Le iniziative delle altre Autorità

Il Garante olandese sanziona la polizia:  no alle videocamere di sorveglianza installate sulle auto

L’Autorità per i dati personali dei Paesi Bassi (Autoriteit Persoonsgegevens, AP) ha inflitto una sanzione di 50.000 euro alla polizia per aver impiegato autovetture con videocamere durante il periodo delle restrizioni per contrastare la diffusione del COVID-19. Le auto circolavano raccogliendo e memorizzando immagini dettagliate delle persone tramite le videocamere, le quali erano state installate senza aver preventivamente identificato i rischi per la privacy.

Dall’istruttoria svolta dall’Autorità è emerso che sono state troppe le immagini non necessarie scattate. Infatti, nel 2020, per cinque settimane, il comune di Rotterdam e la polizia hanno utilizzato queste due auto dotate di videocamere a 360 gradi per controllare che le persone mantenessero una distanza di 1,5 metri l’una dall’altra. Le videocamere erano in grado di rilevare immagini nitide e sufficientemente dettagliate per identificare le persone anche a una velocità di 50 km/h. Le immagini raccolte venivano, poi, visionate in una sala di controllo, archiviate e potevano essere inoltrate ad altre sedi della polizia. Perciò, l’AP ha chiesto chiarimenti sull’impiego delle autovetture con videocamera, le quali sono state, in seguito, spente.

Alla luce della ricostruzione, l’Autorità ha contestato alla polizia di non aver provveduto, prima di acquisire le immagini, all’analisi dei possibili rischi per la privacy, svolgendo la valutazione d’impatto sulla protezione dei dati (DPIA). Tuttavia, in questo caso la DPIA era necessaria, dal momento che la polizia poteva prevedere che l’impiego delle autovetture munite di videocamere avrebbe comportato un rischio elevato, specialmente perché si trattava di una nuova tecnologia e perché i dati personali sarebbero stati raccolti in spazi pubblici da un elevato numero di persone, che difficilmente avrebbero potuto sapere alcunché della raccolta e dell’utilizzo delle immagini.

È stata, così, rilevata una violazione della Wet politiegegevens (Wpg), legge che sancisce le principali norme sulla privacy per quanto riguarda le attività della polizia. Tale violazione è stata ammessa dalla polizia e l’AP ha, quindi, imposto una multa di 50.000 euro.

Inoltre, dall’istruttoria è emerso che venivano acquisite immagini di persone riconoscibili anche in momenti in cui non erano rilevate violazioni delle misure anti-coronavirus – come, ad esempio, la formazione di assembramenti –. Ciò, peraltro, era avvenuto anche al di fuori degli hotspot designati, durante il tragitto da un luogo all’altro. Le immagini raccolte e memorizzate sono, dunque, risultate eccessive e non necessarie ai fini che s’intendevano raggiungere.

La polizia ha riconosciuto anche questa violazione del Wpg, per la quale non è stata però irrogata alcuna sanzione pecuniaria.

Pubblicità online, Scorza: “Ecco i tre scenari dopo la maxi multa a Meta”

La maxi-multa a Meta ci mette di fronte alla verità: stiamo pagando Internet con i nostri dati personali. Potrebbe, quindi, essere la volta buona per aprire un dibattito “alto”, maturo, franco e responsabile sul futuro dell’ecosistema digitale. Ne derivano tre opzioni per una nuova era che riguarda non solo Meta.

Continua a leggere qui su Agenda Digitale

Le sentenze sulla privacy spiegate semplice

CGUE | Caso Österreichische Post: il titolare deve fornire l’identità dei destinatari, ma la data protection non è un “diritto tiranno”

Il 12 gennaio 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata sulla portata dell’art. 15 GDPR, affermando che, in caso di comunicazione a terzi, il diritto di accesso ai dati implica l’obbligo per il titolare del trattamento di fornire all’interessato l’identità dei destinatari. Non basta, quindi, fare riferimento genericamente a categorie o gruppi di destinatari. Ciò, a meno che non sia impossibile identificare i destinatari o il titolare non dimostri che le richieste di accesso dell’interessato siano manifestamente infondate o eccessive.

Questa è l’interpretazione autentica della norma del GDPR fornita dai giudici di Lussemburgo nella sentenza RW vs Österreichische Post, a cui dovranno conformarsi tutti i giudici nazionali degli Stati membri in casi analoghi. In particolare, dovrà aderirvi l’Oberster Gerichtshof (Suprema Corte austriaca), cioè l’Autorità giudiziaria che ha effettuato il rinvio pregiudiziale della questione alla Corte.

