NEGLI USA CLASS ACTION MILIARDARIA CONTRO GOOGLE PER VIOLAZIONE PRIVACY
75 MILA EURO DI SANZIONE A CARICO DELLA REGIONE LAZIO PER MANCATA NOMINA RESPONSABILE TRATTAMENTO
La Regione Lazio non aveva nominato responsabile del trattamento dei dati personali una cooperativa, la Capodarco, che gestisce il call center regionale per la prenotazione delle visite sanitarie. Il Garante ha perciò comminato una multe piuttosto salata, 75 mila euro, giudicando anche in base alla durata del periodo di illegalità: dal 1999 al 7 gennaio 2019. Ricordiamo che l’obbligo della nomina del responsabile scatta ogni volta che un soggetto tratta dati personali per conto di un titolare (art. 4 e 28). Oltre alla nomina deve sussistere tra i due un contratto che prevede nel dettaglio le misure da adottare. La cooperativa Capodarco invece ha ricevuto solo un’ammonizione da parte dell’Authority in quanto aveva più volte sollecitato la nomina a responsabile presso la Regione.
MINISTERO SVILUPPO ECONOMICO SANZIONATO PER MANCANZA DPO
Anche il Ministero per lo sviluppo economico è stato sanzionato dal Garante per la protezione dei dati (GPDP) con 75 mila euro. In questo caso il Ministero non aveva nominato il responsabile della protezione dei dati, Rpd o Dpo, previsto per tutti gli enti pubblici, oltre per chi tratta dati a fini di marketing, profilazione o tratta dati particolari o per aziende con oltre 250 dipendenti (200 secondo altre interpretazioni). Il Mise infatti avrebbe dovuto procedere alla nomina entro il 28 maggio 2018, data dell’entrata in vigore del Regolamento Ue 2016/679. Secondo l’inchiesta il Mise ha anche diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager. L’Authority ha rimarcato come già nel maggio 2017 fosse stata inviata un’informativa a tutti i ministeri su come ottemperare al nuovo Regolamento.
300 MILA EURO A INPS SU CONTROLLI SUL BONUS COVID AI POLITICI
L’inchiesta della Guardia di finanza insieme al Garante privacy sulle verifiche fatte da Inps sul bonus Covid per i politici è impietosa: ha messo in rilievo una serie di falle rispetto al Regolamento privacy europeo che riguarderebbero fino a 5 milioni di persone. Secondo il Garante, non c’è stata minimizzazione dei dati trattati, non si è proceduti con i concetti di privacy by design e by default, inoltre l’inchiesta Inps ha riguardato sia i soggetti che avevano avuto bonus Covid che quelli che ne avevano fatta richiesta ma alla fine erano stati esclusi. Per di più i dati sui quali si è basata la verifica di Inps arrivavano da diverse fonti e i dipendenti Inps hanno finito per calcolare il codice fiscale “automaticamente”, rischiando di compromettere l’esattezza del dato. La stessa Inps ha detto che i controlli in generale hanno riguardato 5 milioni di persone in quanto il bonus poteva andare ad amministratori locali, regionali e nazionali. Oltre alla sanzione, l’Authority ha condannato Inps a cancellare tutti i dati non minimizzati e fare una dpia sui trattamenti dei dati prima di procedere a qualsiasi trattamento.
CONSIGLIO DI STATO RILEVA COMMERCIO DATI SU FACEBOOK
Il Consiglio di stato ha respinto un ricorso di Facebook su una sanzione dell’Antitrust e in sostanza ha intimato al big del web di dire chiaramente agli utenti che il servizio non solo non è gratuito ma sfrutta commercialmente i dati degli utenti visto che si regge su pubblicità personalizzata. Quindi lo ha invitato a tener presente l’adempienza al Regolamento europeo oltre che alle leggi sul consumo. E’ un primo passo per rendere coscienti i cittadini di come tante attività e servizi sul web non siano forniti a titolo gratuito ma in contraccambio dei nostri dati personali, dati a volte consapevolmente, a volte inconsapevolmente, con qualche clic. Qui il commento di Guido Scorza, Componente del Garante https://urly.it/3c3yn
BOZZA DEL REGOLAMENTO EPRIVACY DA CONSIGLIO UE
Il Consiglio dell’Unione europea ha rilasciato una bozza di quello che sarà il Regolamento eprivacy e quindi l’uso dei servizi di comunicazione elettronica. Il primo aspetto interessante è che, per quel che si legge nella bozza, detto Regolamento riguarderà sia le persone fisiche che le aziende e questa è una prima novità rispetto al GDPR che tutela solo le persone fisiche, cittadini europei. Il Regolamento intende immettere forti sistemi di protezione delle comunicazioni, impedendo che possano essere diffusi dati di una mail o di un messaggio nel passaggio da banche dati o nodi. In sostanza il documento prevede che la comunicazione tra mittente e destinatario resti integra e non possa essere letta da nessun soggetto o macchina intermedia.
TIKTOK METTE A TACERE CLASS ACTION CON 92 MILIONI DI DOLLARI
Tikok ha pagato la cifra monstre di 92 milioni di dollari per mettere a tacere utenti statunitensi che hanno fatto causa all’azienda con sede in Cina, presso il tribunale dell’Illinois. In pratica si tratta di una class action. Gli utenti contestano le modalità con cui vengono catturati dall’app di messaggistica vocale dati personali, in particolare dati biometrici, all’insaputa degli interessati. L’azienda ha preferito mettere tutto a tacere con un risarcimento piuttosto che arrivare a processo. Negli Stati uniti sono in corso altre venti class action contro TikTok o meglio l’azienda che detiene l’app che si chiama ByteDance. Secondo quanto emerso finora i dati personali dei cittadini Usa sarebbero stoccati in Cina.
SEMPRE PIU’ ATTENZIONE AGLI ATTACCHI INFORMATICI
Gli strumenti di attacchi informatici stanno diventando sempre più sofisticati. L’attenzione degli esperti si sta concentrando su Ragnar Locker e Egregor che recentemente hanno colpito anche multinazionali europee e aziende italiane. In sostanza i cybercriminali riescono a fare un doppio attacco, prima si insinuano nel sistema e rubano i dati. Quando li hanno stoccati lanciano un secondo attacco, pubblicano i dati sul Darkweb e chiedono il riscatto. Il vostro Dpo saprà suggerire insieme agli esperti di informatica come organizzare un sistema di alert in caso di incursioni nei software, procedure di Incident response e Disaster recovery.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, dal Dpo Marco Fossi consulente aziendale e da Alessandra Fava giornalista e Privacy specialist, riuniti nell’acronimo A2F Privacy&Compliance. I tre con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno poi pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) e Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020) e stanno preparando un nuovo volume Privacy in progress (editore Franco Angeli), che sarà pubblicato nei prossimi mesi.