Novità privacy. WhatsApp e Apple: la privacy diventa “arma” contro Governi e app
Panorama italiano
Garante per la protezione dei dati personali
Green pass: l’iniziativa locale della Campania viola la normativa privacy
Il Garante ha comunicato di aver adottato un provvedimento di avvertimento formale alla Regione Campania in cui avverte che il sistema di certificazione di avvenuta vaccinazione, guarigione o negatività – promosso dalla Regione come condizione necessaria per la fruizione di innumerevoli servizi come quelli turistici, alberghieri, di wedding, trasporti e spettacoli – viola la normativa sulla privacy poiché l’iniziativa si fonda su una base giuridica non idonea. Tali limitazioni, ricorda l’Autorità, potrebbero essere previste solo da una normativa nazionale e non da una semplice ordinanza regionale. Il comunicato del Garante sottolinea altresì le criticità del sistema relative all’utilizzo di smartcard, per le quali l’ordinanza non prevedeva comunque nessuna informazione fondamentale sul trattamento dei dati (chi fosse il titolare, chi potesse avere accesso alle informazioni, chi fosse individuato come addetto al controllo di autenticità delle certificazioni). [26.05.21]
Garante per la protezione dei dati personali
Firmato protocollo d’intesa col Garante nazionale dei diritti delle persone private della libertà personale
Il Garante ha comunicato di aver sottoscritto un protocollo d’intesa col Garante nazionale dei diritti delle persone private della libertà personale affinché la cooperazione tra le due Autorità garantisca una maggiore protezione della dignità e dei diritti dei detenuti e di altre persone sottoposte a forme di limitazione della libertà, come i migranti trattenuti nei Centri per i rimpatri e gli ospiti delle Residenze per l’esecuzione delle misure di sicurezza. Oltre all’elaborazione di progetti formativi comuni, il protocollo d’intesa mira a favorire un rapido scambio informativo circa le possibili violazioni di competenza dell’altra Autorità. [26.05.21]
Cassazione Civile
Consenso degli interessati valido solo se informato sulla logica dell’algoritmo
La Prima Sezione della Cassazione Civile, nel trattare un ricorso del Garante avverso a una sentenza del Tribunale di Roma, ha statuito (ordinanza n.14381) che già nell’ambito della previgente disciplina il consenso al trattamento effettuato da un algoritmo di rating reputazionale poteva considerarsi valido solo se gli interessati venivano informati sulle logiche impiegate dall’algoritmo per arrivare alla propria conclusione. La decisione, per quanto riferita al quadro legislativo previgente, contiene principi di diritto conformi e rafforzati dalle disposizioni del GDPR. [25.05.21]
Garante per la protezione dei dati personali
Online le linee di indirizzo sul DPO in ambito pubblico
Il Garante ha comunicato di aver reso disponibili sul proprio sito le linee di indirizzo sul DPO in ambito pubblico, le quali forniscono chiarimenti sulla designazione, sulla posizione e sui compiti di questa figura nell’ambito della Pubblica Amministrazione. Le linee di indirizzo, in corso di pubblicazione sulla Gazzetta Ufficiale ed inviate ai vertici amministrativi del mondo pubblico per favorirne la più ampia diffusione, sottolineano come il DPO sia una figura fondamentale a garanzia della correttezza dei trattamenti effettuati in ambito pubblico, sempre più interessati dalla trasformazione digitale. Con l’occasione, l’Autorità comunica altresì di aver aggiornato le FAQ sul DPO in ambito privato. [24.05.21]
Leggi le linee di indirizzo e le FAQ aggiornate.
Dal mondo
EDPS (European Data Protection Supervisor)
Avviate due indagini per verificare il rispetto della giurisprudenza “Schrems II”
Il Garante Europeo ha comunicato di aver avviato due indagini per verificare il rispetto della giurisprudenza “Schrems II” con riferimento (i) al trattamento dei dati in cloud mediante i servizi Amazon e Microsoft da parte delle Istituzioni Europee, e (ii) all’uso di Microsoft365 da parte della Commissione UE. Come sottolinea l’Autorità, le indagini si inseriscono nell’ambito della strategia EDPS per garantire il rispetto dei principi della giurisprudenza “Schrems II” da parte di tutti gli organismi ed istituzioni attenzionate dal Garante. [27.05.21]
ENISA (Agenzia europea per la cybersecurity)
Sottoposto all’approvazione della Commissione UE il primo schema di certificazione cybersecurity per prodotti ICT
ENISA ha comunicato di aver inviato il primo schema di certificazione cybersecurity alla Commissione UE affinché ne valuti l’approvazione. Lo schema di certificazione ha ad oggetto i prodotti ICT e si inserisce nell’ambito del Cybersecurity Act, volto ad incrementare la fiducia nei prodotti ICT. Una volta approvato, lo schema permetterà di poter certificare prodotti ICT, con rilevanza anche ai fini della sicurezza del trattamento di cui all’articolo 32 del GDPR. [26.05.21]
Leggi il comunicato e accedi allo schema.
