Novità privacy: Green Pass, il QR code non va condiviso sui social!
Panorama italiano
Garante per la protezione dei dati personali
Pericoloso pubblicare sui social il Qr code del Green Pass
Il Garante, a pochi giorni dalla messa in moto del Green Pass, ha già rilasciato un comunicato in cui, a seguito della preventivabile pubblicazione da parte dei cittadini del QR code del Green Pass sui canali sociali, avverte circa il pericolo che può derivare da questa diffusione. In particolare, l’Autorità sottolinea come il Qr code contiene dati personali dell’individuo importantissimi, che possono così essere facilmente estraibili, organizzabili in un database ed acquistati e/o sfruttati per i più svariati scopi, dalla proliferazione commerciale alla creazione di Qr code falsi. [24/06/21]
Garante per la protezione dei dati personali
Pubblicata la newsletter di giugno 2021
Il Garante ha pubblicato la newsletter di giugno 2021, nella quale riporta tre decisioni molto interessanti aventi ad oggetto (i) l’operatività del consenso rilasciato dall’interessato a un titolare per attività promozionale di terzi, sul quale l’Autorità, irrogando una sanzione da 3 milioni a IREN, ha statuito che il consenso va acquisito per ciascun passaggio dei dati tra più titolari, non estendendosi la sua efficacia anche a successive cessioni ad ulteriori titolari, (ii) la pubblicazione sui social di foto e video riguardanti presunti trasgressori, che ha giustificato una sanzione da 50.000 euro al sindaco di Messina, e (iii) l’utilizzo di sistemi di controllo e filtraggio della navigazione internet dei dipendenti per finalità di sicurezza della rete, che non può tradursi in un controllo indiscriminato dell’attività in rete di quest’ultimi (sanzione da 84.000 euro al Comune di Bolzano) [22/06/21]
Garante per la protezione dei dati personali
La Relazione Annuale 2020 sarà presentata il prossimo 2 luglio
Il Garante ha comunicato che la Relazione Annuale 2020 sarà presentata alla Camera dei Deputati il prossimo 2 luglio, con diretta online e sui canali Rai dalle ore 11.00. Nel comunicato, l’Autorità anticipa che la Relazione farà il punto sullo stato di attuazione della legislazione in materia di privacy e indicherà i nuovi scenari che si aprono per la protezione dei dati personali, anche alla luce delle tematiche connesse all’emergenza pandemica. [22/06/21]
Garante per la protezione dei dati personali
Arriva il nuovo Dipartimento intelligenza artificiale
Con la pubblicazione in Gazzetta Ufficiale (pagina 27) della delibera 27 maggio 2021 sulle “Modifiche al regolamento n. 1/2000 in materia di organizzazione e funzionamento dell’Ufficio del Garante per la protezione dei dati personali”, il Garante ha dato notizia di aver istituito il nuovo Dipartimento intelligenza artificiale, unità organizzativa di primo livello che avrà competenza principalmente nel monitoraggio del machine learning e nel partecipare ai tavoli di lavoro ed iniziative con riguardo alle aree di interazione tra intelligenza artificiale e protezione dei dati. L’Autorità ha chiarito che l’istituzione del nuovo Dipartimento si è resa necessaria a seguito della rilevanza e dell’impatto dell’intelligenza artificiale sul diritto alla protezione dei dati personali, di cui sono manifestazione gli interpelli e quesiti posti in materia allo stesso Garante. [19/06/21]
Dal mondo
CGUE (Corte di Giustizia dell’Unione Europea)
Incompatibile con il GDPR la libera accessibilità dei registri sui punti patente persi per infrazioni stradali
La CGUE, pronunciandosi sulla questione pregiudiziale avente ad oggetto la compatibilità della normativa nazionale della Lettonia con il GDPR, ha statuito che è incompatibile con il GDPR la libera accessibilità dei registri che riportano i punti patente persi a causa delle infrazioni stradali. Fatta l’importante premessa che tali dati personali sono qualificabili come dati relativi alle condanne penali e ai reati di cui all’articolo 10 del GDPR sebbene il diritto lettone (come quello italiano) qualifichi tali infrazioni come illeciti amministrativi, la Corte ha rilevato che la libera accessibilità di chiunque ai registri, senza alcuna prova di un interesse specifico, è inconferente – e comunque sproporzionata – rispetto all’obiettivo dichiarato di garantire la sicurezza stradale. [22/06/21]
Leggi l’estratto della pronuncia e la sentenza completa.
