del trattamento sottolineava come il reindirizzamento dei messaggi fosse stato acconsentito dal dipendente pensionato tramite la sottoscrizione di apposito accordo ma, non essendo riuscito a darne prova, l’Autorità si è pronunciata a favore dell’interessato. [15/12/20]
Autoriteit Persoongegevens (Autorità Garante olandese per la protezione dei dati)
Ammonimento ad un supermercato che utilizzava sistemi di riconoscimento facciale
Il Garante olandese ha ammonito un supermercato affinché interrompa il trattamento di dati personali biometrici dei clienti, effettuato tramite sistemi di riconoscimento facciali volti ad identificare se avessero acceduto al negozio taccheggiatori allontanati in precedenza. L’Autorità ravvisa come tale pratica sia in chiara violazione del GDPR, sottolineando come un siffatto trattamento di dati biometrici possa essere giustificato solo dal consenso espresso degli interessati o per ragioni di autentificazione e sicurezza correlate ad un interesse pubblico primario, come, ad esempio, l’autentificazione biometrica nelle centrali nucleari. [15/12/20]
Datainspektionen (Autorità Garante svedese per la protezione dei dati)
Sanzione di 30.000€ a società immobiliare per illecito trattamento di dati personali mediante sistema di videosorveglianza
Il Garante svedese ha sanzionato una società immobiliare per aver illecitamente trattato i dati personali dei condomini di uno stabile mediante il sistema di videosorveglianza. L’Autorità sottolinea come, sebbene la società avesse un legittimo interesse all’installazione delle telecamere – giustificato dalla volontà di rimediare ai continui danni che venivano arrecati alla zona adiacente alla tromba delle scale – il posizionamento delle stesse – puntate verso la porta delle abitazioni – era tale da comportare un’eccessiva invasione nella sfera privata di alcuni condomini. In definitiva, il diritto alla riservatezza degli interessati è stato ritenuto prevalente, nel caso di specie, a quello all’integrità patrimoniale dei beni del titolare. [14/12/20]
Datainspektionen (Autorità Garante svedese per la protezione dei dati)
Sanzione di 50.000€ all’Umeå University per insufficienza delle misure tecniche ed organizzative a protezione di dati personali di cui all’art. 9 GDPR
Il Garante svedese ha sanzionato l’Università di Umeå per non aver adottato le misure tecniche ed organizzative idonee a protezione di dati personali di cui all’art. 9 GDPR. Al fine di svolgere una ricerca sui profili maschili di stupratori, l’Università aveva chiesto ed ottenuto dalle autorità competenti numerosi fascicoli relativi a casi di violenza sessuale, contenenti tra gli altri dati relativi alla vita sessuale. I ricercatori conservavano tali report su sistemi in cloud, senza un adeguato sistema di protezione. Inoltre, essi allegavano i report negli scambi di mail e omettevano la notificazione di un data breach. [11/12/20]
