Le iniziative delle altre Autorità

MÀS QUE UN MÒVIL | L’Autorità garante spagnola promuove una campagna per l’uso responsabili del cellulare da parte dei minori

L’Agenzia Spagnola per la Protezione dei Dati (AEPD) e l’UNICEF Spagna stanno portando avanti la campagna “Màs que un mòvil” (Più che un cellulare), mirata allo scopo di sensibilizzare i genitori sui rischi che derivano da un uso non responsabile dello smartphone da parte dei loro figli.

Secondo i dati del rapporto UNICEF Spagna relativo all’impatto della tecnologia sull’adolescenza, l’età media di accesso al primo dispositivo mobile per uso personale nel Paese è inferiore agli 11 anni. Inoltre, il rapporto mostra che quasi il 95% degli adolescenti ha un telefono cellulare con connessione a Internet, ma soltanto il 29,1% degli intervistati afferma che i genitori stabiliscono regole per l’uso della tecnologia, solo il 24% dichiara di avere a disposizione un tempo limitato per l’utilizzo dei dispositivi e il 13,2% di poter accedere a contenuti limitati.

AEPD e UNICEF forniscono, quindi, alle famiglie la “Guida che non arriva con il cellulare”, una serie di raccomandazioni per incoraggiare il dialogo e favorire un approccio attivo all’educazione dei figli, trasmettendo valori e, soprattutto, informazioni sufficienti a garantire un uso responsabile del cellulare.

La guida elenca 10 punti chiave che i genitori devono tenere in considerazione prima di regalare un cellulare ai propri figli:

  1. Pianificare l’arrivo del telefono cellulare
  2. Supervisionare e definire regole e limiti
  3. Curarsi dei dati sui social network
  4. Interessarsi ai videogiochi
  5. Sapere con chi parlano i ragazzi
  6. Stimolare il senso critico
  7. Essere aperti all’aiuto
  8. Essere responsabili dei propri figli
  9. Garantire uno spazio di disconnessione
  10. Verificare come si sentono i ragazzi nella loro vita digitale

Alla campagna “Màs que un mòvil” partecipano compagnie telefoniche – Movistar, Orange, Vodafone e Yoigo – e reti televisive – Atresmedia, Mediaset, RTVE, Movistar Plus+ e Vodafone TV –. Inoltre, JC Decaux trasmette lo spot sulla propria segnaletica stradale e nei centri commerciali, mentre Metro de Madrid e EMT Madrid diffondono l’iniziativa sui rispettivi canali.

La campagna è, peraltro, compresa nelle azioni di divulgazione del Patto Digitale per la protezione delle persone, promossa sempre dall’AEPD, che riunisce più di 400 organizzazioni e associazioni.

Le iniziative delle altre Autorità

L’Autorità garante finlandese sanziona un’azienda per 122.000 euro per aver trattato dati particolari senza un esplicito consenso

L’Autorità garante finalndese (Tietosuojavaltuutetun toimisto) ha sanzionato un’azienda per aver trattato dati personali relativi alla salute senza specificare le tipologie di dati trattati e le finalità di ciascun trattamento. L’Autorità ha, così, irrogato una sanzione per un importo pari a 122.000 euro e ha ammonito la società, invitandola a correggere la propria prassi.

L’istruttoria del Tietosuojavaltuutetun toimisto aveva avuto origine da alcuni reclami ricevuti tra il 2018 e il 2019. Dalle verifiche svolte è emerso che l’azienda trattava alcuni dati relativi alla salute degli interessati – in particolare, quelli concernenti l’indice di massa corporea e la capacità massima di ossigeno – senza averne ricevuto l’esplicito consenso come richiesto dal GDPR.

L’azienda, infatti, aveva richiesto agli utenti del suo servizio un consenso di carattere generale, senza identificare precisamente quali dati raccogliesse e trattasse. Ma il consenso così raccolto, secondo l’Autorità, non può essere adatto a soddisfare i requisiti del GDPR in quanto non è individualizzato e informato.

Il Tietosuojavaltuutetun toimisto ha così ritenuto che, sebbene avesse informato gli interessati, il titolare non avesse fornito informazioni sufficienti sui tipi di dati personali trattati e sulle finalità di ciascun trattamento. Sulla decisione, inoltre, ha pesato molto anche il fatto che il trattamento su larga scala dei dati sanitari rappresenta una parte essenziale del core business dell’azienda.

