GOOGLE COSTRETTO A RIDIMENSIONARSI, IN FORSE CHROME
Il Dipartimento di Giustizia degli Stati Uniti ha messo le mani su Google e sul suo semi-monopolio, stabilendo già ad agosto che la mega azienda sta controllando illegalmente il mercato delle ricerche utilizzando Chrome su pc e telefoni e sopratutto Android sugli smartphone. Il Dipartimento quindi ha consigliato la vendita di Chrome, ma secondo indiscrezioni di questi giorni Google preferirebbe chiudere il motore di ricerca piuttosto che cederlo a qualcuno. Il presidente del Big del Web ha dichiarato che cedendo il motore di ricerca ci sarebbero problemi di coerenza nei servizi offerti agli utenti e problemi di privacy sulla cessione dei dati raccolti. Queste notizie danno l’idea del valore dei dati personali accumulati da queste aziende. Usa ed Europa hanno finalmente deciso di limitare lo strapotere di queste aziende i cui bilanci sono paragonabili a quelli di Stati interi.
NIS2 ALLE PORTE: 50 MILA AZIENDE COINVOLTE, REGISTRO APERTO DA 1 DICEMBRE E AGENZIA PER LA CYBER PUBBLICA LINEE GUIDA
Si calcola che siano almeno 50 mila le aziende italiane interessate dall’applicazione della NIS2 altrimenti Direttiva n. 2555/2022 e dalla Decreto Legislativo 4 settembre 2024 n. 138. Il calcolo arriva dall’Agenzia per la cybersicurezza nazionale, diretta dal prefetto Bruno Frattasi. Il primo step, è la possibilità di iscriversi dal primo dicembre 2024 al nuovo Registro sul sito dell’Agenzia da parte delle aziende interessate. In concomitanza l’Agenzia ha pubblicato anche delle Linee Guida che riguardano la sicurezza informatica aziendale (per il testo: https://www.acn.gov.it/portale/documents/d/guest/linee-guida-banche-dati-critiche-def ). La Direttiva UE e il Decreto 138 prevedono infatti una governance della cybersicurezza che ricadrà ampliamente sui Consigli d’amministrazione delle aziende; il controllo della filiera di appalti e quindi delle nomine a Responsabile e Sub-Responsabile e sopratutto una doppia notifica al Garante Privacy e all’Agenzia in caso di data breach. E’ evidente però che servono ulteriori precisazioni sulle aziende coinvolte. Mentre quelle legate ai servizi essenziali (energia, trasporti, salute) sono evidentemente interessate, non è ancora del tutto chiaro se sono interessate anche le sub-appaltatrici di servizi essenziali. Il soggetto che effettua la registrazione dell’azienda deve essere espressamente delegato.
NO ALL’USO DEL DATO BIOMETRICO: 5 MILIONI DI SANZIONE A FOODINHO
Cinque milioni di euro di sanzione: è la multa comminata dal Garante per la protezione dei dati personali italiano a Foodinho srl, società del gruppo Glovo, con sede in Italia. Il provvedimento è relativo al trattamento illecito di dati personali di oltre 35 mila rider, in quanto la piattaforma ricorreva al trattamento di dati biometrici dei lavoratori per verificare l’identità e ha violato molti articoli del GDPR. L’inchiesta è nata dopo gravi inandempienze sui dati personali di un rider deceduto nel 2022 e le segnalazioni di un gruppo di informatici. Come abbiamo visto in precedenti sanzioni, il Garante continua a ripetere che in Italia non c’è una normativa nell’uso dei dati biometrici e quindi il trattamento è sempre fuori legge. I rider della consegna a domicilio di cibarie utilizzano infatti un account legato a una piattaforma di Foodinho. Con questo sistema, prima di tutto è possibile una localizzazione live delle persone attraverso «Live Map» con l’indicazione del quartiere, posizione degli esercizi commerciali a cui arrivano gli ordini, posizione dei rider e il tratto percorso. Inoltre cliccando sul corriere si risale a codice numerico del corriere, il numero di telefono, il veicolo utilizzato e la fascia oraria di disponibilità per il suo impiego; cliccando sul codice numerico del corriere la piattaforma mostra tutti i dati personali del rider e i documenti a lui riferiti che ha fornito per avviare il rapporto di collaborazione, unitamente alle informazioni relative agli ordini presi in carico e alle consegne effettuate. La sezione «Jumio details» riguarda la procedura di verifica dell’identità del corriere tramite riconoscimento facciale, disabilitata a luglio 2022, ma che conserva dati dal 2016. Infine i rider disiscritti ricevevano un unico messaggio senza possibilità di contestare la decisione e i loro dati venivano illegamente ceduti a terzi. L’azienda si è difesa dicendo che il monitoraggio non è continuo; che i lavoratori sono informati con apposite Informative. Ma l’ispezione ha notato che i documenti non si trovano facilmente e mancano di trasparenza. L’azienda ha anche contestato che i controlli fatti nel 2024 ricopiano quelli del 2019 nella sede di Foodinho a cui fece seguito l’impugnazione del provvedimento da parte dell’azienda, ora non più impugnabile. Di fatto sostenevano che la questione doveva essere demandata al Garante spagnolo in quanto la capogruppo sta in Spagna.
