TITOLARE DI PIATTAFORME E SITI DEVE LIMITARE ESTRAZIONE DATI IA
A proposito del fenomeno del webscraping, vale a dire l’estrazione di dati personali dai database ai fini di allenamento dell’intelligenza artificiale e di programmi di sviluppo di linguaggio, il Garante della Privacy italiano ha ribadito in un lungo documento che il Titolare è tenuto a tutelare e proteggere in ogni modo i dati personali che gli sono stati consegnati dall’interessato o che sono stati da lui legalmente acquisiti da altre fonti. Il Titolare risponde quindi anche dello scraping malevolo, vale a dire dell’estrazione di dati come sottrazione o violazione dei dati. In primo luogo il Titolare, specie il gestore di piattaforme e siti internet, deve garantire di aver messo in atto tutte le misure di sicurezza fisico e informatica al fine di tutelare i dati personali di cui è in possesso. Secondo una ricerca francese rivela che il 49,6 per cento del traffico sulla rete viene fatto dai bot, vale a dire da sistemi di ricerca di intelligenza artificiale che dragano la rete e memorizzano i dati per poi riutilizzarli. I gestori di piattaforme e siti online sono quindi tenuti, a detta del Garante, ad “adottare tutte le cautele per limitare gli effetti dell’web scraping di terze parti”, specie alla luce del principio di Accountability a cui è chiamato il Titolare e sopratutto considerando se c’è compatibilità con le finalità e basi giuridiche precedentemente fissate per la raccolta dei dati dal medesimo Titolare. Di fatto il fenomeno del dragare la rete comporta altri tipi di trattamenti a cui possono essere sottoposti i dati sottratti. Arrivando al dunque, il Garante dà anche dei consigli pratici ai gestori di siti: 1) creare aree riservate a cui si accede previa registrazione da fornire all’utente a titolo gratuito; 2) Il titolare dovrà mettere nero su bianco nel contratto con le piattaforme web l’espresso divieto del web scrabing in modo da potersi rivalere anche legalmente nel caso questo accadata; 3) vanno monitorate le richieste vagliando gli http: da cui provengono; 4) l’inserimento di accorgimenti, come i chaptcha, limitano l’operatività dei bot. E’ anche consigliato l’inserimento di dati all’interno di fotografie, in quanto l’estrazione del dato da una foto è un’operazione più complessa. Per leggere il documento per intero: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10020334
GARANTE SU FILE DI LOG DELLE MAIL: VANNO CONSERVATI 21 GIORNI
Dopo la consultazione pubblica, il Garante ha rieditato il testo sulla conservazione dei file di log/metadati delle mail aziendali, una questione che ha creato un gran flusso di richieste di delucidazioni da parte delle aziende e degli enti pubblici e ha portato il Garante a indire proprio la consultazione pubblica. Finito il periodo della consultazione, l’Authority ha quindi rilasciato la nuova versione del documento: in sostanza l’Authority dispone che i file di log delle mail aziendali non vadano conservati per oltre 21 giorni, a meno che non ci sia un accordo sindacale che dispone tempi diversi. Attraverso i metadati infatti sarebbe possibile il controllo a distanza dei lavoratori. Il Garante precisa che la procedura non deve riguardare l’envelope, vale a dire il contenuto della mail, ma solo i metadati. La questione è di lana caprina. Per assolvere a questi compiti, suggeriamo alle aziende ed enti di coinvolgere il DPO/RDP e il settore informatico. https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10026277
MULTA DI 6,4 MILIONI A ENI PLENITUDE PER CONTRATTI ILLEGALI
Il Garante ha comminato una multa di 6,4 milioni di euro a Eni Plenitude, con sede a San Donato Milanese, per aver effettuato chiamate promozionali senza avere il consenso degli interessati, aver chiamato anche numeri inseriti nel Registro delle opposizioni e aver stipulato contratti di fornitura di energia in modo illecito. Il Garante aveva ricevuto 108 segnalazioni e 7 reclami. Uno dei reclamanti ha ricevuto 248 telefonate su uno smarphone utilizzato per lavoro. A poco sono servite le linee di difesa dell’azienda che metteva in gioco i teleseller. Secondo il Garante mancavano i controlli sui contratti acquisiti tramite numeri di telefono avuti per canali illegali. Di fatto il Garante ha verificato la mancanza di un controllo sulle agenzie e sub-agenzie coinvolte e la commistione dei loro database. Nella settimana monitorata dagli esperti del Garante durante l’inchiesta sono stati stipulati quasi 700 contratti illegali. Il Garante calcola che si tratti di oltre 32 mila contratti all’anno. Eni minaccia il ricorso contro il provvedimento e la multa. L’associazione di consumatori Codacons denuncia un boom di telefonate commerciali in occasione delle modifiche del mercato tutelato dell’energia. Le telefonate continuano nonostante le persone siano iscritte al Registro delle opposizioni, che raccoglie tutti quelli che hanno revocato qualsiasi consenso al merketing o alla profilazione dato in passato, oggi conti oltre 30 milioni di iscritti.
