Novità privacy: Google, preview privacy delle app nello store
Panorama italiano
Garante per la protezione dei dati personali
Pubblicata la legge di ratifica al Protocollo di modifica
Il Garante comunica l’avvenuta pubblicazione nella Gazzetta Ufficiale della legge n.110 del 10 maggio 2021, che ratifica il Protocollo di modifica della Convezione 108 sul trattamento automatizzato dei dati personali delle persone fisiche. Le novità del Protocollo ricalcano sostanzialmente quelle del GDPR, concentrandosi nel: (i) definire in maniera più specifica il principio di liceità del trattamento, con particolare riferimento alle condizioni del consenso, (ii) introdurre un obbligo di valutazione d’impatto e di adozione delle misure tecniche e organizzative a sicurezza dei trattamenti, (iii) vietare che gli interessati siano sottoposti a decisioni pregiudizievoli significative solo sulla base di un trattamento automatizzato. Competente a decidere sui ricorsi per violazione della Convenzione sarà l’Autorità stessa. [13/05/2021]
Garante per la protezione dei dati personali
Tik Tok: bene le misure adottate ma non ancora sufficienti
Il Garante ha reso noto che le misure adottate dal social network Tik Tok a seguito dei provvedimenti d’urgenza adottati dall’Autorità negli scorsi mesi hanno portato risultati significativi ma non possono ancora considerarsi sufficienti, dati gli interessi in gioco. Fino ad oggi, il social ha eliminato mezzo milione di utenti perché aventi età inferiore a 13 anni e per il prossimo futuro si è impegnato a: (i) garantire una cancellazione veloce (massimo 48h) dei profili segnalati come minori; (ii) adottare nuove misure, anche di intelligenza artificiale, che riducano il rischio che minori di 13 anni riescano comunque ad accedere all’app, e (iii) elaborare un’informativa privacy interattiva e facilmente comprensibile, affinché ogni potenziale utente comprenda l’importanza dei propri dati. L’Autorità ha ovviamente affermato che continuerà a vigilare sul rispetto degli impegni assunti. [12/05/2021]
Dal mondo
Amazon
Organizzazioni per i diritti civili chiedono stop definitivo alla vendita di sistemi di riconoscimento biometrico alle autorità di law enforcement
Secondo quanto riportato da Forbes, 44 organizzazioni per i diritti civili avrebbero inviato una lettera al CEO di Amazon Jeff Bezos affinché la sua azienda smetta definitivamente di vendere sistemi di riconoscimento biometrico alle autorità di law enforcement. Secondo gli attivisti, gli avvenimenti della storia recente – primo fra tutti il caso Floyd negli USA – dimostrerebbero che questi sistemi vengono utilizzati indebitamente dalle forze dell’ordine e mettono a rischio la libertà e la vita dei cittadini. All’indomani del caso Floyd, seguendo l’esempio di Microsoft ed IBM, Amazon aveva dichiarato che avrebbe interrotto la vendita di questi sistemi alle autorità per 1 anno, in attesa di ulteriori sviluppi. Ora che la deadline sta per scadere, le 44 organizzazioni temono che la vendita possa riprendere. [13/05/2021]
Egress
Aumentano data breach sulle email a causa dello smart working
Egress – società di cyber sicurezza londinese – ha pubblicato uno studio dal quale risulterebbe un aumento dei dati breaches delle email dovuto allo smart working. Lo studio è stato condotto su 500 esperti IT e 3000 smart workers inglesi e statunitensi, utenti di Microsoft 365 e secondo il 70% degli esperti intervistati i data breaches che si sono verificati nel corso del 2020 sarebbero dovuti proprio allo smart working. Lo studio chiarisce che le ragioni di questo aumento vanno individuate nell’errore umano dei dipendenti che spesso condividono dati via email erroneamente, ad esempio sbagliando indirizzo di destinazione. [11/05/2021]
USA
Chiesto a Facebook di riconsiderare l’aggiornamento dei termini di Whatsapp
8 membri del Congresso degli Stati Uniti hanno inviato una lettera a Mark Zuckerberg affinché Facebook riconsideri l’aggiornamento dei termini di servizio di Whatsapp, che gli utenti saranno chiamati ad accettare entro il 15 maggio. Nella lettera, i mittenti sottolineano come l’aggiornamento, oltre ad essere a nocumento dei diritti dei consumatori, violi le condizioni che l’Antitrust statunitense aveva fissato nel consentire a Facebook l’acquisto di Whatsapp, ovverosia che quest’ultima si impegnasse a limitare il più possibile il trattamento dei dati degli utenti e la condivisione dei medesimi con terze parti. [11/05/2021]
