Le iniziative delle altre Autorità

L’Autorità garante spagnola adotta delle Linee Guida per la prevenzione dei data breach nella Pubblica Amministrazione

L’Agenzia spagnola per la protezione dei dati (AEPD) ha pubblicato le Orientaciones para tratamientos que implican comunicación de datos entre Administraciones Públicas ante el riesgo de brechas de datos personales. Si tratta di un documento rivolto al settore pubblico che esamina la gestione dei rischi derivanti dal trattamento di enormi quantità di dati personali e dal loro scambio tra le Pubbliche Amministrazioni.

Le amministrazioni pubbliche, come tutti i titolari del trattamento, devono mettere in conto l’eventualità che si verifichino delle violazioni di dati personali e che le misure di sicurezza non garantiscano una protezione totale. Pertanto, devono attuare misure e azioni specifiche fin dalla progettazione del trattamento per ridurre al minimo il potenziale impatto individuale e sociale di un eventuale data breach.

Stando ai dati, infatti, nel 2021, l’Agenzia ha ricevuto 163 notifiche di violazione di dati personali dal settore pubblico, e nel 2022 la cifra è aumentata del 49%, arrivando a 243.

Una gestione efficace del rischio implica l’azione coordinata dei soggetti coinvolti nel trattamento, uno studio congiunto dei diversi scenari di violazione dei dati in caso di fallimento delle misure di sicurezza e l’adozione di misure specifiche e adeguate al fine di ridurre al minimo l’impatto sui diritti fondamentali. Proprio per questo, le linee guida includono un elenco di misure preventive di rilevamento, risposta, revisione e monitoraggio che potrebbero essere attuate nell’ambito di questo tipo di trattamento.

Nelle linee guida l’AEPD sottolinea che gestire questi trattamenti è organizzativamente complesso a causa della molteplicità degli attori coinvolti. Peraltro, l’interconnessione di infrastrutture per l’accesso e lo scambio di dati moltiplica la probabilità che una violazione dei dati personali si concretizzi, generando un grande impatto. Ciò implica la necessità di attuare misure di salvaguardia della privacy e di sicurezza, sia tecniche che organizzative, adeguate a questi scenari complessi, specifiche e in grado di gestire in modo coordinato l’elevato impatto sociale in relazione alla protezione dei dati.

Le iniziative delle altre Autorità

I provvedimenti dell’Autorità danese sui cookie wall

L’Autorità danese per la protezione dei dati ha adottato due decisioni sull’uso dei c.d. “cookie wall” e, a seguire, delle linee guida.
Dall’inizio del 2020, l’Autorità ha ricevuto una serie di reclami sull’uso dei cookie wall.
Sulla base di due di questi, ha colto l’occasione per stabilire in che misura l’uso dei cookie wall possa rientrare nel quadro della disciplina in materia di protezione dei dati personali.
In via generale, l’Autorità garante ha ritenuto che questa pratica debba considerarsi legittima ove il prezzo da pagare per la fruizione dei contenuti non sia tanto alto da minare la libertà nella prestazione del consenso. I contenuti fruibili sottoscrivendo l’abbonamento o, viceversa, dando il consenso al trattamento dei dati personali, dovrebbero essere pressoché gli stessi.
Tuttavia, con riferimento ai due casi esaminati, le decisioni sono state in parte diverse per via delle specificità caratterizzanti le due fattispecie.

Per quanto riguarda il caso Gul og Gratis, è stato rilevato che l’azienda offriva un’alternativa al consenso sotto forma di accesso a pagamento. Il pagamento abilitava, infatti, l’accesso a un servizio in gran parte equivalente a quello fruibile tramite il consenso al trattamento dei dati. Il prezzo dell’alternativa di pagamento non era così alto, sicché l’interessato aveva una reale possibilità di scelta tra il pagamento e il consenso.
L’Autorità danese, tuttavia, ha anche ritenuto che Gul og Gratis non aveva dimostrato che il trattamento dei dati personali a fini statistici, anch’esso realizzato dall’azienda, fosse, in realtà, una parte necessaria dell’alternativa di pagamento. Alla società è stato quindi ordinato di fornire tale dimostrazione oppure di adattare la soluzione in modo che i visitatori possano prestare un consenso separato per questa specifica finalità.