CEDU (Corte Europea dei Diritti dell’Uomo)
Non viola la libertà d’espressione l’ordine al giornale di anonimizzare i dati contenuti in un articolo online
La CEDU, pronunciandosi sul ricorso presentato dall’editore del giornale Le Soir, ha statuito che non viola la libertà d’espressione (articolo 10 della Convenzione) l’ordine di un’autorità al giornale di anonimizzare i dati contenuti in un articolo online. Nel caso di specie, l’ordine proveniva da una corte belga – confermato poi in secondo grado e divenuto definitivo con il rigetto del ricorso di legittimità in terzo grado – e riguardava i dati personali di un autista coinvolto in un incidente mortale nel 1994, che aveva pienamente scontato la sua pena nel 2006. Nello statuire la proporzionalità dell’ordine di anonimizzazione rispetto alla libertà d’opinione dell’editore, la Corte EDU ha però sottolineato che la propria giurisprudenza non deve essere interpretata nel senso di prevedere in capo al giornale un obbligo di verifica periodica del proprio archivio online, essendo il giornale obbligato ad intervenire solo su specifica richiesta. [22/06/21]
Scarica l’estratto della pronuncia.
Consiglio dell’Unione Europea
Meeting Ministeriale EU-US riafferma centralità del flusso di dati e dell’utilizzo dell’AI per combattere minacce comuni
A seguito del Meeting Ministeriale EU-US sulla Giustizia e sugli Affari Interni, il Consiglio dell’Unione Europea e il Dipartimento di Giustizia USA hanno firmato una dichiarazione congiunta in cui sottolineano la necessità del flusso di dati e dell’utilizzo dell’AI per prevenire e combattere le minacce comuni alle due potenze, quali gli estremismi e i gravi crimini contro l’umanità. In particolare, il comunicato fa espresso riferimento allo scambio dei PNR – i dati di viaggio dei passeggeri – e all’utilizzo sicuro dell’AI per finalità di law enforcement, combattendo le minacce ransomware. [22/06/21]
Leggi la dichiarazione congiunta.
Commissione UE
Aperta indagine antitrust per possibili pratiche anticoncorrenziali di Google nell’advertising technology
La Commissione UE ha comunicato di aver aperto un’indagine antitrust per possibili pratiche anticoncorrenziali di Google nel settore dell’advertising technology, volte a favorire i servizi del colosso statunitense su quelli analoghi dei propri competitor. Fra tutte le pratiche di Google che verranno verificate dalla Commissione, figurano (i) le restrizioni ai servizi advertising technology rispetto all’accesso ai dati identificativi e alle abitudini di consumo degli utenti, disponibili solo a Google, (ii) il set di tools “Privacy Sandbox”, di prossima implementazione, che impedirà ai competitor di installare cookies di terze parti su Chrome, e (iii) l’opzione di opt-out che Google implementerà per gli utenti Android e che impedirà a terze parti di conoscere l’identificativo impiegato per l’advertising personalizzato. Sarà interessante vedere come la Commissione valuterà queste pratiche, tenuto conto che molte di esse sono state “acclamate” come un incremento alla protezione dei dati personali degli utenti. [22/06/21]
EDPB (Comitato europeo per la protezione dei dati)
Richiamo al bando dei sistemi AI che possano portare ad una discriminazione ingiusta e di sistemi AI di riconoscimento biometrico in spazi pubblici
Il Comitato europeo ha pubblicato la propria opinione congiunta con il Garante Europeo (EDPS) sulla proposta di Regolamento avente ad oggetto l’intelligenza artificiale (AI), di cui abbiamo parlato qui. L’opinione del Comitato alla proposta è sostanzialmente positiva, sebbene le Autorità richiamino l’attenzione della Commissione affinché banni del tutto l’utilizzo di sistemi AI di riconoscimento biometrico in spazi pubblici ed i sistemi AI che possano portare ad una discriminazione ingiusta perché basati su categorizzazioni politiche, etniche e di genere degli individui. Oltre a ciò, l’EDPB sottolinea come sarebbe opportuno che dall’ambito di applicazione del Regolamento non venissero esclusi i sistemi AI impiegati per forme di cooperazione internazionale tra autorità e che il rispetto della normativa UE, inclusa quella a tutela dei dati personali, fosse prevista quale condizione necessaria per l’immissione dei sistemi AI, o di prodotti che li incorporino, nel mercato dell’Unione. [21/01/21]
