x

x

Ultime privacy Covid-19: quanti trattamenti illegittimi di dati!

privacy
privacy

Panorama italiano

Garante per la protezione dei dati personali

Dopo il blocco a TikTok, aperto fascicolo su Facebook e Instagram

A seguito del tragico caso della bimba di 10 anni di Palermo – morta nel tentativo di emulare un trend nato sul social TikTok – il Garante, oltre ad aver disposto nei confronti del social il blocco immediato dell’uso dei dati degli utenti per i quali non sia stata accertata con sicurezza l’età anagrafica, ha aperto un fascicolo su Facebook e Instagram. Dato infatti che la bambina aveva diversi profili su questi altri due social, l’Autorità vuole comprendere come sia stato possibile per un soggetto di quell’età iscriversi a tali piattaforme, domandando dunque ai titolari di queste ultime di fornire precise indicazioni sulle modalità di iscrizione ai due social e sulle verifiche dell’età dell’utente adottate per controllare il rispetto dell’età minima di iscrizione. [27/01/21]

Leggi il comunicato.

 

Garante per la protezione dei dati personali

Sanzionate Roma Capitale e Miropass S.r.l. per il trattamento dei dati di “TuPassi”

Il Garante ha sanzionato Roma Capitale per 500.000 euro a causa dell’illecito trattamento di dati personali di utenti e dipendenti, effettuato attraverso il sistema di prenotazione degli appuntamenti “TuPassi”. Fra le violazioni principali, l’Autorità ha segnalato l’incompletezza dell’informativa resa agli interessati e l’assenza di un rapporto contrattuale con Miropass S.r.l., società fornitrice del sistema. Quest’ultima, con differente provvedimento, è stata invece sanzionata per 40.000€ per i trattamenti effettuati in qualità di autonomo titolare, in particolare, con riguardo alla prenotazione di servizi sanitari da parte degli utenti e alla manutenzione del sistema per conto dei clienti, nei casi in cui tale attività comportasse il trattamento di dati personali di utenti e dipendenti. [25/01/21]

Leggi l’ordinanza Roma Capitale e l’ordinanza Miropass Sr.l.

 

Dal mondo

Dipartimento di giustizia USA

Transazione con Epsilon per 150 milioni di dollari per l’aver venduto illegittimamente dati personali dei consumatori

La società americana Epsilon, una dei principali player nel mondo del marketing, ha raggiunto un accordo transattivo per 150 milioni di dollari col Dipartimento di giustizia americano. La condotta contestata alla società riguardava la profilazione illegittima dei consumatori, al fine di individuarne le tendenze di consumo e poi passare alla successiva vendita dei modelli profilati ad imprese terze che, mediante schemi fraudolenti, sponsorizzavano così i propri prodotti a tali consumatori profilati. Dei 150 milioni oggetto dell’accordo, 127 saranno destinati a compensare i consumatori vittime del trattamento illegittimo dei loro dati. [28/01/21]

Leggi il comunicato.

 

NOYB (None of Your Business)

Il Garante di Amburgo ordina la cancellazione del profilo biometrico di un cittadino europeo dal database di una società americana

A seguito del reclamo di un cittadino europeo – assistito dai legali dell’organizzazione non profit NOYB a tutela dei dati personali – il Garante di Amburgo ha ordinato alla società americana Clearview AI’s di cancellare il profilo biometrico del reclamante, ricostruito dalle immagini del cittadino disponibili in rete. Pur accogliendo con favore la decisione, l’organizzazione ne sottolinea il forte limite di non aver ordinato la cancellazione di tutti i profili biometrici di cittadini europei, bensì solamente del reclamante. Per tale motivo, è suggerito a ogni cittadino dell’Unione di esercitare il proprio diritto ad ottenere copia dei dati e, successivamente, il diritto di cancellazione. [28/01/21]

Leggi la notizia.

 

NOYB (None of Your Business)

Il GDPR è una norma senza Autorità?

L’organizzazione non profit NOYB – attiva nel ramo della protezione dei dati personali – ha avanzato ricorso contro due decisioni dell’Autorità per la protezione dei dati del Lussemburgo riguardanti il trattamento dei dati da parte di due società americane. L’Autorità infatti, pur statuendo circa l’applicazione del GDPR ai due titolari statunitensi, ha respinto il reclamo avanzato da un interessato poiché, essendo privi di un rappresentante nell’Unione, il Garante non avrebbe potuto compiere un effettivo enforcement della decisione contro i due titolari. L’organizzazione lamenta che, ove questo indirizzo trovasse conferma, le garanzie del GDPR verrebbero ad essere lettera morta in tutti i casi simili.  [25/01/21]

Leggi la notizia.

 

NOYB (None of Your Business)

Reclamo al Garante Europeo contro il Parlamento Europeo

L’organizzazione non profit NOYB ha avanzato un reclamo contro il Parlamento Europeo al Garante Europeo per il trattamento dei dati personali di sei parlamentari europei su un sito interno del Parlamento UE dedicato ai test Corona Virus su tutti i membri ed impiegati dell’Istituzione. L’organizzazione lamenta un’illiceità del trattamento dovuta ad un illegittimo trasferimento di dati personali verso gli Stati Uniti e ad un’informativa cookies ingannevole ed incompleta. Il caso, concernente aspetti fondamentali della materia data protection, potrebbe potenzialmente arrivare fino in Corte di Giustizia Europea. [22/01/21]

Leggi il comunicato.