Dal momento che i servizi dell’azienda vengono offerti anche in altri Paesi europei, la questione è stata affrontata nell’ambito della procedura di cooperazione tra Autorità garanti prevista dal GDPR (era stato, peraltro, presentato un reclamo anche in un altro Stato membro dell’Unione Europea). Ovviamente, essendo il trattamento dei dati personali effettuato dallo stabilimento della società in Finlandia, il Tietosuojavaltuutetun toimisto ha agito come autorità capofila nel corso dell’istruttoria.

Le iniziative delle altre Autorità

Il Garante olandese sanziona la polizia:  no alle videocamere di sorveglianza installate sulle auto

L’Autorità per i dati personali dei Paesi Bassi (Autoriteit Persoonsgegevens, AP) ha inflitto una sanzione di 50.000 euro alla polizia per aver impiegato autovetture con videocamere durante il periodo delle restrizioni per contrastare la diffusione del COVID-19. Le auto circolavano raccogliendo e memorizzando immagini dettagliate delle persone tramite le videocamere, le quali erano state installate senza aver preventivamente identificato i rischi per la privacy.

Dall’istruttoria svolta dall’Autorità è emerso che sono state troppe le immagini non necessarie scattate. Infatti, nel 2020, per cinque settimane, il comune di Rotterdam e la polizia hanno utilizzato queste due auto dotate di videocamere a 360 gradi per controllare che le persone mantenessero una distanza di 1,5 metri l’una dall’altra. Le videocamere erano in grado di rilevare immagini nitide e sufficientemente dettagliate per identificare le persone anche a una velocità di 50 km/h. Le immagini raccolte venivano, poi, visionate in una sala di controllo, archiviate e potevano essere inoltrate ad altre sedi della polizia. Perciò, l’AP ha chiesto chiarimenti sull’impiego delle autovetture con videocamera, le quali sono state, in seguito, spente.

Alla luce della ricostruzione, l’Autorità ha contestato alla polizia di non aver provveduto, prima di acquisire le immagini, all’analisi dei possibili rischi per la privacy, svolgendo la valutazione d’impatto sulla protezione dei dati (DPIA). Tuttavia, in questo caso la DPIA era necessaria, dal momento che la polizia poteva prevedere che l’impiego delle autovetture munite di videocamere avrebbe comportato un rischio elevato, specialmente perché si trattava di una nuova tecnologia e perché i dati personali sarebbero stati raccolti in spazi pubblici da un elevato numero di persone, che difficilmente avrebbero potuto sapere alcunché della raccolta e dell’utilizzo delle immagini.

È stata, così, rilevata una violazione della Wet politiegegevens (Wpg), legge che sancisce le principali norme sulla privacy per quanto riguarda le attività della polizia. Tale violazione è stata ammessa dalla polizia e l’AP ha, quindi, imposto una multa di 50.000 euro.

Inoltre, dall’istruttoria è emerso che venivano acquisite immagini di persone riconoscibili anche in momenti in cui non erano rilevate violazioni delle misure anti-coronavirus – come, ad esempio, la formazione di assembramenti –. Ciò, peraltro, era avvenuto anche al di fuori degli hotspot designati, durante il tragitto da un luogo all’altro. Le immagini raccolte e memorizzate sono, dunque, risultate eccessive e non necessarie ai fini che s’intendevano raggiungere.

La polizia ha riconosciuto anche questa violazione del Wpg, per la quale non è stata però irrogata alcuna sanzione pecuniaria.

Le iniziative delle altre Autorità

SANZIONE RECORD AD UN SOGGETTO PUBBLICO:

L’AUTORITÀ GARANTE PORTOGHESE MULTA L’ISTITUTO NAZIONALE DI STATISTICA PER OLTRE 4 MILIONI DI EURO

L’Istituto Nazionale di Statistica (INE) portoghese è stato sanzionato per una serie di violazioni del GDPR commesse nell’ambito delle operazioni di censimento del 2021 dalla Comissão Nacional de Proteção de Dados (CNDP), per un importo complessivo pari a 4,3 milioni di euro. Si tratta della sanzione più alta mai inflitta ad un soggetto pubblico europeo, superando i 3,7 milioni irrogati all’amministrazione fiscale olandese nello scorso aprile.

L’INE raccoglieva diversi tipi di dati di residenti portoghesi e li trasferiva a Cloudfare Inc., un fornitore di servizi negli Stati Uniti, che supportava lo svolgimento delle indagini statistiche. Per legittimare il trasferimento transfrontaliero dei dati, erano state utilizzate le clausole contrattuali standard (SCC) dell’UE.