Con riferimento, invece, a Jysk Fynske Medier, è stato riscontrato che l’approccio specifico dell’azienda non soddisfaceva i requisiti per un consenso valido. Ciò per via del fatto che il servizio offerto dietro consenso non era affatto equivalente a quello offerto dietro pagamento e che, quindi, ai visitatori non veniva concessa una vera e propria libera scelta. Infatti, mediante la prestazione del consenso, i visitatori potevano accedere solo a parte dei contenuti, mentre sottoscrivendo un abbonamento riuscivano a fruire di un’offerta più completa.
Anche in questo caso, come in quello precedente, l’Autorità ha riscontrato che Jysk Fynske Medier non aveva dimostrato che il trattamento dei dati personali a fini statistici fosse una parte necessaria dell’alternativa al pagamento. Anche a questa società è stato quindi ordinato di fornire tale dimostrazione oppure di adattare la soluzione in modo che i visitatori possano esprimere un consenso separato per questo scopo.

Infine, a seguito di queste due decisioni, l’Autorità danese ha predisposto delle linee guida generali sull’uso dei cookie wall, che le aziende dovrebbero tenere in considerazione nel ricorrere a tali strumenti nel proprio business.
Le linee guida indicano quattro criteri che rappresentano il punto di partenza per la valutazione da parte dell’Autorità rispetto alla conformità al GDPR dell’uso di un cookie wall.

Le iniziative delle altre Autorità

L’Autorità svedese e il “regulatory testing”. Pubblicata una guida per sostenere il progetto di AI decentralizzata nella sanità

L’Autorità garante svedese (Integritetsskyddsmyndigheten, IMY) annuncia di aver completato con successo un progetto pilota in cui ha condotto attività di “regulatory testing” sull’IA decentralizzata.
L’IMY vuole evitare che si crei un divario tra il rapido sviluppo della tecnologia e il quadro normativo in materia di protezione dei dati personali e, in tale ottica, sta cercando di individuare nuovi modi di lavorare nel settore pubblico per poter contribuire a uno sviluppo digitale sostenibile.
La sperimentazione pubblica di soluzioni tecnologiche di IA è un’opportunità per mettere alla prova questi nuovi metodi.
Nella fattispecie, l’IMY ha fornito supporto al progetto Decentralised AI in Health Care – Federated machine learning between two healthcare providers (IA decentralizzata nell’assistenza sanitaria – Apprendimento automatico federato tra due fornitori di assistenza sanitaria) condotto dalla Regione Halland e dall’Ospedale universitario Sahlgrenska, insieme ad AI Sweden – il centro nazionale svedese per l’IA applicata -.
Questa iniziativa ha lo scopo di studiare le possibilità aperte da un’assistenza sanitaria data-driven, utilizzando l’IA, al fine di personalizzare le decisioni sia a livello individuale che di sistema e a sviluppare diagnosi e trattamenti più avanzati e accurati. In particolare, ciò dovrebbe avvenire mediante lo scambio di modelli di apprendimento automatico.
L’IMY ha supportato i soggetti coinvolti nella corretta interpretazione e applicazione delle norme, per garantire una sana gestione dei dati sanitari, attraverso la predisposizione di un’apposita guida.
Si tratta di un’applicazione del c.d. “regulatory testing”, nell’ambito del quale le organizzazioni possono testare le loro idee confrontandosi con l’IMY e ricevere supporto sulle questioni legali relative ai progetti sperimentali.
Tale confronto si articola in workshop e incontri le cui conclusioni sono poi utilizzate – sono state utilizzate nel caso di specie – per la redazione di una guida in cui vengono prospettate le conclusioni raggiunte e le soluzioni da impiegare.
In particolare, nel caso in questione, la guida si è concentrata su questioni relative alla base giuridica per il trattamento dei dati personali, nell’addestramento del modello di apprendimento automatico “locale” da parte degli operatori sanitari e nella comunicazione di dati personali nell’ambito dell’attività di apprendimento automatico “federato” tra i diversi soggetti

Le iniziative delle altre Autorità

La CNIL lancia il “club della conformità” dedicato ai veicoli connessi

La CNIL sta per istituire un “club della conformità” dedicato agli operatori dei veicoli connessi e della mobilità. Questo forum di dialogo privilegiato dovrebbe consentire scambi regolari e incoraggiare un’innovazione rispettosa della loro privacy.

Sono, infatti, numerosi i dati personali generati dagli utenti di auto, scooter, biciclette e altri mezzi di trasporto.

L’accesso a questi dati può essere una fonte di progresso per molti scopi (sicurezza, comfort, manutenzione, ecc.), in particolare per la fornitura di servizi innovativi o nel contesto delle politiche pubbliche sulla mobilità.

