20 MILIONI DI EURO: LA MULTA COMMINATA PER RICONOSCIMENTO FACCIALE
Dopo una lunga indagine, il Garante italiano ha multato l’azienda americana Clearview specializzata in riconoscimento facciale e creatrice di una banca dati di visi “trovati”in rete. A fronte degli esposti di associazioni e cittadini già nel 2021, il Garante ha posto una serie di quesiti all’azienda con sede a NewYork, che ha risposto dicendo di non tenere dati personali, né nomi e cognomi delle persone, e soprattutto di non essere sottoposta alla giurisdizione italiana. Di fatto la società sosteneva di offrire solo un motore di ricerca di immagini. Il Garante ha appurato che la società invece raccoglie foto in rete dai vari social e blog, le foto vengono rielaborate con tecniche di riconoscimento facciale (machine learning) e inserite nella banca dati di 10 miliardi di immagini facciali. Il servizio non è gratuito e pubblico, ma offerto alle polizie a pagamento. Siccome ci sono di mezzo moltissimi cittadini europei ed erano già intervenute autorità europee e non, il Garante italiano ha disposto la sanzione massima di 20 milioni di euro per violazione del GDPR.
IL GARANTE ITALIANO ANALIZZA ANTIVIRUS RUSSO A FINI CYBER-SECUTIRTY
La guerra in Ucraina ha dei risvolti che non avremmo immaginato: il Garante per la protezione dei dati personali italiani ha aperto un’istruttoria sul software antivirus Kaspersky di produzione russa. Dato che sussiste il sospetto che questo software possa essere usato per attacchi informatici, il Garante ha chiesto a Kaspersky Lab di fornire il numero e la tipologia di clienti italiani e di dire se i dati sono trasferiti al di fuori dell’Unione europea, in paesi terzi, compresa la Russia. Il Garante vuole anche sapere se Kaspersky ha passato i dati a società di autorità governative di paesi terzi. Vi terremo informati sulle risposte.
USA E UE POTREBBERO STABILIRE ACCORDI SU TRASFERIMENTO DATI
Come sappiamo il trasferimento dei dati personali di cittadini europei residenti nella Ue o in paesi terzi, tutelato dal GDPR del 2016, ha avuto uno stop con la sentenza Shrems II. Di fatto finora il trasferimento di dati europei verso gli Stati uniti sono sottoposti a particolare vigilanza e specifici accordi (Clauses) in modo da tutelare i dati in un paese in cui non sono protetti come nella Ue. Un cambiamento però sembra arrivare da uno degli ultimi incontri tra la presidente della Commissione Ue Van der Layen con il presidente degli Stati Uniti Joe Biden. I due si sono incontrati in un vertice Nato e avrebbero concordato di trovare un via libera al trasferimento. Al momento non è chiaro in che modo. Gli esperti di privacy si dividono tra chi critica e chi plaude.
VIETATO OTTENERE CONSENSO TRAMITE SMS
Questa volta è dovuta intervenire la Cassazione contro la compagnia telefonica Wind tre per dire che non si può mandare un sms chiedendo il consenso all’attività di marketing. Non si può fare neppure se si mandano i messaggi ai propri clienti. In sostanza la Cassazione ha dovuto ribadire il valore dei principi dell’acquisizione del consenso da normativa vigente. E tra le violazioni risulta anche quella dell’articolo 8 della Convenzione europea dei diritti dell’uomo che tutela il diritto alla vita privata e familiare.
SRL TOSCANA METTE ONLINE DATI CONCORSO PER ERRORE
Una srl legata con un accordo quadro alla Regione Toscana, Scanshare, ha avuto la sanzione di 10 mila euro per aver erroneamente pubblicato i dati personali relativi a oltre 3,500 persone che avevano partecipato alle prove selettive per un concorso pubblico nel 2020. Un dipendente della società avrebbe erroneamente fornito a un concorrente un link dal quale era possibile accedere all’anagrafica di tutti i partecipanti, ricavando l’esito della prova, compresi i punti presi dai candidati. Secondo la Regione tutto è partito per errore da una risposta alla candidata che chiedeva i tempi per i risultati della prova. Naturalmente è partito un passaparola e moltissimi hanno attinto alle informazioni riservate e dati personali. Nel giro di un’ora la Regione è riuscita a bloccare il link. Questo non è bastato a evitare la sanzione all’azienda responsabile del trattamento dei dati in quanto nominata dalla Regione.
ATTENZIONE ALLE POLICY SUGLI STRUMENTI INFORMATICI
In una società sempre più digitale e social, dove spesso la comunicazione aziendale è anche basata su canali social in voga, le aziende stanno adottando Policy, vale a dire regolamenti interni, sempre più stringenti. Non solo contengono obblighi come non scaricare programmi o app o usare i telefoni aziendali solo per comunicazioni dedicate, ma altri vincoli, ai quali spesso l’azienda si appella per cause di licenziamento. Quindi ai datori di lavoro suggeriamo particolare cura a queste Policy che vanno redatte col DPO e costruite su misura. Ai dipendenti suggeriamo di leggerle con cura e attenersi alle indicazioni date dal datore di lavoro che è anche titolare dei dati personali raccolti. Spesso in un cattivo utilizzo dei mezzi informatici può andarci di mezzo la reputazione aziendale.
EDBP: NUOVE LINEE GUIDA PER COSTRUIRE PIATTAFORME WEB COMPLIANT
Il Board europeo EDPB ha emanato a metà del mese scorso delle linee guida contro le pratiche volte a confondere l’utente sul web. Richiamandosi ai principi di trasparenza, informazione e diritti dell’interessato, l’EDPB condanna chi dà troppe informazioni per deviare l’attenzione dell’utente dai punti nodali (ad esempio il consenso informato), oppure cela le informazioni utili. Queste tecniche riunibili nelle parole “dark pattern” sono soggette a sanzioni. https://edpb.europa.eu/system/files/2022-03/edpb_03 2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore Franco Angeli, 2021), acquistabile anche in digitale sul sito francoangeli.it.