Commissione UE
La restrizione all’accesso ad una piattaforma di data sharing può essere una violazione antitrust
La Commissione UE ha comunicato di aver inviato una comunicazione con gli addebiti antitrust mossi a Insurance Ireland, un’associazione di compagnie assicurative che coprono il 90% del mercato irlandese sull’assicurazione dei veicoli. Secondo quanto si legge nel comunicato, Insurance Ireland avrebbe sostanzialmente negato l’accesso alla propria piattaforma di data sharing Insurance Link, grazie alla quale i membri possono ottenere e richiedere informazioni fondamentali per valutare il rischio delle polizze e rilevare potenziali comportamenti fraudolenti, ad una serie di compagnie ed agenti assicurativi, agendo sui requisiti della membership richiesta per accedere alla piattaforma. Secondo la Commissione, la condotta di Insurance Ireland rappresenterebbe un’intesa che avrebbe illegittimamente alterato la concorrenza del mercato, creando barriere all’ingresso ed influenzando i prezzi di settore. [18/06/21]
CGUE (Corte di Giustizia dell’Unione Europea)
Possibile registrazione degli IP dei pirati del web e la loro comunicazione al titolare delle opere protette
La CGUE, pronunciandosi sulle questioni pregiudiziali sollevate dal giudice del rinvio belga nella causa Mircom v. Telenet, ha statuito che è ammissibile un trattamento consistente nella registrazione degli indirizzi IP delle persone le cui connessioni Internet sono state utilizzate per scaricare illegalmente (i pirati del web) opere protette dal diritto d’autore, nonché la successiva comunicazione dei nominativi a richiesta del titolare dei diritti affinché possa agire in giudizio, a patto che la misura sia necessaria, opportuna, proporzionata e prevista da una norma legislativa nazionale adottata secondo l’articolo 15 della direttiva e-privacy, che limiti la portata dei diritti e degli obblighi e preveda la conservazione dei dati per un tempo limitato. [17/06/21]
Leggi l’estratto della pronuncia e la sentenza completa.
Autorità garanti estere
DPC (Autorità garante irlandese per la protezione dei dati)
Pubblicata guida sul trattamento dei dati correlato alle vaccinazioni Covid-19 sul luogo di lavoro
Il Garante irlandese ha pubblicato una guida sul trattamento dei dati correlata alle vaccinazioni Covid-19 sul luogo di lavoro. La guida è un breve manifesto a supporto dei datori di lavoro per comprendere gli aspetti fondamentali relativi a questa tipologia di trattamento, quali la natura volontaria della vaccinazione e la gestione dei viaggi per finalità di lavoro. Per approfondire i punti toccati, la guida fa rinvio al Protocollo nazionale irlandese sulla vaccinazione Covid-19. [22/06/21]
Datatilsynet (Autorità garante norvegese per la protezione dei dati)
Sanzione da 15.000 euro a datore di lavoro per mancata chiusura ed accesso alla casella email dell’ex dipendente
Il Garante norvegese ha comunicato di aver irrogato una sanzione da 15.000 euro ad un datore di lavoro per la mancata chiusura della casella email dell’ex dipendente, rimasta aperta per un periodo di 5 mesi. Oltre alla mancata chiusura, l’Autorità ha riscontrato che il datore di lavoro aveva acceduto alla cartella ogni giorno per 6 settimane consecutive, cambiando la password di accesso alla email. Cassando le difese del datore, il quale rimarcava come l’accesso si fosse reso necessario per esigenze di continuità aziendale e gestione dei rapporti con la clientela, il Garante ha evidenziato l’illiceità del trattamento per assenza di una valida base giuridica. [22/06/21]
DPC (Autorità garante irlandese per la protezione dei dati)
Pubblicata guida sul trattamento dei dati dei visitatori per l’acquisto di un immobile
