Novità privacy. Parte il Green Pass ma si ferma AppIo
Panorama italiano
Garante per la protezione dei dati personali
Via libera al Green pass e blocco provvisorio dell’AppIO
Il Garante ha comunicato di aver dato parare favorevole allo schema di decreto attuativo che attiva la Piattaforma nazionale - DGC per il rilascio del Green pass, pur indicando una serie di misure che dovranno essere adottate per garantire la conformità del provvedimento al GDPR. In particolare, l’Autorità sottolinea come sia necessario che sia una norma di rango primario a individuare chiaramente i casi in cui può essere chiesto all’interessato di esibire la certificazione verde per accedere a luoghi o locali, non potendo essere questo compito demandato a provvedimenti regionali. Nello stesso comunicato, il Garante ha dichiarato di aver disposto il blocco di alcuni trattamenti effettuati dall’AppIO – strumento nelle mani del cittadino per interagire con la PA – poiché interoperanti con Google e Mixpannel e comportanti quindi un trasferimento entra-UE di dati senza raccolta del consenso informato sui rischi dell’utente. [10/06/21]
Garante per la protezione dei dati personali
Presidente Stanzione: Il Green pass è una misura temporanea
Il Garante ha rilanciato un’intervista rilasciata dal Presidente Pasquale Stanzione, nella quale il vertice dell’Autorità ricorda che il Green pass (o certificato vaccinale) è una misura temporanea, così come previsto dal Regolamento Europeo che lo regola. In occasione dell’intervista, il Presidente Stanzione ha spiegato quali sono le caratteristiche rendono un Green pass conforme alla disciplina privacy. Secondo il Presidente, la soluzione preferibile sarebbe quella di evitare che dal certificato possano inferirsi facilmente dati sanitari dei pazienti. Così, il Green pass ideale dovrebbe limitarsi a indicare la data di scadenza e funzionerebbe come un semaforo, a colori. [09/06/21]
Leggi le parole del Presidente.
Dal mondo
EDPS (Garante europeo per la protezione dei dati)
Pubblicato digesto sul trasferimento extra-UE dei dati personali
Il Garante europeo ha pubblicato un digesto sul trasferimento extra-UE dei dati personali, contenente tutta la casistica affrontata dalla Corte di Giustizia Europea dal 2003 ad oggi. L’obiettivo dichiarato del digesto è quello di guidare gli operatori della materia a comprendere gli approdi interpretativi raggiunti dalla Corte, affinché possano assistere i titolari ed i responsabili del trattamento nell’osservanza del Regolamento. Per facilitare il raggiungimento dell’obiettivo, l’introduzione al digesto riporta le 9 domande più comuni correlate al tema, con collegamento ipertestuale alla casistica rilevante. [10/06/21]
Commissione UE
Aperta procedura di infrazione contro il Belgio sull’indipendenza dell’Autorità Garante
Nel comunicato stampa periodico con cui sono rese note le procedure di infrazione avviate, la Commissione UE ha dichiarato di aver aperto una procedura di infrazione contro il Belgio sull’indipendenza dell’Autorité de protection des données (Autorità Garante belga). Nel comunicato, la Commissione specifica che dalla presenza di diverse circostanze relative ai membri dell’Autorità – partecipazione a progetti governativi sul Covid-19; incarichi in commissione governative quali l’Information Security Committee; obbligo di reporting a commissioni dipendenti dal Governo belga – appare chiaro come il Garante belga non sia indipendente, essendo soggetto alle influenze governative esterne. Il Belgio ha 2 mesi per presentare alla Commissione le misure adottate per garantire l’indipendenza della propria Autorità Garante. [09/06/21]
Accedi al comunicato
Parlamento UE
Luce verde al Certificato Digitale Covid UE
Il Parlamento UE ha comunicato di aver dato definitiva luce verde al Certificato Digitale Covid UE, volto a facilitare il libero movimento dei cittadini UE nell’ambito dell’Unione ai tempi della pandemia. Il comunicato ricorda che il Certificato consisterà in un QR Code – digitale o stampato su carta – che attesterà se il soggetto è (i) stato vaccinato contro il Covid; (ii) ha recentemente effettuato un test con risultato negativo; o (iii) è guarito dopo aver contratto il virus. Inoltre, il comunicato, oltre a specificare che la misura resterà in campo per 12 mesi a partire dal 1° luglio 2021, sottolinea che il possesso del certificato non sarà una precondizione al libero movimento dei cittadini UE. [09/07/06]
Access Now
Lettera aperta a richiesta del ban globale delle tecnologie di riconoscimento biometrico
