MULTE SALATE PER META (FACEBOOK, INSTAGRAM, WHATSAPP)
In seguito a quanto suggerito dall’EDPB il board europeo, il Garante irlandese ha multato il gruppo Meta per 210 milioni relativi a Facebook e 180 milioni di euro per Istagram. La decisione è avvenuta il 31 dicembre. Il presidente dell’EDPB Andrea Jelinek ha commentato che “le decisioni dell’EDPB mettono in chiaro che Meta ha processato illegalmente dati personali al fine di creare pubblicità in base al monitoraggio dei comportamenti degli utenti. E questo influenzerà anche altre piattaforme che impostano il loro modello di business sulla pubblicità comportamentale”. Meta inoltre è accusata di non essere stata trasparente nei confronti degli utenti e di aver imposto decisioni approfittando del suo potere rispetto a quello molto limitato dell’utente.
COMPAGNIA AEREA FINLANDESE NON FORNISCE INFO A DIPENDENTE
E’ bastato il reclamo di un ex-dipendente per mettere in crisi la compagnia aerea finlandese, Viking Line. Il lavoratore ha contestato di non aver ricevuto tutti i dati stoccati dalla compagnia e da lui richiesti. L’ex dipendente ha anche accusato la società di aver stoccato i suoi dati sanitari per 20 anni, anziché i dieci richiesti per la Data retention relativamente ai contratti di lavoro o alle contrattazioni commerciali Inoltre i dati sanitari non erano messi in fascicoli digitali separati rispetto agli altri dati personali raccolti e quindi si accedeva all’intero fascicolo dal database. Il Garante ha sottolineato che i dati sanitari devono essere ritenuti solo il tempo necessario per la pratica e poi vanno cancellati. La questione è costata alla compagnia una multa di 230 mila euro oltre alla raccomandazione di adeguarsi al GDPR sulla conservazione dei dati personali.
GOOGLE MULTATA PER 9,5 MILIONI DI DOLLARI NEGLI USA
Il procuratore generale di Washington DC ha reso noto che il Distretto della Columbia ha multato per 9,5 milioni di dollari Google per l’utilizzo di tecniche manipolatorie online, i cosiddetti Dark Patterns. Di fatto sono impostazioni di default che impediscono all’interessato di esercitare rapidamente i suoi diritti ad esempio in caso di cancellazione dalla piattaforma, oppure lo costringono a navigare a lungo in diverse sezioni prima di arrivare al dunque, oppure cercano di convincerlo con frasi come “vuoi davvero perdere i contatti con tutti i tuoi amici?” a cambiare opinione. Tra i vari aspetti i giudici si sono anche concentrati su come viene comunicata la posizione GPS dell’utente Android. Oltre alla multa, Google è tenuta a informare gli utenti che hanno attivato delle impostazioni su come disattivarle, come eliminare i dati raccolti e come correggere le impostazioni temporali per la cancellazione.
GARANTE BRITANNICO MULTA SOCIETA’ PER TELEFONATE INDESIDERATE
L’Information Commisioner’s Office ha multato per 435 mila sterline in totale cinque società che facevano marketing selvaggio telefonico disturbando anche persone iscritte al registro delle opposizioni che in Gran Bretagna di chiama Telephone Preference Service. Le telefonate avevano lo scopo di far firmare assicurazioni sugli elettrodomestici e spesso chiedendo anche dati non inerenti alla pratica. I reclami di diversi britannici hanno portato all’indagine e la multa.
CORTE EUROPEA DICE SI’ A GPS SU AUTO AZIENDALE
La Corte europea dei diritti dell’uomo è intervenuta sul ricorso di un informatore scientifico contro le decisioni di giudici portoghesi circa l’installazione di un GPS sull’auto aziendale nel 2011. L’azienda all’epoca era riuscita a dimostrare che il lavorare aveva lavorato meno delle otto ore previste e aveva anche cercato di manipolare l’apparecchio per cui l’azienda aveva deciso di licenziarlo. Di fatto i giudici di primo grado avevano respinto il ricorso del dipendente dicendo che il GPS non è un sistema di sorveglianza. La Corte d’appello ha detto più o meno lo stesso sottolineando che il conteggio dei chilometri effettuati non era un controllo sulla prestazione lavorativa. Da ultimo anche la Corte europea dei diritti dell’uomo ha dato ragione al datore di lavoro. L’azienda infatti prima dell’installazione aveva informato i dipendenti che il conteggio era finalizzato al controllo della spesa aziendale e serviva a splittare i chilometri fatti per uso privato da quelli per il lavoro. Chi fosse interessato si tratta della sentenza della Corte europea n. 26968/1616 Gramaxo contro Portogallo (testo completo https://hudoc.echr.coe.int/eng#{%22itemid%22:[%22001-221474%22]}
I COMUNI SONO TENUTI AD AVERE UN DPO
Il Garante italiano ha ribadito in un’ordinanza di ingiunzione nei confronti del Comune di Cisterna di Latina che il DPO è una figura necessaria per gli enti pubblici. L’ingiunzione è frutto delle segnalazioni di cittadini che in seguito all’accesso a una pratica edilizia da parte di una persona hanno scoperto che erano stati divulgati anche i dati personali di altri, senza che ovviamente ce ne fosse nessuna necessità. A fronte delle proteste inoltrate dagli interessati, il Comune non ha neppure risposto. Il Comune alla fine è stato multato dall’Authority privacy con 5 mila euro.
PREOCCUPA AUMENTO CYBERCRIME
Sono cresciuti del 138 per cento i casi di cybercrime in Italia secondo un report della polizia postale. Un rapporto di Federprivacy sottolinea come il ransomware sia la minaccia più temuta dai DPO (70,4%), e il 55% di essi avverte la necessità di formarsi nel campo della cybersecurity. Ricordiamo quindi l’importanza di una Policy sul Data Breach, fondamentale in caso si subisca un hackeraggio o ci siano i sospetti. La Policy aziendale infatti include le figure di riferimento interne all’aziende che insieme al DPO possono intervenire per capire se veramente c’è stata una sottrazione di dati. Il team è di solito composto dal DPO, il responsabile informatico aziendale e il Titolare. Ma spesso sono i dipendenti o anche uffici non centrali che si accorgono della violazione in atto, quindi è importante che tutti i dipendenti del Titolare e di eventuali Responsabili del trattamento (le aziende esterne che fanno servizi per il Titolare) sappiano chi contattare.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore Franco Angeli, giugno 2021), acquistabile anche in digitale sul sito francoangeli.it. Stiamo preparando un nuovo libro sulla tutela dei dati digitali che uscirà a primavera 2023, sempre con Franco Angeli editore.