Unicef
Pubblicato manifesto per una migliore governance dei dati personali dei minori
L’Unicef ha pubblicato un manifesto per una migliore governance dei dati personali dei minori, il quale restituisce una serie di benchmark a cui auspica che i privati e le organizzazioni internazionali facciano riferimento nel trattamento dei dati personali dei minori. Il manifesto puntualizza i rischi che possono derivare dal trattamento dei dati personali dei minori ai diritti e alle libertà di quest’ultimi, quali la manipolazione del loro comportamento e l’aumento di pregiudizi. Il documento richiama quindi alla necessità che sia sviluppato un approccio internazionale orientato al rispetto di principi sul trattamento dei dati dei minori che garantiscano fortemente le libertà di quest’ultimi. [26.05.21]
Ricorso all’Alta Corte di Delhi sull’incostituzionalità delle nuove norme IT adottate dal Governo indiano
WhatsApp ha intenzione di fare ricorso all’Alta Corte di Delhi per ottenere la declaratoria di incostituzionalità delle nuove norme IT adottate dal Governo indiano, che impongono al servizio di messaggistica di tracciare l’origine dei messaggi scambiati in chat dagli utenti del servizio. Secondo indiscrezioni, questa disposizione sarebbe stata introdotta a seguito della viralità raggiunta da un video sul linciaggio di un rappresentante governativo, che, secondo il Governo indiano, è un episodio che rappresenta come la disinformazione e il forwarding di video violenti contro le autorità inciti a comportamenti emulativi. I rappresentanti di WhatsApp hanno ricordato che il rispetto della privacy dei propri utenti è una prerogativa fondamentale del servizio che, per questa ragione, cripta end-to-end ogni messaggio scambiato dagli utenti, il cui contenuto è quindi accessibile solo a mittente e destinatario del messaggio. In più, essi hanno specificato che la disposizione sarebbe comunque inutile poiché l’origine del messaggio non garantisce che il contenuto oggetto dello stesso sia stato prodotto dall’utente che lo invia (si pensi ad un post condiviso su WhatsApp da un utente ma originato su un social network da un utente diverso). [26.05.21]
NOYB (None of Your Business)
Presentati reclami a cinque garanti nazionali contro Clearview AI
NOYB, nota organizzazione impegnata nella tutela della protezione dei dati, ha comunicato di aver presentato reclami a cinque garanti nazionali (Francia, Australia, Grecia, Italia e Regno Unito) contro Clearview AI, sistema di riconoscimento facciale che scandaglia il web alla ricerca di immagini rappresentanti il soggetto dell’immagine-fonte inserita per la ricerca. Secondo gli attivisti, il sistema violerebbe svariate disposizioni del GDPR, senza considerare che Clearview non ha adempiuto all’obbligo di nominare un rappresentante UE ai sensi dell’articolo 27 GDPR. Il sistema era già stato oggetto di un provvedimento da parte del Garante di Amburgo (ne abbiamo parlato qui). [25.05.21]
ECHR (Corte Europea dei Diritti dell’Uomo)
Intercettazioni di massa UK dei dati di comunicazioni elettroniche sono illegittime
La Grande Sezione della Corte EDU ha statuito l’illegittimità del regime di intercettazioni di massa dei dati di comunicazioni elettroniche così come disciplinato dalle norme UK. Nel comunicato stampa riferito alla decisione, la Corte sottolinea come le intercettazioni di massa di dati non siano illecite di per sé, a patto che siano misure necessarie e proporzionate che rispettino alcune salvaguardie quali (i) autorizzazione da parte di un’autorità indipendente, (ii) definizione dell’oggetto e delle finalità dell’operazione, e (iii) predisposizione di un meccanismo di revisione ex post da parte di un’autorità indipendente. Nel caso di specie, il regime UK è risultato carente dei primi due requisiti. [25.05.21]
EDPB (Comitato europeo per la protezione dei dati)
Pubblicata risposta ad Access Now per l’identificazione dello stabilimento principale ai sensi del GDPR
Il Comitato europeo per la protezione dei dati ha pubblicato la risposta inviata ad Access Now – non-profit a tutela dei diritti digitali – circa l’identificazione dello stabilimento principale di un titolare/responsabile del trattamento ai sensi del GDPR. Il Comitato, ricordando che la materia è oggetto di specifiche linee guida WP29 approvate dall’EDPB il 25 maggio 2018, specifica di non poter entrare nel merito dell’identificazione di uno stabilimento principale relativamente ad un caso concreto, a meno che non sia coinvolto ai sensi del meccanismo di coerenza ai sensi dell’articolo 65 del GDPR per risolvere le opinioni contrastanti delle autorità di controllo interessate. [25.05.21]