Per giunta, questi dati (ad esempio, spostamenti o comportamenti di guida) rivelano ampie porzioni della vita privata degli interessati. Il loro utilizzo solleva quindi questioni fondamentali sulla protezione dei dati personali e sul rispetto dei diritti e delle libertà fondamentali.

La strategia della CNIL si incentra sulla creazione di un “club della conformità” per incoraggiare l’innovazione nel rispetto dei diritti e delle libertà.

In quest’ottica, l’Autorità auspica che le discussioni che si svolgeranno nell’ambito del “club della conformità” possano fornire al maggior numero possibile di attori strumenti pratici e operativi per promuovere un uso responsabile dei dati.

Per sostenere tutti gli operatori dei veicoli connessi e della mobilità (produttori, fornitori di apparecchiature, società di noleggio di veicoli, operatori di servizi di mobilità, ecc.), la CNIL sta creando un club di conformità dedicato alle loro attività. Basandosi sul modello dei “compliance club” già esistenti (nei settori assicurativo e bancario), dovrebbe permettere di instaurare un dialogo regolare con il settore su questioni identificate come prioritarie.

Questo forum di scambio e consultazione dovrebbe far emergere risposte concrete adatte alle sfide giuridiche, tecniche, sociali ed economiche. Questo approccio incoraggerà l’innovazione nel rispetto dei diritti e delle libertà fondamentali degli individui. La costituzione del club di conformità è la continuazione delle scelte adottate dalla CNIL già nel 2016, in consultazione con gli attori dell’industria automobilistica e le aziende di diversi settori (assicurazioni, telecomunicazioni, autorità pubbliche, ecc.), che ha portato alla pubblicazione di un pacchetto di conformità sui “veicoli connessi” nel 2017. Sul punto, si segnalano anche le Linee Guida adottate dall’EPDB nel 2021.

Le iniziative delle altre Autorità

I consigli dell’ICO ai game designers: alcuni “top tips” per rispettare Children’s code

Il 15 febbraio 2023, l’ICO ha pubblicato i “Top Tips” per aiutare i progettisti/sviluppatori di giochi a conformarsi al suo Children’s code (Age appropriate design: a code of practice for online services) – il quale è entrato in vigore il 2 settembre 2020 e contiene un insieme di norme volte alla protezione dei bambini nell’utilizzo dei servizi online-.

Prima di emanare questa serie di consigli, l’ICO ha sottoposto ad un audit le società che progettano videogiochi per meglio comprendere quali possano essere le applicazioni pratiche del Children’s code nel settore del gaming. A seguito di un’ampia riflessione sui rischi da contrastare e sulle misure da adottare per assicurare il rispetto del Codice, l’Autorità ha raccolto i migliori “tips” per garantire ai players un gioco sicuro. L’obiettivo principale per i game designers è quello di garantire la protezione dei bambini attraverso la progettazione dei loro giochi. A tal fine, tra i suoi “suggerimenti”, l’ICO consiglia di:

identificare se i giocatori hanno meno di 18 anni con un ragionevole grado di certezza e scoraggiare false dichiarazioni di età;
garantire che i giochi non siano dannosi per la salute e il benessere dei bambini, includendo contenuti e tematiche adeguati all’età e promuovendo il monitoraggio dei tempi di gioco;
disattivare by default la profilazione comportamentale per il marketing. Se un bambino sceglie di ricevere annunci pubblicitari, è necessario implementare misure per controllare o monitorare l’inserimento di prodotti, la pubblicità o gli accordi di sponsorizzazione, anche qualora gli sia permesso accedere ai server della community dall’interno del gioco.
scoraggiare l’uso di tecniche di nudge per spingere i bambini a prendere decisioni superficiali concernenti la privacy, compresa la revisione delle scelte in materia di marketing o la creazione di account sui social media per ottenere ricompense.

Ogni singolo consiglio rimanda a risorse – come, ad esempio, un modello di Data Protection Impact Assessment – o ad altri documenti più dettagliati. Inoltre, i suggerimenti toccano anche le principali preoccupazioni emerse di recente nel settore del gaming, tra cui la necessità di valutare il rischio di ricompense casuali, come le loot box, e di progettare giochi che aiutino i players più giovani a disimpegnarsi da sessioni troppo prolungate.

