GREEN PASS DEVE ESSERE SOLO UN LASCIAPASSARE
Il Garante per la protezione dei dati personali (GPDP) italiano ha precisato nell’iter di approvazione del Green Pass che questo serve per attestare la possibilità di accesso alle strutture, deve essere insomma solo un lasciapassare senza dati sanitari in chiaro né tanto meno precisazioni sulla modalità di acquisizione dello stesso (tampone negativo, vaccinazione o guarigione da Covid). L’Autorità ha declinato le sue preoccupazioni sulla liceità di dati sanitari che possono girare su piattaforme varie, non idonee alla protezione dei dati personali e non attrezzate adeguatamente per proteggerli. Il Garante Stanzione ha precisato che il Green pass deve essere una sorta di luce verde come per i semafori. Bisogna comunque tener presente che il Regolamento varato dalla Commissione Ue d’intesa con il Parlamento europeo e il Consiglio europeo, in vigore dal primo luglio, è comunque una misura temporanea e ogni paese Ue può decidere se adottarlo o meno. In Italia il Collegio del Garante ha anche messo in guardia quelli che condividono le immagini del QR del Pass sui social in quanto su quel codice sono stoccate diverse informazioni sanitarie tra cui se la persona ha già fatto il Covid, se è stato vaccinato e come e quindi va mostrato solo alle autorità.
I PERCHE’ DELLE PERPLESSITA’ SULL’APP IO PER GREEN PASS
Il Garante nel mese di giugno ha chiesto approfondimenti a PagoPa sull’APP IO già in uso per i servizi di cashback, che, dopo il via libera dell’Authority, è entrata in funzione anche per il Green Pass Covid 19. Molti media e giuristi hanno criticato le prese di posizione del Garante. Ma a nostro avviso se avessero letto tutti i provvedimenti avrebbero scoperto che l’App è già stata scaricata da 11,5 milioni di utenti in Italia; mandava dati in paesi terzi all’insaputa dell’utente e senza il suo consenso; scaricava notifiche push che monitorano i dispositivi dell’utente sempre a sua insaputa e senza consenso; attivava automaticamente 12 mila servizi riferibili a più di 5 mila enti. L’app raccoglieva per il cashback anche “dati su transazioni economiche e hashpan degli strumenti di pagamento degli utenti, trattati da PagoPA nell’ambito del programma cashback in qualità di responsabile del trattamento per conto del Ministero dell’economia e delle finanze”. Il Garante ha perciò intimato ai gestori dell’App di adottare misure tecniche e organizzative necessarie a modificare le modalità di attivazione dei servizi disponibili e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, garantendo a tutti gli interessati la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio. Il 18 giugno l’App IO è stata autorizzata anche per il Green Pass ma una piattaforma che inviava dati all’estero in paesi non-Ue tra cui Stati Uniti e Australia è stata stoppata e al momento ha dovuto congelare i dati raccolti.
ATTESA PER REGISTRO OPPOSIZIONI AL MARKETING TELEFONICO
Si attendono gli ultimi passaggi al Consiglio dei ministri del decreto sul registro delle opposizioni ai numeri mobili, un argine importante al fenomeno del telemarketing selvaggio. Come abbiamo raccontato nei notiziari precedenti, il Garante ha comminato un totale di 75 milioni di euro ad alcune compagnie telefoniche che disturbavano al cellulare utenti senza aver mai avuto il consenso al marketing e magari senza neppure che questi fossero loro clienti. Il decreto è stato varato alcuni mesi fa da una commissione competente della Camera. Finito l’iter al Consiglio dei ministri diventerà legge. Il Registro azzererà tutti i consensi forniti precedentemente.
BOARD UE SU RICONOSCIMENTO FACCIALE IN LUOGHI PUBBLICI
La britannica ICO (Information Commisioners’ Office) ha rilasciato a metà giugno un parere sui dispositivi di riconoscimento facciale in luoghi pubblici. La pericolosità viene individuata nel fatto che vengono raccolti dati biometrici su larga scala a totale insaputa degli interessati e senza che si chiaro l’uso che se ne vuole fare. Oggi i dispositivi di riconoscimento facciale vengono usati a scopi di marketing ma in futuro è facile prevedere un’interazione con i social. Manca totalmente una base giuridica. Così il presidente dell’EDPB, il board privacy europeo, ha chiesto una moratoria su tali dispositivi.
SANZIONE DI 3 MILIONI A IREN PER MARKETING SENZA CONSENSO
L’Autorità Garante con la Guardia di finanza sta concentrando molte energie sul principio dell’acquisizione del consenso al marketing. Come per la profilazione o per il trattamento di dati particolari, anche per il marketing serve il consenso chiaro e inequivocabile da parte dell’interessato. Secondo l’inchiesta invece Iren Mercato Spa contattava persone attraverso liste anagrafiche ricevute da una srl che a sua volta le aveva prese da altre due aziende. Quindi l’Autorità ha sanzionato l’azienda per marketing selvaggio con 3 milioni di euro circa. Ricordiamo che secondo il GDPR il consenso deve essere acquisito dalla singola azienda per contattare il cliente a fini promozionali.
NO ALLA DIFFUSIONE DELLE FOTO DI MINORI
Le foto di minori non si possono pubblicare in generale: lo dice il Testo unico della deontologia del giornalismo. Si devono pixelare e il minore non deve essere riconoscibile. Il sindaco di Messina invece sul suo profilo Facebook ha pubblicato immagini di minori disagiati e con forme di handicap ed è stato multato per 50 mila euro. Non solo, il sindaco pubblicava anche immagini di persone multate, autori di infrazioni, nelle quali i soggetti erano perfettamente riconoscibili, ma secondo lui era un modo per spiegare ai cittadini l’attività dell’amministrazione.
COMUNE BOLZANO DA DIECI ANNI SPIAVA INTERNET DEI DIPENDENTI
Molte storie escono alla luce del sole dopo la segnalazione o la denuncia di qualcuno. E’ stato un dipendente del Comune di Bolzano a portare a indagare il Garante su controlli a cui era stato sottoposto per rilevare se era vero che aveva passato ore su Youtube e Facebook per attività non inerenti il lavoro in orario lavorativo. Il Comune non è riuscito a dimostrarlo ma il dipendente si è appellato al Garante. Così è emerso che da dieci anni il Comune controllava l’attività su internet dei singoli dipendenti senza aver informato adeguatamente gli stessi. Essendo stati violati tra l’altro il principio di conservazione dei dati, minimizzazione degli stessi e non essendo stata fatta una Dpia sul trattamento, il trattamento è stato definito illecito. Il Comune è stato multato per 84 mila euro e ora deve anonimizzare i dati raccolti.
IL 2 LUGLIO PRESENTAZIONE BILANCIO ANNUALE ALLA CAMERA
Il 2 luglio online sarà possibile seguire la relazione alla Camera del Garante su un anno di attività. Un momento importante per fare il punto sul GDPR e le sanzioni comminate.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Privacy specialist, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ora ‘Privacy in progress’ (editore Franco Angeli), acquistabile anche in digitale sul sito francoangeli.it.