Novità privacy: illegittima la campagna “recupero consensi” di Telecom
Panorama italiano
Garante per la protezione dei dati personali
Caso Grillo: la condivisione del video è illecita
Il Garante è intervenuto con un breve comunicato sul “Caso Grillo”, la recente vicenda di cronaca giudiziaria che ha interessato il figlio di Beppe Grillo, accusato di stupro. Dato che negli scorsi giorni i genitori della ragazza hanno riferito che un breve frammento di 20 secondi del video rappresentante il rapporto sessuale oggetto del giudizio penale pendente sia stato condiviso tra gli accusati e i loro amici, l’Autorità ha voluto ribadire che tale condotta rappresenta un illecito penale e una violazione amministrativa. [28/04/2021]
Garante per la protezione dei dati personali
Online la nuova newsletter
Il Garante ha pubblicato la newsletter del mese di aprile 2021, le cui notizie si concentrano su due grandi macro-aeree: telemarketing e diritto di cronaca. Per quanto riguarda il primo settore, l’Autorità ha comunicato di aver sanzionato tre call center per telemarketing selvaggio e di aver ammonito una società per non aver dato riscontro all’esercizio del diritto di opt-out degli interessati. Relativamente alla seconda area, il Garante ha riportato due casi attinenti (i) al diritto all’oblio, sottolineando come la deindicizzazione di un articolo online sia sufficiente a garantirlo, senza che l’editore sia obbligato a rimuovere l’articolo dal proprio archivio, e (ii) alla minimizzazione dei dati, ribadendo che il giornalista non deve fornire informazioni eccedenti la finalità di cronaca che possano ledere la riservatezza degli interessati o dei familiari. [27/04/2021]
Cassazione Civile
Respinto ricorso di Telecom contro il divieto pronunciato dal Garante al trattamento dei dati per il recupero dei consensi illecitamente acquisiti
La Prima Sezione della Cassazione Civile ha messo un punto definitivo alla diatriba tra Telecom ed il Garante privacy riguardante la campagna “recupero consensi” avviata dal titolare per riottenere i consensi che l’Autorità aveva ritenuto essere stati illecitamente acquisiti. In particolare, nel 2016 il Garante aveva vietato il trattamento delle utenze di quanti avessero già espresso il dissenso ad essere contattati per finalità di marketing. Telecom, ritenendo che il trattamento per riottenere il consenso non fosse definibile come una “comunicazione commerciale”, proponeva ricorso al Tribunale di Milano che, nel 2017, si pronunciava a favore del Garante, ritenendo inscindibile dalla campagna di acquisizione del consenso quella per finalità promozionale, trattandosi sostanzialmente di unica campagna in due fasi. La Cassazione, respingendo il ricorso di Telecom, ha avallato la tesi dell’Autorità e dei giudici milanesi. [26/04/2021]
Garante per la protezione dei dati personali
Frizioni col Governo su riaperture e pass vaccinali
Il Garante ha inviato un avvertimento formale a tutti i ministeri coinvolti nell’adozione del Decreto Legge “Riaperture”, il quale disciplina l’utilizzo delle certificazioni verdi (cd. Green pass) per gli spostamenti tra Regioni rosse e/o arancioni nonché per l’accesso a determinati eventi. L’Autorità sottolinea come la mancata interlocuzione con la stessa da parte del Governo abbia finito per rendere il provvedimento ricco di criticità sul versante protezione dei dati personali. In particolare, il Garante sottolinea come: (i) il decreto non sia una base giuridica sufficiente per questo tipo di trattamento; (ii) manchi una valutazione di impatto; (iii) non siano state sufficientemente precisate le finalità; (iv) l’operare concreto del sistema violi il principio di minimizzazione dei dati. L’Autorità ha comunque offerto al Governo la propria collaborazione per affrontare e superare le criticità rilevate. [23/04/2021]
Leggi il comunicato, l’intervista a Pasquale Stanzione e l’avvertimento formale.