Il procedimento giudiziario era nato dal diniego opposto dall’Österreichische Post (principale operatore di servizi postali austriaco) alla richiesta di accesso ai sensi dell’art. 15 GDPR, formulata da RW al fine di conoscere l’identità dei soggetti a cui erano stati comunicati i suoi dati. Pertanto, RW aveva citato l’Österreichische Post dinanzi ai giudici chiedendo un’ingiunzione a fornire l’identità dei destinatari.

Sia in primo grado che in appello, però, il ricorso di RW era stato respinto, poiché i giudici avevano ritenuto che il titolare potesse scegliere di indicare soltanto le categorie di destinatari – cosa che l’Österreichische Post aveva provveduto a fare, informando che i dati erano stati trasmessi per finalità di marketing a inserzionisti, imprese informatiche, editori di indirizzi, ma anche ad organizzazioni di beneficienza, ONG e partiti politici –, senza menzionare nominativamente i singoli destinatari concreti.

Così, RW si è rivolto alla Suprema Corte, la quale si è interrogata sulla corretta interpretazione dell’articolo 15 GDPR, non essendo chiaro se la norma concedesse all’interessato il diritto di avere accesso alle informazioni relative ai destinatari concreti o se il titolare del trattamento potesse scegliere discrezionalmente in che modo dare seguito alla richiesta. Perciò, i giudici dell’Oberster Gerichtshof hanno deciso di sottoporre il dubbio alla Corte di Lussemburgo.

Benché dalla lettera della norma non risulti un ordine di priorità tra i termini “destinatari” e “categorie di destinatari”, la Corte ha ritenuto che dal “contesto” in cui si colloca l’art. 15 GDPR – stando a una lettura sistematica delle norme e dei considerando del Regolamento –, si possa dedurre che il diritto di accesso ai dati non vada limitato alle sole categorie di destinatari.

Tuttavia, la Corte di Giustizia ha tenuto a sottolineare che il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e bilanciato con altri diritti. Il diritto di accesso può essere, così, limitato all’informazione sulle categorie di destinatari qualora sia impossibile comunicare l’identità dei destinatari concreti – specialmente ove questi ultimi non siano ancora noti –. Inoltre, il titolare del trattamento può rifiutare di soddisfare la richiesta dell’interessato se questa risulta manifestamente infondata o eccessiva.

Qui la Sentenza integrale.

Tu vuò fa’ l’europeo: Biden richiama all’ordine le big tech


L’industria tecnologica americana è la più innovativa al mondo. Sono orgoglioso di ciò che ha realizzato e delle tante persone talentuose e impegnate che lavorano in questo settore ogni giorno. Ma come molti americani, sono preoccupato per il modo in cui alcuni nel settore raccolgono, condividono e sfruttano i nostri dati più personali, amplificano l’estremismo e la polarizzazione nel nostro paese, inclinano il campo di gioco della nostra economia, violano i diritti civili delle donne e delle minoranze e mettono a rischio i nostri figli“. Inizia così l’editoriale del presidente americano Joe Biden pubblicato l’altro ieri sul Wall Street Journal. È un j’accuse durissimo all’indirizzo delle Big tech da parte del presidente del Paese che ha dato loro i natali e che ha indiscutibilmente contribuito a renderle quelle che sono.

Continua a leggere #Governareilfuturo qui su HuffPostItalia

Le iniziative delle altre Autorità

SANZIONE RECORD AD UN SOGGETTO PUBBLICO:

L’AUTORITÀ GARANTE PORTOGHESE MULTA L’ISTITUTO NAZIONALE DI STATISTICA PER OLTRE 4 MILIONI DI EURO

L’Istituto Nazionale di Statistica (INE) portoghese è stato sanzionato per una serie di violazioni del GDPR commesse nell’ambito delle operazioni di censimento del 2021 dalla Comissão Nacional de Proteção de Dados (CNDP), per un importo complessivo pari a 4,3 milioni di euro. Si tratta della sanzione più alta mai inflitta ad un soggetto pubblico europeo, superando i 3,7 milioni irrogati all’amministrazione fiscale olandese nello scorso aprile.