L’Autorità offre, inoltre, ai produttori di videogiochi l’opportunità di sottoporsi volontariamente ad un audit. Chi decide di ricorrere a questa possibilità può beneficiare delle conoscenze e dell’esperienza in materia di protezione dei dati di un team di audit dell’ICO senza alcuna spesa. Si tratta, peraltro, di un’utile occasione per discutere con i membri del team dell’ICO le questioni relative alla protezione dei dati e per ottenere una valutazione indipendente della conformità dei propri processi alle norme.

Le iniziative delle altre Autorità

Il Garante olandese annuncia: Le impostazioni delle telecamere sicurezza di Tesla più attente alla privacy dopo un’istruttoria

L’Autoriteit Persoonsgegevens (AP) dei Paesi Bassi ha annunciato che, a seguito dell’avvio di un’apposita istruttoria, la casa automobilistica Tesla ha reso le impostazioni delle telecamere di sicurezza integrate nelle sue auto più rispettose della privacy.
La vicenda ha avuto inizio con una richiesta di informazioni da parte dell’Autorità garante olandese concernente la cosiddetta “modalità Sentry” di Tesla. Questo sistema, mediante quattro telecamere all’esterno del veicolo, assicura una maggiore protezione dell’auto da furti o atti di vandalismo.
Da quanto emerso dall’istruttoria, però, è stato riscontrato che, una volta attivata la modalità Sentry, le telecamere riprendevano continuamente tutto ciò che stava intorno al veicolo parcheggiato e memorizzavano per un’ora i filmati.
Tuttavia, a seguito di un successivo aggiornamento del software, è stato verificato che le telecamere sono ora spente per impostazione predefinita. E se l’utente le accende, memorizzano solo fino ad un massimo di 10 minuti di filmati.

“Le persone che passano accanto a questi veicoli vengono filmate senza saperlo. E i proprietari delle Tesla potrebbero tornare indietro e guardare queste immagini. Se una persona parcheggiasse uno di questi veicoli davanti alla finestra di qualcuno, potrebbe spiare all’interno e vedere tutto ciò che l’altra persona sta facendo. Si tratta di una grave violazione della privacy. È quindi positivo che Tesla abbia analizzato la situazione in modo critico e abbia apportato delle modifiche” ha affermato Katja Mur, membro del board dell’Autoriteit Persoonsgegevens.

Tesla ha informato l’Autorità garante che, dall’avvio dell’indagine, l’azienda ha apportato diverse modifiche alla funzione Sentry Mode. Per esempio, ora risponde solo se il veicolo viene toccato o se le telecamere rilevano attività sospette. Inoltre, il veicolo non inizia automaticamente a filmare, ma il proprietario riceve un avviso sul telefono.
Resta comunque possibile registrare filmati della telecamera dell’auto, ma solo quando l’utente attiva questa funzione. All’avvio della registrazione, viene mostrato un messaggio sul touchscreen all’interno della vettura e i fari lampeggiano. Ciò informa le persone che l’auto potrebbe registrarle. Inoltre, l’impostazione predefinita prevede il salvataggio dell’ultimo minuto di riprese, che il proprietario può aumentare soltanto fino a un massimo di dieci minuti. Peraltro, le immagini vengono memorizzate solo nel veicolo e non possono essere condivise con Tesla.

Così, l’istruttoria dell’AP non ha portato a nessuna sanzione per Tesla. Ciò anche perché è stato acclarato che non è Tesla, ma i proprietari delle auto ad essere i titolari dei trattamenti dei dati personali derivanti dalla registrazione di immagini.

Qui il comunicato integrale dei colleghi olandesi.

Le iniziative delle altre Autorità

Consultazione pubblica sui dati biometrici in Nuova Zelanda

Il Privacy Commissioner neozelandese sta valutando l’adozione un codice di condotta per regolamentare la biometria.

L’uso di tecnologie biometriche, come il riconoscimento facciale o delle impronte digitali, è una questione di interesse per le autorità garanti della privacy di tutto il mondo e la Nuova Zelanda non intende essere da meno.

Così, il Privacy Commissioner ha pubblicato un position paper intitolato “Privacy regulation of biometrics in Aotearoa New Zealand”. Questo documento è stato posto in consultazione pubblica –nell’ambito di una revisione della normativa esistente – per verificare se fosse necessario intraprendere ulteriori azioni per proteggere la privacy.

All’esito della consultazione agli uffici del Privacy Commissioner sono pervenuti all’incirca 100 contributi. Grazie a questi e all’analisi di ulteriori elementi di riflessioni provenienti dalla Nuova Zelanda e dall’estero, l’Autorità ha accumulato abbastanza materiale per valutare la possibile adozione del codice di condotta per la biometria nel 2023.