Access Now – una tra le più note organizzazioni non-profit a tutela dei diritti digitali – ha pubblicato una lettera aperta, firmata da oltre 170 associazioni, in cui domanda un ban globale delle tecnologie di riconoscimento biometrico che permettono una sorveglianza di massa indiscriminata. Nella lettera, i firmatari specificano che la loro chiamata al ban è circostanziata all’utilizzo di questi sistemi per finalità di sorveglianza di massa di spazi pubblici e sottolineano i principali effetti distorsivi che l’utilizzo di queste tecnologie produce come, ad esempio, la criminalizzazione delle proteste e l’utilizzo strumentale delle informazioni raccolte per finalità discriminative, anche da parte di privati. [08/06/21]
Apple
Nuove funzioni per rafforzare la privacy degli utenti
Apple ha comunicato che i sistemi iOS 15, iPadOS 15, macOS Monterey e watchOS 8 conterranno delle nuove funzioni volte a rafforzare la privacy degli utenti. La big tech californiana, oltre a richiamare le altre iniziative privacy-friendly rese note nei mesi scorsi (ne abbiamo parlato qui), sottolinea il ruolo centrale che la privacy ha sempre avuto nelle sue tecnologie. Tra le nuove funzioni, particolare rilievo viene dato all’App Privacy Report, che permetterà all’utente di avere un quadro completo su quante volte ogni app ha utilizzato l’autorizzazione concessa per accedere a posizione, foto, fotocamera, microfono e contatti nel corso degli ultimi sette giorni. L’App, oltre a consentire modifiche alle impostazioni, permetterà anche di visualizzare l’elenco di tutti i domini di terze parti che le app autorizzate al trattamento contattano. [07/06/21]
CMA (Antitrust UK)
Avviata indagine sull’utilizzo di Facebook degli advertising data
L’Antitrust UK ha comunicato di aver avviato un’indagine sull’utilizzo di Facebook degli advertising data – i dati raccolti dalla piattaforma tramite i propri servizi di pubblicità ed il servizio Facebook Login – degli iscritti al social. L’Autorità ha dichiarato che obiettivo dell’indagine sarà quello di comprendere se tali dati siano stati illegittimamente autorizzati dalla piattaforma per beneficiare alcuni dei propri servizi, quali Facebook Marketplace e Facebook Dating, rispetto ai propri competitor. Se riscontrato, il comportamento integrerebbe un abuso di posizione dominante. [04/06/21]
Commissione UE
Facebook altera la concorrenza sfruttando gli advertising data
La Commissione UE ha comunicato di aver aperto un’indagine sulla possibilità che gli advertising data raccolti da Facebook possano essere impiegati dal social illegittimamente in altri settori di mercato in cui è attivo, abusando così della sua posizione dominante o comunque mettendo in atto pratiche commerciali scorrette. Nello specifico, secondo quanto emerse dalle investigazioni preliminari, la Commissione teme che Facebook utilizzi gli advertising data per modellare Facebook Marketplace, alterando la concorrenza. L’indagine fa il paio con quella avviata dall’Antitrust UK lo stesso giorno, di cui abbiamo parlato sopra. [04/06/21]
Commissione UE
Adottate le nuove clausole contrattuali standard per i trasferimenti extra-UE di dati
La Commissione UE ha reso noto di aver adottato la versione definitiva delle nuove clausole contrattuali standard per i trasferimenti extra-UE di dati personali. Il progetto di rinnovazione delle clausole era stato avviato dalla Commissione nello scorso novembre (ne abbiamo parlato qui), presumibilmente spinto dalla necessità di offrire ai titolari e responsabili del trattamento un’alternativa al privacy shield, invalidato dalla pronuncia Schrems II del luglio 2020. [04/06/21]
ENISA (Agenzia dell’Unione europea per la cybersecurity)
Nuova luce sulle capacità nel campo dell’energia e della sanità
Un nuovo rapporto pubblicato dall’Agenzia dell’UE per la sicurezza informatica mette in mostra il panorama della gestione della vulnerabilità dei prodotti, svelando le sfide affrontate dai CSIRT e PSIRT settoriali, ovvero dalle squadre preposte a rispondere in caso di incidenti informatici. Lo studio pubblicato – “PSIRT Expertise and Capabilities Development” – fornisce raccomandazioni sul ruolo dei PSIRT nella configurazione IR degli Stati membri secondo il NISD, in particolare nei settori dell’energia e della salute. L’ENISA aveva già esplorato in dettaglio la configurazione IR in tutti i settori della NISD in uno studio pubblicato nel 2019: “Rapporto sullo stato di sviluppo della risposta agli incidenti degli Stati membri dell’UE”. [03/06/2021]
Autorità garanti estere
CNPD (Autorità garante lussemburghese per la protezione dei dati)
Proposta sanzione da 425 milioni di dollari ad Amazon