Bundeskartellamt (Antitrust tedesca)
Avviati procedimenti su abuso di posizione dominante di Google per le modalità di gestisce dei dati personali degli utenti
L’Antitrust tedesca ha comunicato di aver avviato due procedimenti aventi ad oggetto il possibile abuso di posizione dominante delle società appartenenti al gruppo Google, integrato dalle modalità di gestione dei dati personali degli utenti. Come specificato dal Presidente dell’Autorità, i procedimenti di indagine si concentreranno sul verificare se all’utente-consumatore dei servizi Google sono lasciate opzioni sufficienti relativamente all’utilizzo dei propri dati personali da parte del gruppo Google. L’indagine, e la possibile istruttoria, entrerà quindi nel merito della legittimità dei trattamenti di dati personali effettuati da Google in relazione a molti dei servizi di quest’ultima, in quanto accertamento strumentale rispetto all’abuso di posizione dominante, vero oggetto dei procedimenti. [25.05.21]
Omiai
Accesso non autorizzato ai server della principale app di dating giapponese
Net Marketing Co., società titolare dell’app Omiai – la principale app di dating giapponese – ha comunicato di aver riscontrato un accesso non autorizzato ai propri server nel mese di aprile 2021. L’accesso ha esposto a soggetti non autorizzati i dati di oltre 2 milioni di account che, ai fini di verifica dell’identità e dell’età, includono documenti identificativi quali passaporti, codici fiscali e patenti di guida. [24.05.21]
Apple
Nel 2020 oltre 200.000 app rimosse dallo store per criticità privacy
Apple ha pubblicato i dati annuali sulle iniziative prese a tutela degli utenti del proprio store, focalizzato principalmente sul rischio di transazioni fraudolente. I dati specificano che nel 2020 oltre 200.000 app sono state rimosse dallo store per criticità privacy, principalmente consistenti nella richiesta di dati ultronei rispetto a quelli necessari per la fruizione dei servizi dell’app o in trattamenti contrari al principio di correttezza. Il numero in questione supera di un terzo quello delle app di spam e di copycats (app illegittime di copia di altre app sullo store). [21.05.21]
Autorità garanti estere
CNIL (Autorità garante francese per la protezione dei dati)
Inviata ingiunzione a 20 grandi società affinché si conformino alle linee guida e raccomandazione in materia
Il Garante francese ha comunicato di aver iniziato le verifiche relative al rispetto delle linee guida e raccomandazioni adottate in materia di cookie da parte della stessa Autorità nell’ottobre del 2020, le quali sono regolate dal principio che garantisce all’interessato la stessa facilità di rifiutare/rimuovere i cookies rispetto alle modalità con cui ha acconsentito agli stessi. A seguito delle prime verifiche, l’Autorità ha riscontrato violazioni da parte di una ventina di grandi società francesi, raggiunte quindi da un provvedimento di ingiunzione affinché si conformino alle linee guida e raccomandazioni cookies entro un mese. Il Garante ha sottolineato come questa sia solo la prima di una serie di campagne di verifica in programma, dato che i trattamenti cookies saranno uno dei settori più interessati dall’attività dell’Autorità del 2021. [25.05.21]
CNIL (Autorità garante francese per la protezione dei dati)
Pubblicata guida sul trattamento dati da parte dei professionisti del settore sociale e medico-sociale
Il Garante francese ha comunicato l’avvenuta pubblicazione di una guida sul trattamento dei dati personali da parte dei professionisti del settore sociale e medico-sociale, al fine di assistere queste figure nell’adempimento degli obblighi previsti dal GDPR. La guida spiega a queste figure il GDPR con un approccio casistico, mediante esempi che riguardano il trattamento dei dati nell’ambito della loro attività professionale e raggruppa una serie di modelli utili che potranno implementare per adempiere agli obblighi imposti dalla normativa. Ad esempio, la guida riporta un esempio di quella che potrebbe essere una procedura relativa all’esercizio del diritto di accesso da parte dell’interessato. [25.05.21]
AEPD (Autorità garante spagnola per la protezione dei dati)
Sanzione da 100.000€ a Vodafone Spagna per trattamenti in violazione del registro delle opposizioni