L’Autorità garante, dopo aver ricevuto diversi reclami, ha avviato un’istruttoria, sospendendo peraltro l’invio dei dati personali relativi al censimento verso gli Stati Uniti ed altri Stati terzi senza un adeguato livello di protezione.

All’esito del procedimento, la CNDP ha individuato cinque illeciti amministrativi. Secondo quanto riportato nella Deliberazione/2022/1072, l’INE è stato, infatti, sanzionato per: aver trattato illegittimamente dati relativi alla salute e all’orientamento religioso; aver violato gli obblighi informativi relativi al questionario del censimento; non aver rispettato i doveri di diligenza nella scelta del responsabile del trattamento; aver violato le disposizioni di legge sul trasferimento internazionale dei dati; non aver svolto una valutazione d’impatto sulla protezione dei dati per l’operazione di censimento.

Nello specifico, l’Autorità ha concluso che, rispetto ai dati relativi alla salute e alla religione, l’Istituto nazionale di statistica aveva omesso di fornire informazioni chiare e complete sul fatto che il conferimento di questi dati da parte dei cittadini fosse facoltativo, in violazione di quanto previsto dall’art. 4 della Legge sul segreto statistico portoghese. Così, molti intervistati non hanno compreso che rispondere ad alcune domande del questionario era facoltativo.

Inoltre, la CNPD ha ritenuto che l’INE non abbia rispettato il dovere di diligenza nella scelta del responsabile del trattamento, in quanto i requisiti dell’art. 28, par. 3 GDPR risultavano sussistere più dal punto di vista formale, che sostanziale. Infatti, nonostante l’esistenza di un ufficio di Cloudflare Inc. a Lisbona, il contratto era stato stipulato con la società con sede negli Stati Uniti, stabilendo, peraltro, che il foro per risolvere eventuali controversie fosse il Tribunale della California.

Per altro verso, con riferimento al trasferimento dei dati personali negli USA, è vero che il contratto con Cloudflare includeva le clausole contrattuali standard approvate dalla Commissione Europea, però non prevedeva misure aggiuntive che impedissero l’accesso ai dati da parte di enti governativi del Paese terzo. Le leggi americane, infatti, autorizzano le autorità di pubblica sicurezza ad accedere ai dati di utenti e clienti della società, senza fornire informazioni agli interessati. Dal momento che non risultava rispettato un livello di protezione di dati pari a quello garantito dalla legislazione UE, come invece richiesto anche dalla Corte di Giustizia dell’Unione Europea nella Sentenza Schrems II, la CNPD ha rilevato la violazione della normativa in materia di trasferimenti internazionali di dati.

Le iniziative delle altre Autorità

MEZZO MILIONE DI CHIAMATE PER TELEMARKETING ILLECITO IN UK: L’ICO (il Garante inglese) INTERVIENE E SANZIONA CINQUE SOCIETÀ

Nel Regno Unito, cinque società sono state condannate al pagamento di sanzioni del valore complessivo di 435.000 sterline dall’Autorità garante per la privacy (Information Commissioner’s Office, ICO) per aver effettuato quasi mezzo milione di chiamate a persone registrate presso il Telephone Preference Service (TPS) – corrispondente del Registro delle opposizioni italiano –. Secondo la legge britannica, è infatti vietato chiamare per finalità di marketing chiunque sia registrato presso il TPS, a meno che questi non fornisca un’espressa e specifica autorizzazione in tal senso.

In particolare le chiamate avevano lo scopo di convincere i destinatari (tra cui tante persone anziane e vulnerabili) a sottoscrivere contratti di assicurazione sugli elettrodomestici (es. lavatrice, utensili da cucina, caldaie ecc.). Dalle indagini dell’ICO, è emerso che, in alcuni casi, le compagnie si rivolgevano deliberatamente a un gruppo demografico specifico: proprietari di case, over 60, con un telefono fisso. È stato, inoltre, dimostrato che alcune delle società hanno usato evidenti tattiche di pressione al fine di ottenere i dati di pagamento dalle persone.

Secondo quanto riportato dall’ICO, infatti, nei reclami ricevuti veniva lamentato che alcuni operatori delle società sanzionate avessero peraltro atteggiamenti insistenti ed invadenti nel corso delle chiamate illegittime. Ad esempio, ad una signora ultraottantenne veniva detto che occorreva rinnovare l’assicurazione della caldaia – circostanza, tra l’altro, non vera – e, con l’occasione, l’operatore continuava a domandare dati superflui come l’età anagrafica della signora, dove e come facesse la spesa, le modalità di pagamento e perfino i dettagli della carta di credito. Proprio quest’ultima domanda, in più di un caso, ha suscitato allarme nei destinatari delle chiamate, specialmente tra i più anziani, i quali hanno attivato le procedure di reclamo.