“Siamo molto soddisfatti del modo in cui i cittadini hanno partecipato alla nostra consultazione iniziale. Questo dimostra che c’è un alto livello di interesse”, ha dichiarato il Commissioner Michael Webster.

Molti tra coloro che hanno preso parte alla consultazione hanno concordato con le considerazioni del Privacy Commissioner in merito alla biometria. In particolare, vi sono diversi interrogativi rispetto al rischio di conseguenze discriminatorie. Ad esempio, forti preoccupazioni sono state espresse specialmente per quanto riguarda i Māori, che potrebbero subire un potenziale impatto discriminatorio dell’impiego delle tecnologie biometriche.

Le informazioni biometriche sono particolarmente sensibili, in quanto uniche per l’individuo e difficilmente modificabili, per cui necessitano di un alto livello di protezione. Proprio in virtù di questo presupposto, si sta affermando un orientamento rivolto ad un ulteriore intervento regolatorio per garantire una maggiore certezza del diritto. Al netto, quindi, delle opinioni contrastanti in materia, quello che è emerso è stata la necessità di fare qualcosa di più rispetto all’attuale quadro normativo.

“L’uso della biometria sta crescendo e si sta diversificando. Vogliamo garantire che i neozelandesi e le imprese neozelandesi possano sfruttare i vantaggi di questa tecnologia, ma anche essere protetti da potenziali danni”, ha detto sempre Michael Webster, annunciando che il successivo passaggio sarà una serie di impegni mirati con le agenzie e i soggetti interessati a questo settore, per capire cosa potrebbe contenere un codice. Infatti, il Privacy Commissioner intende ampliare il più possibile il dibattito, in vista dell’eventuale adozione del codice.

Qui il testo integrale del position paper predisposto dai colleghi neozelandesi.

Le iniziative delle altre Autorità

GUIDE RECRUTEMENT| La protezione dei dati personali spiegata ai recruiters: ecco la nuova guida della CNIL

Il processo di reclutamento comporta necessariamente il trattamento di una grande quantità di dati personali dei candidati. Pertanto, l’Autorità garante francese (CNIL) ha pubblicato una guida e una serie di schede pratiche per aiutare i recruiters ad essere compliant.

Dopo più di vent’anni dalle prime raccomandazioni sulla raccolta e il trattamento dei dati personali effettuati durante le operazioni di reclutamento del marzo 2002, l’Autorità ha deciso di dare risposta ad una forte esigenza manifestata dai professionisti. Già da tempo, infatti, si richiede maggiore supporto e un aggiornamento della posizione della CNIL, in un contesto in cui le nuove tecnologie sono utilizzate quotidianamente da parte dei recruiters nelle loro attività.

I canali di reclutamento si sono moltiplicati (social network, pubblicità personalizzata, motori di ricerca specializzati, ecc.), così come gli strumenti di comunicazione utilizzati (videoconferenze, agenti conversazionali o chatbot, applicazioni mobili, ecc.), e sono cresciuti anche i grandi database che consentono l’uso dell’intelligenza artificiale o l’utilizzo di strumenti per valutare il “savoir être” e le “soft skills” dei candidati.

Alla luce di tutte queste innovazioni e dei notevoli rischi di violazione della privacy dei candidati, è essenziale che i recruiters garantiscano il rispetto dei loro diritti e delle loro libertà. E, perciò, la CNIL ha predisposto questa guida per aiutare i recruiters a conformarsi al GDPR.

La guida è composta da due parti:

un promemoria dei fondamenti della normativa sulla protezione dei dati personali nel settore del reclutamento (schede da 1 a 10);
domande e risposte sull’uso delle nuove tecnologie da parte dei recruiters e su temi specifici come la discriminazione (schede da 11 a 19).

Inoltre, vi sono anche utili strumenti di supporto come un promemoria delle normative e chiarimenti sulle migliori pratiche da adottare per garantire la conformità alla normativa di strumenti di sintesi, sotto forma di schede pratiche:

le cinque domande essenziali da porsi;
un questionario di autovalutazione RGPD.

Peraltro, la CNIL supporta anche i candidati proponendo una scheda pratica dedicata.

Questa guida rappresenta un buon esempio a cui possono rifarsi anche i recruiters italiani. Beninteso, tenendo a mente le specificità delle diverse legislazioni nazionali.

