Ultime Privacy: tutti contro WhatsApp!
Dall’Italia
Garante per la protezione dei dati personali
WhatsApp: informativa agli utenti poco chiara
Il Garante comunica che le modifiche ai termini di servizio di WhatsApp contengono informazioni poco chiare e difficilmente intellegibili sul trattamento dei dati personali degli utenti, con particolare riferimento alla condivisione di tali dati con altre società del gruppo (leggasi: Facebook). L’Autorità si riserva dunque la possibilità di intervenire in via d’urgenza per tutelare i diritti data protection degli utenti italiani. La presa di posizione del Garante si accompagna a molte altre, di analogo tenore, prese da altre istituzioni in giro per il mondo. Ne sono un esempio le dichiarazioni dell’Autorità garante delle telecomunicazioni pakistana e del Commissario per la protezione dei dati di Hong Kong. [14/01/21]
Garante per la protezione dei dati personali
Parere favorevole al call center immuni
L’Autorità ha dato, nei giorni scorsi, parere favorevole allo schema di ordinanza del Commissario straordinario che regola l’organizzazione e il funzionamento del Servizio nazionale di supporto telefonico e telematico alle persone risultate positive al Covid-19, indicando le modalità con cui il call center, su richiesta dell’interessato, avvia la procedura di sblocco dell’app Immuni del chiamante risultato positivo per inviare il messaggio di allerta ai suoi contatti; le modalità di trasmissione agli assistiti del codice univoco nazionale (CUN) che identifica tutti i referti (positivi e negativi) dei test Covid-19; le regole con cui le strutture sanitarie comunicano al sistema centrale denominato Tessera Sanitaria l’esito (positivo o negativo) del tampone; il tempo di conservazione dei dati raccolti. [12/01/2021]
Garante per la protezione dei dati personali
Nessuna scadenza per l’opposizione all’inserimento nel Fascicolo sanitario elettronico delle prestazioni sanitarie antecedenti al maggio 2020
Il Garante, a seguito dell’erronea comunicazione della Regione Liguria con cui si indicava l’11 gennaio 2021 come termine entro il quale i cittadini avrebbero dovuto manifestare l’eventuale opposizione all’inserimento dei propri dati personali nel Fascicolo sanitario elettronico (FSE) per le prestazioni sanitarie fruite fino al maggio 2020, ha chiarito che tale scadenza non esiste ed è priva di fondamento giuridico. L’Autorità ricorda che, a decorrere dal maggio 2020, i dati di tutte le prestazioni sanitarie fruite confluiranno automaticamente nel FSE senza consenso del cittadino, il quale rimarrà invece condizione necessaria per l’accesso a tali dati. [11/01/21]
Autorità garanti estere
CNIL (Autorità Garante francese per la protezione dei dati)
Droni: la CNIL sanziona il ministero dell’Interno
Il 12 gennaio 2021 il collegio ristretto della CNIL ha sanzionato il Ministero dell’Interno per aver utilizzato illegalmente droni dotati di telecamere, in particolare per monitorare il rispetto delle misure di contenimento da Covid-19. Esorta il Ministero a cessare tutti i voli di droni fino a quando un quadro normativo non lo autorizzi. [14/01/2021]
AEPD (Autorità garante spagnola per la protezione dei dati)
Sanzione a CaixaBank per 6 milioni di euro
Il Garante spagnolo ha sanzionato CaixaBank per svariate e gravi violazioni del Regolamento, per un ammontare pari a 6 milioni di euro. In particolare, l’Autorità ha ravvisato carenze ed omissioni nell’informativa privacy della banca; violazioni nelle modalità di raccolta del consenso al trattamento; improprio utilizzo della base giuridica del legittimo interesse; illegittimità del trasferimento dei dati dei clienti fra le società del gruppo bancario. [13/01/21]
UODO (Autorità garante polacca per la protezione dei dati)
Sanzionata compagnia assicurativa per mancata notifica di un data breach
Il Garante polacco ha sanzionato per 20.000 euro una compagnia assicurativa a causa della mancata notifica di un data breach. La società aveva infatti inviato copia dei contratti assicurativi di due clienti a degli indirizzi email errati ma aveva ritenuto di non dover notificare la violazione in quanto l’erroneità degli indirizzi di destinazione era dovuta al fatto che erano stati i clienti stessi ad indicarli, nonché che il titolare, una volta reso edotto dell’errore, aveva immediatamente chiesto ai destinatari di eliminare i messaggi ricevuti. L’Autorità ha ritenuto che nessuno di questi due elementi vale ad escludere la natura della violazione, la quale avrebbe dovuto essere notificata. [13/01/2021]
KVKK (Autorità garante turca per la protezione dei dati)
Avviata indagine sulle attività di trattamento di WhatsApp Inc. e sulla condivisione dei dati con le società del gruppo Facebook
Il Garante turco ha avviato un’indagine sul trattamento dei dati che WhatsApp Inc. compie sui dati personali degli utenti della relativa applicazione di messaggistica, concentrandosi altresì sulla legittimità della condivisione di tali dati con le società del gruppo Facebook, comunicata da WhatsApp ai propri utenti con la nuova privacy policy dell’app. In particolare, l’Autorità sottolinea come uno dei punti dell’indagine sarà quello di chiarire se il consenso richiesto per le attività di trattamento dal titolare sia separato da quello necessario per il trasferimento dei dati all’estero. L’indagine sarà parallela a quella avviata dal Competition Board turco per verificare se tale condivisione dei dati violi la normativa turca a tutela della concorrenza. [13/01/2021]
ICO (Autorità garante inglese per la protezione dei dati)
Condannato a 8 mesi di reclusione l’impiegato che trasferiva illegittimamente dati a terze parti
A seguito di processo penale avviato dal Garante inglese, la Manchester Crown Court ha condannato a 8 mesi di reclusione l’impiegato di una motor company che trasferiva illegittimamente dati personali (nomi e numeri di telefono) di quanti erano stati interessati da un incidente stradale ad una società di gestione dei sinistri, affinché quest’ultima li utilizzasse per fare attività di marketing. [08/01/21]
Datatilsynet (Autorità garante norvegese per la protezione dei dati)
Sanzionata Lindstrand Trading per valutazioni del merito creditizio in assenza di base giuridica
Il Garante norvegese ha sanzionato la società Lindstrand Trading per aver compiuto quattro valutazioni del merito creditizio di persone fisiche e imprese individuali, in assenza di base giuridica del trattamento. L’Autorità rimarca come le informazioni di credito su una ditta individuale sono anche informazioni personali, in quanto il titolare è direttamente identificato con l’azienda e le finanze di quest’ultima sono direttamente collegate a quelle del primo. La sanzione irrogata è pari a circa 9.700 euro. [06/01/21]
AEPD (Autorità garante spagnola per la protezione dei dati)
Sanzione a Vodafone Spagna per aver erroneamente permesso l’accesso di terzi ai dati del cliente
Il Garante spagnolo ha sanzionato Vodafone Spagna per aver violato i principi di limitazione delle finalità e di integrità e riservatezza dei dati. A seguito di reclamo di un cliente, l’Autorità ha infatti ravvisato che la società aveva erroneamente permesso l’accesso a terze parti dei dati del cliente. La sanzione, quantificata in 90.000 euro, sarà ridotta a 72.000 euro in caso di pagamento spontaneo da parte di Vodafone o a 54.000 euro ove a tale pagamento si sommi il riconoscimento di responsabilità per la violazione da parte della società. [04/01/2021]
