Novità privacy: passaporto vaccinale, app “sicure” e DAD, occhio al trattamento
Panorama italiano
Garante per la protezione dei dati personali
Si può fare commercio di dati personali?
Il Garante ha rilanciato il contributo del proprio componente Guido Sforza sui problemi aperti in materia di valorizzazione dei dati personali e in merito alla possibilità che essi siano previsti come corrispettivo per un servizio. La riflessione di Sforza muove dal rigetto dell’impugnazione proposta da Facebook al Consiglio di Stato avverso la sentenza del Tar Lazio che condannava la ricorrente per pratiche commerciali scorrette, consistite nell’aver dato informazione ai propri utenti della natura gratuita del social network Facebook quando, in realtà, il corrispettivo per il servizio sarebbe rappresentato dal trattamento dei dati personali degli stessi. Secondo il componente del Collegio dell’Autorità, il rigetto dell’impugnazione continua a lasciare molte questioni giuridiche aperte. [30/03/2021]
Garante per la protezione dei dati personali
Pubblicata la newsletter del mese di marzo 2021
Il Garante ha pubblicato la newsletter del mese di marzo, in cui l’Autorità comunica di (i) aver sanzionato il Comune di Roma per aver illecitamente trattato i dati dei beneficiari di permessi ZTL, che erano accessibili a chiunque avesse un semplice QR Code per leggere il codice a barre del permesso; (ii) aver ammonito alcune testate giornalistiche nazionali circa la tutela effettiva delle persone riprese in manette, arrivando a sanzionate un quotidiano per non aver rispettato un primo provvedimento di temporanea limitazione, e (iii) aver partecipato alla redazione delle linee guida sulle auto connesse e assistenti vocali, in consultazione pubblica fino al 23 aprile. [29/03/2021]
Dal mondo
Federal Trade Commission USA (Commissione Federale per il Commercio)
Al vaglio ricorso contro Google Play per pratiche commerciali scorrette correlate al trattamento dei dati dei minori
La Federal Trade Commission si è vista depositare un reclamo avverso Google da due associazioni statunitensi impegnate a tutela dei diritti dei minori, il Center for Digital Democracy e la Campaign for Commercial-free Childhood. Queste ultime lamentano che Google, certificando come sicure delle app –caricate sul proprio store Google Play – che in realtà trattano illecitamente i dati dei minori in violazione delle disposizioni federali statunitensi di riferimento, stia compiendo una pratica commerciale ingannevole, presentando ai genitori dei minori delle app come “sicure” quando in realtà non lo sono. [01/04/2021]
Leggi il comunicato e accedi al complaint.
IAB (Interactive Advertising Bureau Europe)
Pubblicata guida su come condurre una valutazione sulla sussistenza del legittimo interesse
L’IAB, associazione europea attiva nel ramo di digital marketing ed advertising, ha pubblicato una guida sulla valutazione della sussistenza del legittimo interesse nei trattamenti principali connessi a questi settori, nonché su come compiere il test di bilanciamento tra il legittimo interesse del titolare e i diritti e le libertà degli interessati. La guida, pur avendo un taglio di settore, può essere comunque utile a qualsiasi titolare del trattamento che si trovi a dover scegliere se basare uno o più trattamenti su questa base giuridica. [25/03/2021]
Parlamento UE
Implementare il GDPR ed aumentare le risorse a disposizione delle Autorità
Il Parlamento Europeo ha rilasciato un comunicato stampa in cui, dopo aver ricordato l’importanza strategica per l’economia dell’Unione Europea della effettiva implementazione del GDPR, ha sottolineato la necessità che le Autorità Garanti competenti siano dotate delle risorse economiche, umane e tecniche per poter perseguire l’obiettivo. Il comunicato pone altresì l’accento sulla necessità di facilitare le piccole e medie imprese con gli adempimenti imposti dal Regolamento. [25/03/2021]