 

EDPB (Comitato europeo per la protezione dei dati)

Lettera alla Commissione UE sulla necessità di emendare la Direttiva PNR

Il Comitato ha inviato una lettera alla Commissione UE domandando di emendare la direttiva PNR – avente ad oggetto il trattamento del codice di identificazione dei passeggeri ai fini di prevenzione e accertamento di reati di terrorismo e reati gravi – conformemente alla disciplina data protection. Il Comitato sottolinea come alcune disposizioni della direttiva, quali quelle relative al lungo ed indiscriminato periodo di conservazione dei dati e alla possibilità di accesso agli stessi anche una volta esaurita la finalità del trattamento, siano in chiara violazione del GDPR e degli orientamenti cristallizzati nella giurisprudenza della Corte di Giustizia. [22/01/21]

Leggi la lettera.

 

Autorità garanti estere

Autorité de protection des données (Autorità garante belga per la protezione dei dati)

Pubblicate raccomandazioni sulle tecniche di eliminazione di dati personali

Il Garante belga ha pubblicato delle raccomandazioni sulle tecniche per l’eliminazione sicura dei dati personali dai vari supporti informatici (CD, chiavette USB, floppy disk ecc.). La guida è un utile strumento pratico a sostegno di titolari e responsabili del trattamento relativamente ad un tema molto spesso trascurato, ovverosia quello del data wiping. Merito delle raccomandazioni è quello di fornire degli esempi di programmi da potersi utilizzare per l’eliminazione dei dati personali (vedi il punto 108). [27/01/21]

Leggi la guida.

 

ICO (Autorità inglese per la protezione dei dati)

Sanzioni per 480.000 euro a quattro società per marketing telefonico illegittimo

Il Garante inglese ha sanzionato quattro diverse società per aver compiuto attività di marketing telefonico illegittimo. Nello specifico, le società hanno compiuto quasi 2,5 milioni di telefonate a numeri registrati nel TPS, corrispondente pressappoco al registro delle opposizioni italiano. L’attività delle società ha così portato ICO a ricevere circa 250 reclami da parte degli interessati. [27/01/21]

Leggi la notizia.

 

CNIL (Autorità Garante francese per la protezione dei dati)

“Credential stuffing”: la CNIL sanziona un titolare del trattamento e il suo subappaltatore

La della CNIL ha recentemente sanzionato per 150.000 euro e 75.000 euro un responsabile del trattamento e il suo subappaltatore per non aver adottato misure soddisfacenti per affrontare gli attacchi di hacker volti a rubare le credenziali (nome e password) di accesso degli account di singoli utenti sul sito web del responsabile del trattamento. [27/01/2021]

Leggi il comunicato.

 

CNIL (Autorità Garante francese per la protezione dei dati)

La CNIL pubblica il suo secondo parere sulle condizioni per l’attuazione delle piattaforme di servizi e informazione sul Covid-19

Per combattere l’epidemia da Covid-19, il governo ha creato SI-DEP e Contact Covid, ha distribuito TousAntiCovid e implementato il sistema informativo sui vaccini Covid. La CNIL effettua una valutazione intermedia di questi sistemi, alla luce dei pareri espressi e dei 25 controlli effettuati. [21/01/2021]

Leggi il comunicato.

 

Datatilsynet (Autorità garante norvegese per la protezione dei dati)

Notificata a Grindr l’intenzione di irrogare una sanzione per 10 milioni di euro

Il Garante norvegese ha notificato a Grindr – popolare social network per incontri gay – l’intenzione di irrogare una sanzione da 10 milioni di euro per una serie di violazioni del Regolamento. In particolare, l’Autorità ha rimarcato l’invalidità della raccolta del consenso raccolto dal social network. Ove fosse confermata, la sanzione sarebbe pari al 10% del fatturato in Norvegia del titolare. A questo punto, la società avrà la possibilità di presentare le proprie osservazioni entro il 15 febbraio 2021. [26/01/21]

Leggi il comunicato.

 

Datatilsynet (Autorità garante danese per la protezione dei dati)

Indagine sulla condivisione dei dati sanitari dei pazienti via WhatsApp

Il Garante danese ha istruito una procedura riguardante il trattamento dei dati personali da parte del personale sanitario di Medicals Nordic. Grazie ad una notizia rimbalzata sui tabloid danesi, l’Autorità è venuta a conoscenza che il personale sanitario di tale centro medico condivideva internamente i dati dei pazienti risultati positivi al Covid-19. Il trattamento, sottolinea il Garante, se confermato integrerebbe una violazione di dati personali. Dal canto proprio, il centro medico sottolinea come la procedura, messa in atto per ragioni di celerità, prevedesse l’obbligo per il personale di cancellazione dei dati. [25/01/21]

Leggi il comunicato.

 

PDPC (Autorità garante di Singapore per la protezione dei dati)

Pubblicato modello di clausole contrattuali per il trasferimento transfrontalieri di dati

Il Garante di Singapore ha elaborato un modello di clausole contrattuali da potersi utilizzare per il trasferimento transfrontaliero di dati. Le clausole ricalcano la stessa struttura di quelle adottate al termine dell’anno passato dalla Commissione Europea, sia nei rapporti tra titolare e titolare, nonché nei rapporti tra titolare e responsabile. L’obiettivo dell’Autorità è ovviamente quello di facilitare le imprese nell’osservanza della normativa di settore relativa al trasferimento dei dati. [22/01/21]

Leggi il modello.