AZIENDA DI COMMERCIO AUTO MULTATA PER BIOMETRIA
Un’azienda siciliana di vendita di autovetture con solo 40 dipendenti è stata multata per 120 mila euro per aver installato e utilizzato dal 2018 un sistema di timbratura del cartellino con raccolta di dati biometrici. Il Garante ha ricordato che l’utilizzo di dati biometrici è vietato in quanto non esistono ancora delle norme nazionali. L’azienda raccoglieva anche dati sulla performance e le pause dei lavoratori e li tratteneva per molto tempo. L’inchiesta è iniziata dalla denuncia al Garante da parte di un dipendente.
ASL PUGLIESE IMPEDISCE ACCESSO OSPEDALI TIROCINANTI
L’Authority privacy italiana ha avviato un’inchiesta sul negato accesso di studenti tirocinanti dell’Università del Salento in un’ospedale dell’Asl di Lecce in quanto non si sono sottoposti al quarto vaccino Covid. La questione è emersa su diversi giornali locali. L’Asl sostiene di dover tenere conto di una legge regionale che istituisce l’obbligo della vaccinazione per il personale sanitario.
INCHIESTA REGIONE PUGLIA SU DATI SANITARI NELLE SCUOLE
Il Garante ha anche avviato un’inchiesta sulla Regione Puglia a proposito di un progetto di legge regionale, secondo il quale gli studenti delle medie, superiori e università sarebbero tenuti a comunicare se hanno effettuato o meno il vaccino da Papilloma Virus per accedere ai corsi nelle scuole e negli atenei. Il Garante ha ribadito che il GDPR vieta in generale il trattamento di dati relativi alla salute, a meno di specifiche esigenze. La richiesta sulle vaccinazioni avvenute da parte degli istituti scolastici può quindi riguardare solo le vaccinazioni obbligatorie. La preoccupazione dell’Authority deriva anche dal fatto che molti dati sanitari riguarderebbero minori, quindi persone particolarmente tutelate e vulnerabili.
CONTINUA IL TOUR PRIVACY NELLE CITTA’ MINORI E DEL SUD
Il tour per sensibilizzare le persone sul tema della tutela dei dati personali, indetto dal Garante con gli enti locali e le associazioni del territorio, è continuato con una tappa il 18 giugno a Napoli. Ribattezzato “Privacy Tour 2024” il progetto coinvolge appunto realtà e associazioni, di fatto chiunque può presentare un programma e cercare gli spazi per gli incontri. Tra gli aderenti, Meta, Google, Tik Tok, Huwai Italia, Polizia Postale e molte altre aziende.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020), ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021) e ‘La Privacy dei dati digitali’ (FrancoAngeli editore, 2023). E’ appena uscito il nostro ultimo volume “La Privacy del dato sanitario” per FrancoAngeli, a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi.