Privacy: rilevazione dell’utilizzo delle mascherine
Panorama italiano
Garante per la protezione dei dati personali
Informative più chiare grazie alle icone
Il Garante ha lanciato un contest chiedendo a chiunque sia interessato di creare icone volte a garantire una maggiore trasparenza e chiarezza delle informative privacy, spesso troppo lunghe e inadeguate a rendere gli interessati informati dei trattamenti effettuati sui loro dati. Le proposte dovranno essere inviate entro il 30 maggio 2021 all’indirizzo mail: icone@gpdp.it. L’Autorità pubblicherà i tre set di icone che riterrà migliori e chiunque potrà utilizzarle, indicando il nome dell’autore. [15/03/2021]
ASSODPO (Associazione Data Protection Officer)
Nuovo anno, nuove minacce cyber: la tecnica del “doppio attacco” e come tutelarsi
Negli ultimi mesi le minacce cyber sono incrementate in modo considerevole. Secondo il Report dell’ENISA (Agenzia Europea per la Cybersecurity, Report “ETL - Enisa Threat Landscape 2020”, del 20 ottobre 2020), la pandemia ha contribuito in modo importante alla diffusione di rischi informatici e di fenomeni quali il phishing, le truffe informatiche online (mediante siti contraffatti, fake e-commerce) e il cyberbullismo. [11/03/2021]
ASSODPO (Associazione Data Protection Officer)
Italia nella top ten mondiale per numero di Data Center: le statistiche aggiornate
I Data Center hanno assunto un ruolo di primaria importanza nell’ospitare le preziose risorse digitali e, al contempo, nell’assicurare la sicurezza delle stesse. Nell’articolo si analizzano le statistiche più recenti, che collocano l’Italia fra i leader mondiali per numero di Data Center ospitati. [05/03/2021]
Dal mondo
Commissione UE
Presentata proposta di regolamento per l’adozione del Digital Green Certificate
La Commissione UE ha presentato alle istituzioni legislative europee la proposta di regolamento per l’adozione del Digital Green Certificate (cd. Passaporto vaccinale Covid). Nella proposta la Commissione chiarisce che il certificato conterrà esclusivamente dati personali chiave (nome, data di nascita, Stato Membro di rilascio e identificativo digitale associato all’istituzione rilasciante) e si presenterà come codice QR, il cui scan permetterà alle autorità di ogni Paese Membro di poter altresì verificare la chiave digitale associata al pass, al fine di prevenire falsificazioni. Le istituzioni europee dovrebbero completare l’iter legislativo prima dell’inizio dell’estate 2021. [17/03/2021]
Leggi la proposta e il Q&A della Commissione.
EDPB (Comitato europeo per la protezione dei dati)
Pubblicato il programma dei lavori 2021-2022
Il Comitato europeo per la protezione dei dati ha pubblicato il programma dei lavori per il biennio 2021-2022. Il programma si articola su 4 pilastri: (i) progresso nell’armonizzazione e nella facilitazione alla compliance del GDPR; (ii) rafforzamento del meccanismo di cooperazione fra le Autorità nazionali; (iii) elaborazione di linee guida sul rapporto tra i diritti degli interessati e le nuove tecnologie (fra le quali la blockchain); e (iv) promozione di nuovi standard globali per il trasferimento extra-UE di dati. [16/03/2021]
Parlamento UE
L’intelligenza artificiale deve prevenire le discriminazioni e proteggere la diversità
La Commissione per la Cultura e l’Educazione del Parlamento UE ha adottato una risoluzione relativa alle modalità di utilizzo dell’intelligenza artificiale nel settore educativo e scolastico, sottolineando come l’AI debba essere utilizzata a tutela e promozione della diversità culturale, garantendo quindi la diversità culturale e linguistica dei contenuti, specialmente audio e video. Il Parlamento voterà la risoluzione nell’aprile 2021, stesso mese in cui, secondo il libro bianco della Commissione, si attende una proposta di cornice legislativa da parte di quest’ultima [16/03/2021]
NOYB (None Of Your Business)
Facebook by-passa il consenso degli utenti
L’organizzazione non-profit NOYB ha dichiarato di essere ricorsa in appello contro la decisione del Higher Regional Court of Vienna che, pur avendo riconosciuto al ricorrente Max Schrems il diritto di accesso a tutti i dati dell’interessato in possesso di Facebook, ha statuito che il social network non è chiamato ad ottenere il consenso degli utenti per trattare i loro dati a fini di advertinsing personalizzato, fondandosi tale trattamento sulla base giuridica contrattuale. Secondo NOYB, il fatto che Facebook abbia inserito l’advertinsing personalizzato come obbligazione contrattuale nelle condizioni di utilizzo del social è un espediente per evitare di ottenere il consenso dagli utenti, in violazione dei principi del GDPR. L’appellante ha già avanzato richiesta affinché la Suprema Corte Austriaca sottoponga la questione, in via pregiudiziale, alla Corte di Giustizia Europea. [14/03/2021]
Autorità garanti estere
AEPD (Autorità spagnola per la protezione dei dati)
Sanzionata Air Europe per 600.000 euro
Il Garante spagnolo ha sanzionato Air Europe a seguito di un’istruttoria aperta sulla notifica all’Autorità di un data breach riguardante i dati – principalmente informazioni di contatto e coordinate bancarie – di quasi mezzo milioni di clienti della compagnia aerea. Il Garante ha quindi irrogato (i) una prima sanzione da 500.000 euro, per mancata adozione delle misure tecniche e organizzative idonee ad assicurare un adeguato livello di sicurezza, e (ii) una seconda sanzione da 100.000 euro per tardiva notificazione della violazione, essendo quest’ultima stata notificata dopo oltre 40 giorni. [18/03/2021]
AEPD (Autorità spagnola per la protezione dei dati)
Sanzionata Vodafone per 8.15 milioni di euro
Il Garante spagnolo ha sanzionato Vodafone per multiple violazioni relative al trattamento dei dati personali dei propri clienti. Nello specifico, l’Autorità ha ravvisato che Vodafone (i) ha incaricato quali responsabili del trattamento soggetti che non avevano implementato misure tecniche ed organizzative adeguate a protezione dei dati personali; (ii) ha trasferito all’estero dati personali senza implementare le adeguate misure di garanzia; (iii) ha compiuto attività di marketing tramite chiamate e invio di mail, senza verificare se i soggetti interessati si fossero registrati nei registri di opposizione nazionali, e (iv) ha continuato a compiere attività di marketing verso quanti si fossero opposti a tale trattamento. Il Garante ha sottolineato come l’ammontare della sanzione dipenda anche dall’alto tasso di recidività di Vodafone. [11/03/2021]
CNIL (Autorità Garante francese per la protezione dei dati)
La CNIL apre un’indagine sull’app Clubhouse
Ricevuta una denuncia contro Clubhouse, la CNIL ha avviato indagini per verificare la conformità al GDPR di questo nuovo social network. [17/03/2021]
CNIL (Autorità Garante francese per la protezione dei dati)
La CNIL pubblica il proprio parere sul decreto relativo all’uso di video intelligenza per verificare l’uso di mascherine sui servizi di trasporto
Dal 10 marzo 2021, gli operatori e i gestori dei servizi di trasporto pubblico possono utilizzare telecamere intelligenti per misurare il tasso di utenti provvisti di mascherina nel contesto della crisi sanitaria. La CNIL, che ha emesso il proprio parere in data 17 dicembre 2020, ricorda che il dispositivo previsto dalla normativa non è destinato al trattamento di dati biometrici né costituisce un dispositivo di riconoscimento facciale. [12/03/2021]