Parlamento UE
Adottato Digital Green Certificate, dopo aver recepito le preoccupazioni privacy di 28 gruppi per le libertà civili
Il Parlamento UE ha ricevuto una lettera firmata da 28 organizzazioni in difesa delle libertà civili, le quali chiedono alcuni emendamenti alla proposta di Regolamento relativa al Digital Green Certificate (meglio noto come “passaporto vaccinale Covid”). Nella lettera le organizzazioni esprimono più preoccupazioni per il tema della protezione dei dati dei cittadini europei, fra le quali: (i) la mancanza di salvaguardie contro la sorveglianza online da parte delle Autorità rilascianti; e (ii) l’utilizzo ulteriore dei dati trattati che alcun Stati Membri hanno già comunicato di voler implementare (ad es. per l’entrata nei luoghi di culto o alle manifestazioni sportive), per il quale dovrebbe specificarsi la necessità di una legge nazionale quale base giuridica idonea, nonché di una previa valutazione di impatto. A ciò si aggiunge la preoccupazione circa la possibilità che il Covid Pass possa generare illecite discriminazioni ai cittadini UE nell’esercizio della loro libertà di movimento. In risposta, due giorni dopo il Parlamento ha chiarito che l’assenza del Digital Green Certificate non precluderà il libero movimento a quanti non intendano scaricarlo e che i dati trattati non verranno né conservati dagli Stati Membri né in unico data center centralizzato (che non verrà quindi creato). Il 29 aprile il Parlamento ha poi adottato la proposta. [29/04/2021]
Leggi la lettera e il comunicato del Parlamento.
USA
Attacco hacker alla Polizia di Washington
Il Dipartimento della Polizia di Washington ha confermato di aver subito un attacco hacker dal gruppo Babuk Locker. Secondo le affermazioni del gruppo hacker, i dati oggetto dell’attacco corrisponderebbero a 250gb di dati sensibili quali, ad esempio, nomi degli informatori di polizia e dettagli delle operazioni in corso. Babuk Locker minaccia la pubblicazione integrale dei dati, che in parte hanno già iniziato a comparire su siti di ransomware shaming da lunedì 26 aprile, se la Polizia non provvederà a pagare un riscatto. [28/04/2021]
Apple
Nuovo aggiornamento IOS con importanti novità lato privacy
Apple ha rilasciato un nuovo aggiornamento IOS con cui introduce “App Tracking Transparency” (ATT), un sistema che, al fine di rendere più trasparente possibile il tracciamento dell’utente da parte delle app, richiede di ottenere il consenso dell’interessato a tracciare i suoi dati nelle applicazioni o sui siti web di terzi per scopi pubblicitari o di condivisione con data broker. La novità non è stata accolta a braccia aperte dagli sviluppatori di terze parti tant’è che in Germania la ZAW (German Advertising Federation) ha comunicato di aver presentato un ricorso all’antitrust tedesca, ritenendo che la condotta di Apple costituisca un abuso di posizione dominante, volta ad escludere dall’accesso ai dati (e dunque dal mercato) tutti gli sviluppatori di app prive di ATT. [27/04/2021]
ENISA (Agenzia europea per la sicurezza delle reti e delle informazioni)
Nuovo report sulle direttrici di ricerca strategica da approfondire per l’autonomia digitale
L’ENISA ha pubblicato un nuovo report in cui fissa analiticamente i punti rilevanti sui quali, in chiave strategica, dovrà concentrarsi la ricerca dei futuri anni affinché siano supportati gli sforzi dell’Unione Europea verso il raggiungimento di un’autonomia digitale. Tra i punti individuati dall’Agenzia vi sono la protezione dei dati, l’affidabilità delle piattaforme software e la crittografia. Il report è destinato principalmente ai ricercatori e ai legislatori, rappresentando una guida per le rispettive future attività e progetti. [23/04/2021]
EDPS (Garante Europeo)
Ok alla proposta del nuovo Regolamento AI ma serviva il ban degli strumenti di identificazione biometrica negli spazi pubblici