Il Garante irlandese ha pubblicato una guida sul trattamento dei dati personali dei visitatori per l’acquisto di un immobile. La guida, composta da sole due pagine, si limita a ricordare i principi fondamentali che i titolari del trattamento devono osservare in forza del GDPR, ponendo l’attenzione sul principio di minimizzazione. La guida fa il paio con quella già adottata dell’Autorità nel luglio 2019, avente ad oggetto il trattamento dei dati personali di futuri affittuari da parte dei proprietari e agenti immobiliari, alla quale il Garante rimanda per esempi casistici ed approfondimenti. [21/06/21]
IMY (Autorità garante svedese per la protezione dei dati)
Contro la legge le body cam impiegate dall’autorità dei trasporti pubblici di Stoccolma
Il Garante svedese ha comunicato di aver irrogato una sanzione da oltre 1 milione e mezzo di euro all’autorità dei trasporti pubblici di Stoccolma, ritenendo contro la legge le body cam impiegate dai controllori dei biglietti alle dipendenze della stessa autorità, fornite in dotazione per prevenire minacce e tutelare l’incolumità di quest’ultimi, oltre che per assicurarsi l’immagine di coloro che non volessero fornire documenti identificativi in caso di multa. Le body cam conservavano i dati trattati (immagini e rumori di fondo) per un minuto, salvo che il controllore non attivasse lo strumento di registrazione. Oltre a ritenere il trattamento incompatibile con la legge svedese, l’Autorità ha sottolineato che il titolare aveva mancato di dare adeguata informativa ai passeggeri non solo circa la registrazione delle immagini, bensì anche dei suoni. [21/06/21]
ICO (Autorità garante inglese per la protezione dei dati)
Pubblicata opinione sull’uso delle tecnologie live di riconoscimento facciale in spazi pubblici
Il Garante inglese ha adottato un’opinione sull’uso delle tecnologie live di riconoscimento facciale in spazi pubblici. L’opinione si preoccupa di definire quali siano le tecnologie live di riconoscimento spaziale, quali siano i rischi correlati ad un loro utilizzo negli spazi pubblici e fornisce i principali requisiti che il trattamento di dati biometrico deve osservare, sia con riferimento alla normativa nazionale inglese che relativamente al GDPR. Per facilitare i titolari del trattamento nell’adempimento dei loro obblighi, l’Allegato all’opinione contiene una serie di domande utili ai fini della valutazione d’impatto. [18/06/21]
ICO (Autorità garante inglese per la protezione dei dati)
Sanzione da 130.000£ ad impresa di ristrutturazioni edili per telemarketing aggressivo
Il Garante inglese ha comunicato di aver irrogato una sanzione pari a 130.000£ a un’impresa di ristrutturazioni edili per telemarketing aggressivo, avendo effettuato 900.000 chiamate ad interessati che si erano iscritti al registro delle opposizioni o che avevano chiesto di non essere ricontattati per finalità di marketing. Nell’ambito dell’istruttoria compiuta dall’Autorità, è emerso che il titolare del trattamento, conscio delle violazioni che stava realizzando, non si identificava con la propria ragione sociale in occasione delle chiamate o utilizzava falsi nomi. [23/06/21]
AEPD (Autorità garante spagnola per la protezione dei dati)
Sanzione da quasi 10.000 euro per erronea fatturazione
Il Garante spagnolo ha adottato un provvedimento con una sanzione da 10.000 euro alla società di trasporto TNT Express Worldwide Spain per aver erroneamente fatturato un servizio contratto da un dipendente a titolo personale all’impresa-datore di lavoro, la cui ragione sociale ed indirizzo erano state indicate solo come luogo di fornitura del servizio. Il dipendente sporgeva quindi reclamo all’Autorità lamentando che, a causa dell’errore, il proprio datore di lavoro era entrato in possesso di dati personali che non avrebbe dovuto avere. Il Garante, ravvisato che la presa coscienza di questi dati non sarebbe avvenuta se essi fossero stati trattati in maniera esatta, ha quindi riscontrato e sanzionato una violazione del principio di esattezza di cui all’articolo 5 del GDPR. [22/06/21]
