PASS VACINALE: TUTTO DA RIFARE. MAI SENTITO IL GARANTE
Il Garante per la protezione dei dati personali ha inviato un avvertimento formale al presidente del Consiglio e ai ministeri affinché vengano valutate le ricadute privacy rispetto al progetto di certificazione verdi o pass vaccinali. Il Garante ha chiesto chiarimenti anche alla regione autonoma del Trentino-Alto Adige sulla sperimentazione di un pass vaccinale per chi vuole pranzare al chiuso nei ristoranti. Il Garante Stanzione ha sottolineato che al momento la norma nazionale è gravemente incompleta in materia di protezione dei dati, priva di una valutazione dei rischi su larga scala per i diritti e le libertà personali e non rispetta il Regolamento Ue 2016 sulla Privacy a partire da finalità, titolare e minimizzazione dei dati.
INTELLIGENZA ARTIFICIALE: ARRIVA LA BOZZA DELLA COMMISSIONE UE
Alla fine di aprile è stata resa pubblica la bozza del Regolamento europeo sull’Intelligenza Artificiale (AI), attesissima dagli addetti ai lavori. Si tratta di un documento di 87 pagine che subirà varie modifiche e dovrà essere approvato sia dal Parlamento che dal Consiglio, quindi fra anni. Gli aspetti interessanti sono che si rimarca che queste tecnologie devono essere a dimensione umana (“AI should be toll for people”, si legge); l’AI non deve usare tecniche subliminali a insaputa degli utenti e non può essere usata per discriminare persone o per catalogare le persone con una sorta di “punteggio sociale”. Un aspetto che farà discutere è che la bozza prevede che AI possa essere usata per sorveglianza di massa, a discrezioni di stati e polizie, in caso di “persecuzione di una serie di obiettivi di sicurezza pubblica e prevenzione della criminalità”. In caso di violazione ci saranno multe più alte del GDPR, fino al 6 per cento del fatturato.
MULTA SALATA A FASTWEB PER TELEFONATE SENZA REGOLE
Il Garante ha multato Fastweb con oltre 4 milioni e mezzo a causa del marketing selvaggio. In 4 anni circa sono arrivate all’Authority 131 fascicoli per un totale complessivo di 283 segnalazioni sul telemarketing e invio di messaggi. Tra le segnalazioni figurano anche consumatori che avendo segnalato a Fastweb un disguido tecnico vengono poi chiamati da call center che propongono servizi alternativi della concorrenza. Dal settembre 2020 il Garante ha inviato all’azienda diverse richieste di informazioni. La risposta di Fastweb è stata che chi gestisce le anagrafiche le raccoglie in modo autonomo. Il Garante invece accusa Fastweb di non aver controllato adeguatamente la filiera; di aver acquisito illegalmente banche dati da terzi senza il necessario consenso (la questione riguarda oltre 7 milioni e mezzo di contatti); di non aver ottemperato alle richieste di modifica o cancellazione da parte degli interessati e di aver contattato persone senza avere il necessario consenso per il marketing. Infine l’Authority ha trovato riscontro di diversi data breach che non sono stati notificati al Garante. Fastweb è stata condannata ad abbandonare i subfornitori e utilizzare solo la rete di vendita interna della società.
TRE CALL CENTER PAGANO 105 MILA EURO PER TELEMARKETING
Il Garante è risalito anche alla catena dei call center andando a indagare su chi effettua fisicamente le telefonate di telemarketing e ha multato tre call center. Il primo pagherà 85 mila euro, il secondo 15 e il terzo 5 mila. In sostanza la Guardia di finanza che opera come polizia per il Garante ha ricostruito che venivano chiamate anche persone che non risultavano nella lista fornita dai committenti; un altro non aveva il Dpo e la terza usava delle procedure non corrette. L’azienda multata con la cifra più alta effettuava fino a 155 telefonate al mese allo stesso utente, nonostante questo si fosse opposto al telemarketing.
RUBATI DATI A UN FOOD DELIVERY TURCO
I nostri dati viaggiano su nodi in maniera sempre più pervasiva. Un data breach avvenuto in Turchia avrebbe colpito i dati personali di oltre 21 milioni di utenti turchi e ciprioti. L’attacco è avvenuto sulla piattaforma online di food delivery, Yemeksepeti. La stessa società ne ha dato subito notizia usando un canale social. Il servizio è effettivo in 70 città in Turchia e a Cipro e ha oltre 35 mila ristoranti affiliati, circa 20 milioni di utenti e oltre 520 mila ordini giornalieri.
BOARD UE RISPONDE A COMMISSIONE UE SU DATI SANITARI PER RICERCA
Il Board europeo (EDPB) nel mese di aprile ha risposto con un documento ufficiale a quesiti della Commissione europea circa i dati personali trattati ai fini di ricerca scientifica in base al GDPR 2016/679. In sostanza l’EDPB ribadisce l’importanza del dato anonimo e pseudoanonimo e sottolinea i limiti del cosiddetto “consenso ampio”, di cui parla il Considerando 33 del GDPR. Infatti quando inizia una ricerca scientifica spesso non è del tutto chiaro quale sia la finalità della ricerca stessa. Tuttavia l’interessato deve poter esplicitare a quale fase della ricerca intende aderire. Solo se i dati personali non sono forniti direttamente dell’interessato al Titolare ci possono essere delle deroghe rispetto alle informazioni puntuali e trasparenti circa le finalità del trattamento, anche qualora queste vengano modificate nel tempo.
MEZZO MILIARDO DI DATI SUL DARK WEB
Nei giorni intorno a Pasqua sono stati rubati milioni di dati (si calcola fino a 533 milioni di persone) legati a Facebook. Molti riguardano cittadini europei. I dati sono stati resi pubblici gratuitamente su un forum del dark-web.
PROTEGGIAMO I MINORI IN RETE SPECIE QUELLI IN DAD
Dopo lo scandalo TikTok da più parti ci si chiede come normare l’accesso dei minori alle piattaforme. La vicepresidente dell’Autorità Garante, Ginevra Cerrina Feroni, intervenendo a un dibattito online il 3 di maggio organizzato da AssoData, ha ribadito che “l’età di 14 anni per accedere ai social network serve per dare il consenso a trattamento dei dati personali utilizzati per il servizio del social. Altra cosa è l’utilizzo della piattaforma. Il problema è la verifica di quell’età”. Cerrina Feroni ha invitato a bypassare la questione dell’autonomia contrattuale e puntare piuttosto a criteri di dignità e autonomia. Tra le ipotesi dei giuristi ci sarebbe anche una carta di identità con dati biometrici dai quali risulterebbe automaticamente anche l’età. Il Comitato dei ministri del Consiglio d’Europa ha emanato una Dichiarazione (urly.it/3csch) il 28 aprile nella quale invita gli stati Ue a proteggere la privacy dei minori nel contesto web, che oggi riguarda anche la scuola a distanza.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Privacy specialist, riuniti nell’acronimo A2F Privacy&Compliance. I tre con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno poi pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) e Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020). Tra poche settimane esce il nuovo volume cartaceo e digitale Privacy in progress (editore Franco Angeli).