Il Garante Europeo ha comunicato di aver accolto con il nuovo Regolamento relativo all’intelligenza artificiale proposto dalla Commissione Europea la settimana scorsa ma ha espresso rammarico circa il fatto che il suo suggerimento di bannare totalmente l’utilizzo di sistemi di identificazione biometrica in spazi pubblici non abbia trovato spazio nella proposta. Sul punto, infatti, il testo della Commissione prevede semplicemente un divieto generale di utilizzo di tali sistemi solo da parte delle autorità pubbliche per ragioni di law enforcement, ferme restando alcune limitate eccezioni. [23/04/2021]
Autorità garanti estere
CNPD (Autorità portoghese per la protezione dei dati)
Blocco del trasferimento in USA dei dati dell’Istituto nazionale di statistica
Il Garante portoghese ha ordinato all’Istituto nazionale di statistica del Portogallo di sospendere qualsiasi trasferimento di dati personali contenuti nel questionario Census 2021 verso gli Stati Uniti, in quanto incompatibile con i principi della giurisprudenza Schrems II. A seguito di svariati reclami, l’Autorità ha avviato un’istruttoria con la quale ha riscontrato che l’Istituto si serviva di un servizio in cloud statunitense per il trattamento dei dati contenuti nei questionari compilati online dai cittadini portoghesi. Il trattamento interessato dal blocco era iniziato da solo 8 giorni. [28/04/2021]
AEPD (Autorità garante spagnola per la protezione dei dati)
I 10 fraintendimenti più comuni quando si parla di anonimizzazione
Il Garante spagnolo ha pubblicato insieme al Garante Europeo un breve paper in cui illustra i 10 fraintendimenti più comuni quando si parla di anonimizzazione. Il documento, oltre a voler evidenziare come “anonimizzazione” e “pseudonimizzazione” siano due concetti diversi, sottolinea come il processo di anonimizzazione non sia mai a rischio zero, non potendo escludersi a priori che i dati possano essere “ripersonalizzati”. [27/04/2021]
AEPD (Autorità garante spagnola per la protezione dei dati)
Sanzionata Equifax per 1 milione di euro
Il Garante spagnolo ha sanzionato Equifax Iberica – colosso spagnolo e mondiale del credit scoring – per 1 milione di euro a causa di illiceità relative al trattamento dei dati finanziari di 96 interessati, che erano stati inseriti in una banca dati sui reclami giudiziari per presunti debiti senza il loro consenso e sulla base di dati erronei raccolti in open source. Nel complesso provvedimento, composto da oltre 180 pagine, l’Autorità riscontra la violazione: (i) dei principi di liceità, limitazione delle finalità ed esattezza dei dati; (ii) dell’art. 6 del GDPR, non avendo Equifax raccolto il consenso degli interessati e non costituendo il legittimo interesse una base giuridica valida per questo specifico trattamento; e (iii) dell’art. 14 del GDPR, non avendo il titolare dato informativa agli interessati del trattamento dei dati non raccolti presso di loro. [23/04/2021]
ANSPDCP (Autorità garante rumena per la protezione dei dati)
Sanzionata persona fisica per aver pubblicato una lista di sostenitori ad un candidato sindaco sulla propria pagina FB
Il Garante rumeno ha sanzionato un segretario generale della sezione di un partito politico rumeno per aver pubblicato sulla propria pagina Facebook una lista di dati personali (nominativi, date di nascita, indirizzi mail, idee politiche) riconducibili a 10 soggetti che sostenevano la candidatura a sindaco di Bucarest di un membro del partito. L’Autorità ha ritenuto il segretario generale colpevole di aver violato l’articolo 32 del GDPR, quindi di non aver implementato adeguate misure tecniche e organizzative a tutela della sicurezza dei dati personali degli interessati. La sanzione irrogata, pari a 500 euro, è stata tutto sommato modesta. [04/03/2021]