Secondo quanto riportato dal Wall Street Journal, il Garante lussemburghese avrebbe proposto, nell’ambito del meccanismo di coerenza di cui all’art. 64 GDPR, ad altre 26 Autorità Garanti europee di irrogare una sanzione da 425 milioni di dollari ad Amazon, per violazioni del Regolamento sul trattamento dei dati personali dei propri utenti. Se venisse confermata l’indiscrezione, la sanzione da irrogarsi sarebbe la più alta mai vista prima, quasi di 10 volte superiore al valore di quella che è attualmente in cima al podio (Google, 50 milioni di euro). [10/06/21]
(Autorità garante olandese per la protezione dei dati)
Sanzionato studio odontoiatrico per registrazione dei pazienti tramite sito web non sicuro
Il Garante olandese ha comunicato di aver irrogato una sanzione da 12.000 euro ad uno studio odontoiatrico che consentiva ai propri pazienti la registrazione al proprio sito web non sicuro. Dall’istruttoria dell’Autorità, è emerso che i protocolli di sicurezza del sito non erano sufficienti a garantire la protezione dei dati personali, molti dei quali relativi alla salute ed a minori, dei clienti dello studio. Il Garante specifica che il caso è ora pendente innanzi alle autorità giurisdizionali in sede di appello. [10/06/21]
IMY (Autorità garante svedese per la protezione dei dati)
Sanzione a Comitato Esecutivo del Servizio di Soccorso per videosorveglianza illecita sui vigili del fuoco
Il Garante svedese ha comunicato di aver irrogato una sanzione da quasi 35.000 euro al Comitato Esecutivo del Servizio di Soccorso, quale datore di lavoro dei vigili del fuoco delle stazioni di Östra Skaraborg, per aver implementato un sistema di videosorveglianza h24 in violazione del principio di minimizzazione dei dati e delle norme sul controllo dei lavoratori. La videosorveglianza, oltre ad essere non-stop, aveva un raggio di ripresa che includeva le zone in cui i vigili del fuoco si cambiavano, incompatibilmente alla finalità del trattamento dichiarata dal Comitato Esecutivo, consistente nella necessità di documentare la risposta ad un allarme incendio da parte della caserma. L’Autorità ha quindi ordinato di limitare il trattamento, attivando il sistema solo in caso di allarme incendio ricevuto dalla caserma e salvaguardando la riservatezza dei vigili al momento del cambio abiti. [10/06/21]
CNIL (Autorità garante francese per la protezione dei dati)
Adottate 8 raccomandazioni sulla protezione dei dati personali dei minori
Il Garante francese ha comunicato di aver adottato 8 nuove raccomandazioni sulla protezione dei dati personali dei minori nel mondo digitale, la cui corretta implementazione passerà attraverso la loro osservanza da parte dei minori, degli esercenti la responsabilità genitoriale e dei fornitori dei servizi digitali. Le raccomandazioni, di ampio respiro, si concentrano sulla capacità d’agire dei minori – quasi sempre chiamati ad accettare condizioni generali di servizio di cui non possono comprendere la portata – sull’esercizio dei diritti e sulle misure a garanzia dell’interesse dei minori, incluse le procedure di verifica dell’età. [09/06/2021]
ICO (Autorità garante inglese per la protezione dei dati)
Sanzionate tre società per telemarketing illecito
Il Garante inglese ha comunicato di aver sanzionato tre società per telemarketing illecito, perpetrato mediante messaggi spam e svariate chiamate telefoniche. Le tre società, operanti in altrettanti settori molto diversi (car finance, pannelli solari e servizi funebri), hanno in comune l’aver effettuato trattamenti illeciti dei dati personali di interessati che si erano iscritti al TPS – il corrispettivo inglese del nostro Registro delle Opposizioni – e che, pertanto, non solo non avevano acconsentito al trattamento ma avevano bensì espresso il proprio diniego. Il totale delle tre sanzioni sfiora il mezzo milione di sterline, con la più bassa pari a 100.000£. [08/06/21]
AEPD (Autorità garante spagnola per la protezione dei dati)
Sanzione da quasi 20.000 euro per videosorveglianza illecita
Il Garante spagnolo ha irrogato una sanzione da quasi 20.000 euro ad una società di radiodiffusione pubblica per videosorveglianza illecita. L’istruttoria, avviata a seguito del reclamo proposto da un dipendente della società, ha permesso di scoprire che le telecamere del sistema erano posizionate in modo da inquadrare eccessivamente gli uffici del personale, integrando così una violazione del principio di minimizzazione previsto dall’articolo 5 del GDPR. Oltre a ciò, il trattamento di videosorveglianza illecita è risultato aggravato dalle carenze dell’informativa privacy correlata al trattamento. Nonostante il riconoscimento della violazione da parte della società abbia abbattuto la sanzione del 20%, l’importo finale è risultato comunque alto, pari a 19.600€. [03/06/21]