BOOM DI SEGNALAZIONI AL GARANTE
Il Garante Privacy italiano ha una media di oltre 500 provvedimenti all’anno. I reclami e le segnalazioni sono passate da 12.921 nel 2021, a 30.880 del 2022 per diventare 120.311 del 2023, con un incremento di quasi il 400% rispetto all’anno prima. In sostanza ogni giorni arrivano circa 330 reclami e segnalazioni inclusi sabati e le domeniche. Segno che i cittadini sono più informati.
LA PRIVACY PARTE DA NOI: CHE COSA POSSONO FARE I GENITORI
Il Garante Privacy pubblica nel suo sito gpdp.it oppure garanteprivacy.it molti documenti destinati al largo pubblico. Recentemente ha elaborato una pagina sullo sharenting, vale a dire la condivisione (to share) di materiale spesso video o foto di minori da parte dei loro genitori. Sull’onda del comportamento di attori e influencer e della socialmania, foto e video con minorenni ora finiscono in rete. Il rischio sono ricadute psicologiche che i genitori forse non valutano e inoltre si viola la privacy della famiglia, perché dalle foto della propria abitazione è possibile risalire con i metadati all’ubicazione della famiglia, la residenza o comunque ricostruire i dati di un minore. Inoltre i criminali della pedopornografia riutilizzano queste immagini o film a vari scopi. L’Authority quindi consiglia di: rendere irriconoscibile il viso del minore con il pixellaggio, limitare la visibilità sui social, non creare account dedicati al minore e leggere le informative delle piattaforme. https://www.gpdp.it/web/guest/temi/minori/sharenting
GARANTE PONE PALETTI SU CONCESSIONE LOGO E PATROCINIO
Con una delibera di metà novembre il Garante ha deciso che il logo e il patrocinio dell’Autorità saranno concessi solo “per iniziative promosse da università pubbliche o private, Enti della Pubblica Amministrazione, Ministeri, Enti locali e Agenzie governative, Scuole di alta formazione, Centri di ricerca e Associazioni di rilevanza nazionale, Osservatori nazionali, Fondazioni. Sono in ogni caso escluse iniziative a carattere prevalentemente commerciale”. A proposito degli eventi vengono citati “convegni, conferenze, seminari, laboratori/workshop, corsi di alta formazione e specializzazione e di rilevanza nazionale e/o internazionale, nonché di comprovato valore scientifico e/o culturale, che abbiano finalità di studio, di ricerca, di formazione, nonché di divulgazione della disciplina al fine di favorirne la conoscenza tra il pubblico”.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avvocato Gianluca Amarù, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019), Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020), Privacy in progress (editore FrancoAngeli, giugno 2021) e La Privacy dei dati digitali (FrancoAngeli editore, 2023). E’ nelle librerie e online il nostro ultimo volume La Privacy del dato sanitario per FrancoAngeli, a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. Stiamo preparando un nuovo volume sulla cybersicurezza con un taglio pratico, come sempre.