Parlamento UE
La Commissione emendi le proposte di decisione di adeguatezza per il trasferimento dati verso UK
La Commissione per le Libertà Civili del Parlamento UE ha adottato una risoluzione in cui chiede alla Commissione UE di emendare le proposte di decisione di adeguatezza presentate per il trasferimento dei dati verso UK che, a partire dal 30 giugno prossimo, diventerà un Paese Terzo, secondo la definizione del GDPR. Nello specifico, il Parlamento, in linea con quanto già sottolineato dall’EDPB, segnala che, nonostante la somiglianza della normativa UK con quella UE, alcune criticità meritano un chiarimento, ovverosia (i) la previsione che consente al governo UK un accesso indiscriminato ai dati degli immigrati per finalità di sicurezza nazionale, in assenza di un sospetto preciso e circostanziato, nonché la ritenzione di tali dati, e (ii) l’esistenza di accordi internazionali tra UK ed USA che consentono un trasferimento reciproco dei dati in possesso dei due Paesi che, nel caso di dati personali dei cittadini europei, violerebbe i principi della giurisprudenza Schrems II. A questo punto, il Parlamento si attende che la Commissione UE modifichi la propria proposta e faccia chiarezza su questi punti. [11/05/2021]
ESMA (European Securities and Markets Authority)
Linee guida sull’outsourcing a cloud service provider
L’ESMA – Autorità europea degli strumenti finanziari e dei mercati – ha adottato delle linee guida sull’outsourcing dei servizi cloud ai relativi providers da parte di tutte le Autorità nazionali che supervisiona. Le linee guida, che diventeranno vincolanti dal 31 luglio 2021, rappresentano uno strumento informativo utile anche per i privati, dato che si concentrano sugli elementi contrattuali e di sicurezza delle informazioni che le Autorità sono chiamate a valutare nel processo di selezione del fornitore. L’Autorità ha comunicato che le linee guida verranno aggiornate già il 31 luglio 2022, a seguito della verifica della loro concreta operatività per il primo anno di vigenza. [10/05/2021]
Nuova sezione sull’app store che comunica agli utenti come verranno trattati i loro dati
Google ha comunicato che inserirà nel proprio store “Google play” una nuova sezione-sicurezza nelle schede di ogni app sullo store, in cui gli sviluppatori renderanno trasparente agli utenti alcune informazioni relative al trattamento dei loro dati personali compiuti dall’app che si intende scaricare. La sezione rappresenterà una sorta di “preview” della privacy policy di ogni app ed entrerà a pieno regime nel 2022. L’iniziativa avviata da Google è stata accolta con favore da alcune Autorità nazionali a protezione dei diritti dei consumatori facenti parte del International Consumers Protection and Enforcement Network, le quali ritengono che, così facendo, gli utenti saranno messi al riparo da potenziali pratiche scorrette di Google e/o delle app sullo store. [06/05/2021]
Leggi il comunicato di Google.
Autorità garanti estere
Autoriteit Persoonsgegevens (Autorità garante olandese per la protezione dei dati)
Sanzione da oltre mezzo milione a Locatefamily.com
Il Garante olandese ha comunicato di aver irrogato una sanzione da 525.000€ a Locatefamily.com, sito web formato da banche dati contenenti i nominativi, gli indirizzi e i numeri di telefono utilizzato per cercare vecchi amici o familiari. L’Autorità ha sottolineato come nei reclami ricevuti gli interessati sottolineassero di non essere a conoscenza di come il sito avesse ottenuto i loro dati personali e che l’esercizio del diritto di cancellazione non venisse garantito. Oltre ad aver riscontrato la veridicità di queste allegazioni, il Garante ha altresì sanzionato il titolare per non aver adempiuto all’obbligo di nominare un rappresentate UE ai sensi del GDPR, specificando che, in caso di mancata ottemperanza, verrà applicata una penale di 20.000 euro ogni due settimane di ritardo, sino ad un massimo di 120.000 euro. [12/05/2021]