L’INE raccoglieva diversi tipi di dati di residenti portoghesi e li trasferiva a Cloudfare Inc., un fornitore di servizi negli Stati Uniti, che supportava lo svolgimento delle indagini statistiche. Per legittimare il trasferimento transfrontaliero dei dati, erano state utilizzate le clausole contrattuali standard (SCC) dell’UE.

L’Autorità garante, dopo aver ricevuto diversi reclami, ha avviato un’istruttoria, sospendendo peraltro l’invio dei dati personali relativi al censimento verso gli Stati Uniti ed altri Stati terzi senza un adeguato livello di protezione.

All’esito del procedimento, la CNDP ha individuato cinque illeciti amministrativi. Secondo quanto riportato nella Deliberazione/2022/1072, l’INE è stato, infatti, sanzionato per: aver trattato illegittimamente dati relativi alla salute e all’orientamento religioso; aver violato gli obblighi informativi relativi al questionario del censimento; non aver rispettato i doveri di diligenza nella scelta del responsabile del trattamento; aver violato le disposizioni di legge sul trasferimento internazionale dei dati; non aver svolto una valutazione d’impatto sulla protezione dei dati per l’operazione di censimento.

Nello specifico, l’Autorità ha concluso che, rispetto ai dati relativi alla salute e alla religione, l’Istituto nazionale di statistica aveva omesso di fornire informazioni chiare e complete sul fatto che il conferimento di questi dati da parte dei cittadini fosse facoltativo, in violazione di quanto previsto dall’art. 4 della Legge sul segreto statistico portoghese. Così, molti intervistati non hanno compreso che rispondere ad alcune domande del questionario era facoltativo.

Inoltre, la CNPD ha ritenuto che l’INE non abbia rispettato il dovere di diligenza nella scelta del responsabile del trattamento, in quanto i requisiti dell’art. 28, par. 3 GDPR risultavano sussistere più dal punto di vista formale, che sostanziale. Infatti, nonostante l’esistenza di un ufficio di Cloudflare Inc. a Lisbona, il contratto era stato stipulato con la società con sede negli Stati Uniti, stabilendo, peraltro, che il foro per risolvere eventuali controversie fosse il Tribunale della California.

Per altro verso, con riferimento al trasferimento dei dati personali negli USA, è vero che il contratto con Cloudflare includeva le clausole contrattuali standard approvate dalla Commissione Europea, però non prevedeva misure aggiuntive che impedissero l’accesso ai dati da parte di enti governativi del Paese terzo. Le leggi americane, infatti, autorizzano le autorità di pubblica sicurezza ad accedere ai dati di utenti e clienti della società, senza fornire informazioni agli interessati. Dal momento che non risultava rispettato un livello di protezione di dati pari a quello garantito dalla legislazione UE, come invece richiesto anche dalla Corte di Giustizia dell’Unione Europea nella Sentenza Schrems II, la CNPD ha rilevato la violazione della normativa in materia di trasferimenti internazionali di dati.

Le iniziative delle altre Autorità

MEZZO MILIONE DI CHIAMATE PER TELEMARKETING ILLECITO IN UK: L’ICO (il Garante inglese) INTERVIENE E SANZIONA CINQUE SOCIETÀ

Nel Regno Unito, cinque società sono state condannate al pagamento di sanzioni del valore complessivo di 435.000 sterline dall’Autorità garante per la privacy (Information Commissioner’s Office, ICO) per aver effettuato quasi mezzo milione di chiamate a persone registrate presso il Telephone Preference Service (TPS) – corrispondente del Registro delle opposizioni italiano –. Secondo la legge britannica, è infatti vietato chiamare per finalità di marketing chiunque sia registrato presso il TPS, a meno che questi non fornisca un’espressa e specifica autorizzazione in tal senso.

In particolare le chiamate avevano lo scopo di convincere i destinatari (tra cui tante persone anziane e vulnerabili) a sottoscrivere contratti di assicurazione sugli elettrodomestici (es. lavatrice, utensili da cucina, caldaie ecc.). Dalle indagini dell’ICO, è emerso che, in alcuni casi, le compagnie si rivolgevano deliberatamente a un gruppo demografico specifico: proprietari di case, over 60, con un telefono fisso. È stato, inoltre, dimostrato che alcune delle società hanno usato evidenti tattiche di pressione al fine di ottenere i dati di pagamento dalle persone.