L’ICO ha recentemente rilasciato una guida aggiornata sul marketing diretto con l’intenzione di sostenere le imprese decise a conformarsi alla legge. Tuttavia, così come dichiarato anche dal capo del dipartimento Investigations, l’Autorità ribadisce la sua volontà di indagare e di prendere provvedimenti severi laddove vengano riscontrate palesi inosservanze della legge che possano danneggiare le persone. Così come in questo caso, in cui in tanti (specialmente anziani soli) si sono sentiti in dovere di consegnare i propri dati bancari semplicemente per avere qualcuno con cui parlare al telefono.

Le iniziative delle altre Autorità

Sanzione da 8 milioni di euro del Garante francese (CNIL) a Apple

Il 29 dicembre 2022, il Garante privacy francese (CNIL) ha inflitto una sanzione da 8 milioni di euro ad Apple Distribution International per aver utilizzato gli identificatori memorizzati sui devices degli utenti francesi di iPhone (versione iOS 14.6) a fini pubblicitari.

A seguito di una serie di ispezioni, condotte dalla CNIL tra il 2021 e il 2022, è emerso che con la versione 14.6 del sistema operativo dell’iPhone, quando un utente visitava l’App Store, gli identificatori – utilizzati per vari fini, tra cui quello pubblicitario – venivano letti automaticamente senza ottenere il consenso.

Infatti, le impostazioni di targeting pubblicitario disponibili dall’icona “Impostazioni” dell’iPhone erano preselezionati by default e per disattivarle l’utente avrebbe dovuto eseguire diverse azioni (cliccare sull’icona “Impostazioni” dell’iPhone, poi andare nel menu “Privacy” e infine nella sezione “Pubblicità Apple”).

Pertanto la CNIL, riscontrando una violazione dell’art. 82 della Loi Informatique et Libertés ha sanzionato Apple Distribution International per 8 milioni di euro. Nel valutare l’importo l’Autorità transalpina ha tenuto conto del numero di persone coinvolte in Francia e dei profitti che l’azienda ha ottenuto grazie agli introiti pubblicitari indirettamente generati dai dati raccolti, ma anche dell’ambito limitato del trattamento (App Store) e del fatto che l’azienda si è poi adeguata.

È interessante notare che la CNIL si è considerata competente sulla vicenda da cui è scaturita la sanzione senza attivare il meccanico dello one-stop shop previsto dal GDPR. Infatti, l’Autorità ha ritenuto che le operazioni connesse all’uso degli identificatori rientrassero nell’ambito di applicazione della direttiva ePrivacy, recepita appunto nell’art. 82 della Loi Informatique et Libertés.

Inoltre, un altro elemento che ha fatto propendere la CNIL per l’affermazione della sua competenza territoriale è il fatto che gli identificatori siano stati utilizzati ne quadro delle attività di Apple Retail France e Apple France, vale a dire “stabilimenti” del gruppo Apple in Francia. Tuttavia, la sanzione è stata irrogata ad Apple Distribution International (società con sede in Irlanda) in quanto ritenuta responsabile degli annunci personalizzati sull’App Store.

Le iniziative delle altre Autorità

Il Garante tedesco, lancia due nuovi opuscoli per i bambini

Inauguriamo oggi una nuova rubrica nella quale periodicamente racconteremo le iniziative e i provvedimenti delle altre Autorità di protezione dei dati personali europee e non europee.

L’Autorità garante federale tedesca per la protezione dei dati personali e la libertà d’informazione (BfDI) ha pubblicato due nuove uscite della serie “Pixi”, libricini a fumetti dedicati alle tematiche connesse alla privacy.

Il primo, intitolato “Ma perché?!” (“Aber warum?”), è dedicato alla trasparenza, il secondo affronta il tema della libertà d’informazione (“Was ist Informationsfreiheit?”).

Entrambi si propongono di spiegare ai piccoli lettori l’importanza di fare – e di farsi – tante domande: chiedendo si può ottenere molto ed è sempre un bene conoscere il perché delle cose.

Il BfDI offre tutti e due i libri gratuitamente fino ad esaurimento scorte, esclusivamente in formato cartaceo.

C’è però una versione video disponibile online della stessa serie “Pixi”.