EDPB (Comitato europeo per la protezione dei dati)
Pubblicata agenda della 47esima plenaria: passaporto vaccinale
Il Comitato europeo per la protezione dei dati ha reso noto l’ordine del giorno della 47esima plenaria, che si focalizzerà totalmente sull’adozione di un’opinione congiunta con l’EDPS relativamente alla proposta di regolamento della Commissione UE sul Digital Green Certificate (cd. Passaporto vaccinale). Il passaporto vaccinale prevederà infatti il trattamento di dati di categorie particolari di tutti i cittadini europei, avendo quindi un notevolissimo impatto sulle libertà e sui diritti di questi ultimi. [30/03/2021]
Autorità garanti estere
Datatilsynet (Autorità garante norvegese per la protezione dei dati)
Sanzionate due scuole per non aver condotto la valutazione d’impatto sui trattamenti effettuati da un’app per la didattica a distanza
Il Garante norvegese ha irrogato una sanzione da 5.000 euro a due scuole per aver omesso di condurre una valutazione d’impatto sui trattamenti svolti da un’app utilizzata per la didattica a distanza. L’app, il cui download era obbligatorio per gli studenti affinché gli insegnanti potessero controllare l’effettivo svolgimento dei compiti assegnati per casa, permetteva la localizzazione degli utenti, il monitoraggio del loro comportamento ed effettuava trattamenti di dati particolari. Per queste ragioni, ha sottolineato l’Autorità, una valutazione d’impatto era adempimento obbligatorio per il titolare. [24/03/21]
Autoriteit persoonsgegevens (Autorità garante olandese per la protezione dei dati)
Sanzione da 475.000 euro per tardiva notificazione di data breach
Il Garante olandese ha sanzionato Booking.com – agenzia di viaggi online olandese per la prenotazione di alloggi, il cui sito offre oltre 28 milioni di strutture alberghiere ed è tradotto in più di 40 lingue – per aver notificato la violazione dei dati personali di 4.000 utenti del sito con 22 giorni di ritardo rispetto alle 72 ore previste dal GDPR. Sull’importo della sanzione, oltre alla dimensione del titolare del trattamento, ha pesato il fatto che la violazione ha permesso a chi l’ha effettuata di ottenere i dati delle carte di credito di 300 utenti del sito. [31/03/2021]
BayLDA (Autorità garante bavarese per la protezione dei dati)
Ammonita società tedesca per l’utilizzo di MailChimp
Il Garante bavarese ha ammonito una società tedesca per aver utilizzato, in sole due occasioni, la piattaforma MailChimp per l’invio di newsletter. La piattaforma, utilizzata da piccole imprese per attività di marketing, prevede infatti un trasferimento dei dati verso gli Stati Uniti che, in assenza dell’adozione di adeguate misure di protezioni supplementari dei dati personali, deve ritenersi in violazione dei principi sanciti dalla giurisprudenza Schrems II della Corte di Giustizia dell’Unione Europea. Rilanciando la notizia, l’EDPB esprime soddisfazione circa l’immediato recepimento di tale giurisprudenza da parte delle Autorità Garanti nazionali. [30/03/2021]
CNIL (Autorità Garante francese per la protezione dei dati)
Sanzione sui radar: chiusa la diffida al Ministero dell’Interno
Con decisione del 25 marzo 2021, il Presidente della CNIL ha deciso di chiudere la diffida del 12 novembre 2019 indirizzata al Ministero dell’Interno avente per oggetto la lettura automatica delle targhe (“LAPI”) dei veicoli effettuata dai radar gestiti dal ministero. Gli elementi in risposta forniti dal Ministero hanno permesso di dimostrare che le carenze osservate durante il controllo sono cessate. Il Ministero, infatti, ha implementato un sistema informatico (una serie di script) che automatizza, tra l’altro, la distruzione dei dati personali memorizzati nella sezione radar oltre le 24 ore. [30/03/2021]