Secondo quanto riportato dall’ICO, infatti, nei reclami ricevuti veniva lamentato che alcuni operatori delle società sanzionate avessero peraltro atteggiamenti insistenti ed invadenti nel corso delle chiamate illegittime. Ad esempio, ad una signora ultraottantenne veniva detto che occorreva rinnovare l’assicurazione della caldaia – circostanza, tra l’altro, non vera – e, con l’occasione, l’operatore continuava a domandare dati superflui come l’età anagrafica della signora, dove e come facesse la spesa, le modalità di pagamento e perfino i dettagli della carta di credito. Proprio quest’ultima domanda, in più di un caso, ha suscitato allarme nei destinatari delle chiamate, specialmente tra i più anziani, i quali hanno attivato le procedure di reclamo.

L’ICO ha recentemente rilasciato una guida aggiornata sul marketing diretto con l’intenzione di sostenere le imprese decise a conformarsi alla legge. Tuttavia, così come dichiarato anche dal capo del dipartimento Investigations, l’Autorità ribadisce la sua volontà di indagare e di prendere provvedimenti severi laddove vengano riscontrate palesi inosservanze della legge che possano danneggiare le persone. Così come in questo caso, in cui in tanti (specialmente anziani soli) si sono sentiti in dovere di consegnare i propri dati bancari semplicemente per avere qualcuno con cui parlare al telefono.

INTERNET: FARI GOVERNO SU TIK TOK, BUTTI ‘PROBLEMA SICUREZZA, PORTARE TEMA IN SEDE UE

Roma, 9 gen. (Adnkronos) – Il governo italiano monitora il dossier relativo al social network cinese Tik Tok, con tutte le implicazioni legate ai rischi per la sicurezza nazionale, e non esclude di portare la questione anche in “sede europea” dopo aver approfondito il caso sul piano interno. “Il tema è delicatissimo e richiede valutazioni trasversali”, ammette all’Adnkronos Alessio Butti, sottosegretario alla Presidenza del Consiglio con delega all’innovazione tecnologica ed esponente di Fratelli d’Italia, che puntualizza: “Rispondo esclusivamente sulla base delle competenze del Dipartimento che dirigo. Infatti non sfugge a nessuno che la materia coinvolge più ministeri e organismi, sarà poi il presidente del Consiglio a fare una sintesi”. “Il tema è estremamente importante e richiede approfondimenti e valutazioni trasversali: forse sarebbe il caso, concluso l’eventuale approfondimento ‘nazionale’, portare la questione in sede europea. Possibilmente con qualche proposta risolutiva. Ma ripeto, la questione è delicatissima e l’approccio deve essere ‘olistico’”, sottolinea il senatore di Fdi.
Sin dal suo sbarco in Occidente, sulla popolare app cinese molto amata dai giovani – che consente ai suoi utenti di creare brevi clip di durata variabile – si sono addensati dubbi e sospetti: il Garante per
la Privacy ne ha denunciato la pericolosità invocando la creazione di una task force europea; per il collettivo Anonymous dietro la app si celerebbe addirittura un programma informatico controllato dal governo di Pechino per effettuare uno spionaggio di massa. E ora in Italia su Tik Tok – come rivelato da ‘La Repubblica’ – si sono accesi anche i riflettori del Copasir: “Il Comitato ha chiesto agli uffici competenti alcune valutazioni. Attendiamo”, spiega Butti.
Se da un lato la politica nostrana si è lasciata ammaliare dallo sfavillante mondo di Tik Tok (nell’ultima campagna elettorale quasi tutti i leader hanno aperto un loro profilo sulla app: celebre il video ‘Tik Tok Tak’ di Silvio Berlusconi), dall’altro c’è una diffusa consapevolezza dei rischi connessi al suo utilizzo. Tant’è vero che lo scorso 4 gennaio la deputata di Forza Italia Deborah Bergamini ha presentato alla Camera una interrogazione alla premier Giorgia Meloni per chiedere al governo di valutare, “laddove si rendano necessarie”, misure per limitare l’uso di Tik Tok sul territorio italiano, “con particolare riguardo al suo impiego sui dispositivi in dotazione ai dipendenti delle pubbliche amministrazioni” con l’obiettivo di
“salvaguardare la sicurezza nazionale”. (segue)

(Ant/Adnkronos)

ISSN 2465 – 1222
09-GEN-23 17:20

NNNN