Il Garante spagnolo ha comunicato di aver sanzionato Vodafone Spagna per aver effettuato trattamenti in violazione del registro delle opposizioni. In particolare, l’istruttoria dell’Autorità ha riscontrato che Vodafone, in qualità di responsabile del trattamento, ha sponsorizzato l’effettuazione di chiamate a numeri di telefono di interessati aderenti al registro delle opposizioni, dunque che avevano manifestato l’opt-out per chiamate con finalità di marketing. Nella definizione della sanzione ha pesato l’incapacità di Vodafone di documentare il monitoraggio continuo del registro delle opposizioni. [25.05.21]
AEPD (Autorità garante spagnola per la protezione dei dati)
Provvedimento sanzionatorio da 45.000€ a Telefonica per assenza di base giuridica del trattamento valida
Il Garante spagnolo ha adottato un provvedimento sanzionatorio verso Telefonica – compagnia di telecomunicazioni spagnola – per aver trattato i dati personali del reclamante in assenza di base giuridica del trattamento valida. Nel caso di specie, il nominativo dell’interessato era stato inserito in una lista di clienti insolventi relativamente al mancato pagamento di fatture relative ad un servizio che il reclamante non aveva mai contrattualizzato. Durante l’istruttoria, Telefonica ha riconosciuto la probabilità che il nominativo del reclamante fosse stato oggetto di un furto di identità da parte di un terzo, stante l’impossibilità di rinvenire nei propri record alcun documento identificativo del reclamante a supporto dell’avvenuta contrattualizzazione del servizio. Nel provvedimento sanzionatorio, l’Autorità ha specificato che la sanzione è stata ridotta grazie al comportamento del titolare che, oltre a riconoscere quanto detto, ha tempestivamente cancellato il dato dalla lista degli insolventi e ha dimostrato di aver adottato una serie di misure volte a migliorare il processo di verifica dell’identità dei clienti. [25.05.21]
Leggi il provvedimento sanzionatorio.
AEPD (Autorità garante spagnola per la protezione dei dati)
Pubblicato report sull’accesso dei dati sanitari dei pazienti per la difesa di un diritto
Il Garante spagnolo ha colto l’occasione di una risposta alla richiesta di consultazione da parte di un ospedale per elaborare un report sull’accesso dei dati sanitari dei pazienti per la difesa di un diritto ai sensi dell’articolo 9.2 lettera f del GDPR. Per quel che riguarda l’interpretazione della normativa europea, l’Autorità ha esaminato due ipotesi relative alla richiesta di accesso ai dati dei pazienti da parte di un sanitario per (a) predisporre la propria difesa in un giudizio avviato da un paziente, e (ii) per l’inoltro della documentazione medica relativa al paziente alla propria compagnia assicurativa, affinché verifichi che il danno sia coperto dall’assicurazione professionale del sanitario. In entrambi i casi, il Garante spagnolo ha sottolineato che l’accesso è possibile solo se accompagnato da misure sufficienti a salvaguardia dei diritti dell’interessato che garantiscano il rispetto dell’articolo 5 del GDPR, ferma restando la necessità che la base giuridica a supporto del trattamento sia correttamente individuata. [24.05.21]
DPC (Autorità garante irlandese per la protezione dei dati)
Pubblicato post con alcuni consigli nei casi in cui le organizzazioni siano contattate da mandatari dell’interessato
Il Garante irlandese ha pubblicato un post sul proprio blog in cui tratta il tema delle organizzazioni che vengono contattate da mandatari dell’interessato, sottolineando come spesso le organizzazioni in questione si rifiutino di comunicare col mandatario per questioni relative alla protezione dei dati, eccependo l’adempimento ad obblighi di sicurezza del GDPR. Sebbene la garanzia della sicurezza e confidenzialità del dato sia un obbligo che il titolare deve sempre osservare, l’Autorità ha ricordato che la normativa non impone di dare riscontro solamente all’interessato e, anzi, altre norme possono prevedere la necessità che, a fini non discriminatori, l’organizzazione comunichi con un mandatario designato (è l’esempio di interessati con disabilità comunicative). Il Garante conclude quindi circa la necessità che il titolare implementi misure di sicurezza adeguate che però non inibiscano la possibilità per l’interessato di ricorrere ad un mandatario, che in certi casi può rappresentare una vera e propria necessità, raggiungendo quindi un equilibrio. [21.05.21]