Le iniziative delle altre Autorità

MÀS QUE UN MÒVIL | L’Autorità garante spagnola promuove una campagna per l’uso responsabili del cellulare da parte dei minori

L’Agenzia Spagnola per la Protezione dei Dati (AEPD) e l’UNICEF Spagna stanno portando avanti la campagna “Màs que un mòvil” (Più che un cellulare), mirata allo scopo di sensibilizzare i genitori sui rischi che derivano da un uso non responsabile dello smartphone da parte dei loro figli.

Secondo i dati del rapporto UNICEF Spagna relativo all’impatto della tecnologia sull’adolescenza, l’età media di accesso al primo dispositivo mobile per uso personale nel Paese è inferiore agli 11 anni. Inoltre, il rapporto mostra che quasi il 95% degli adolescenti ha un telefono cellulare con connessione a Internet, ma soltanto il 29,1% degli intervistati afferma che i genitori stabiliscono regole per l’uso della tecnologia, solo il 24% dichiara di avere a disposizione un tempo limitato per l’utilizzo dei dispositivi e il 13,2% di poter accedere a contenuti limitati.

AEPD e UNICEF forniscono, quindi, alle famiglie la “Guida che non arriva con il cellulare”, una serie di raccomandazioni per incoraggiare il dialogo e favorire un approccio attivo all’educazione dei figli, trasmettendo valori e, soprattutto, informazioni sufficienti a garantire un uso responsabile del cellulare.

La guida elenca 10 punti chiave che i genitori devono tenere in considerazione prima di regalare un cellulare ai propri figli:

Pianificare l’arrivo del telefono cellulare
Supervisionare e definire regole e limiti
Curarsi dei dati sui social network
Interessarsi ai videogiochi
Sapere con chi parlano i ragazzi
Stimolare il senso critico
Essere aperti all’aiuto
Essere responsabili dei propri figli
Garantire uno spazio di disconnessione
Verificare come si sentono i ragazzi nella loro vita digitale

Alla campagna “Màs que un mòvil” partecipano compagnie telefoniche – Movistar, Orange, Vodafone e Yoigo – e reti televisive – Atresmedia, Mediaset, RTVE, Movistar Plus+ e Vodafone TV –. Inoltre, JC Decaux trasmette lo spot sulla propria segnaletica stradale e nei centri commerciali, mentre Metro de Madrid e EMT Madrid diffondono l’iniziativa sui rispettivi canali.

La campagna è, peraltro, compresa nelle azioni di divulgazione del Patto Digitale per la protezione delle persone, promossa sempre dall’AEPD, che riunisce più di 400 organizzazioni e associazioni.

Le iniziative delle altre Autorità

L’Autorità garante finlandese sanziona un’azienda per 122.000 euro per aver trattato dati particolari senza un esplicito consenso

L’Autorità garante finalndese (Tietosuojavaltuutetun toimisto) ha sanzionato un’azienda per aver trattato dati personali relativi alla salute senza specificare le tipologie di dati trattati e le finalità di ciascun trattamento. L’Autorità ha, così, irrogato una sanzione per un importo pari a 122.000 euro e ha ammonito la società, invitandola a correggere la propria prassi.

L’istruttoria del Tietosuojavaltuutetun toimisto aveva avuto origine da alcuni reclami ricevuti tra il 2018 e il 2019. Dalle verifiche svolte è emerso che l’azienda trattava alcuni dati relativi alla salute degli interessati – in particolare, quelli concernenti l’indice di massa corporea e la capacità massima di ossigeno – senza averne ricevuto l’esplicito consenso come richiesto dal GDPR.

L’azienda, infatti, aveva richiesto agli utenti del suo servizio un consenso di carattere generale, senza identificare precisamente quali dati raccogliesse e trattasse. Ma il consenso così raccolto, secondo l’Autorità, non può essere adatto a soddisfare i requisiti del GDPR in quanto non è individualizzato e informato.

Il Tietosuojavaltuutetun toimisto ha così ritenuto che, sebbene avesse informato gli interessati, il titolare non avesse fornito informazioni sufficienti sui tipi di dati personali trattati e sulle finalità di ciascun trattamento. Sulla decisione, inoltre, ha pesato molto anche il fatto che il trattamento su larga scala dei dati sanitari rappresenta una parte essenziale del core business dell’azienda.

Dal momento che i servizi dell’azienda vengono offerti anche in altri Paesi europei, la questione è stata affrontata nell’ambito della procedura di cooperazione tra Autorità garanti prevista dal GDPR (era stato, peraltro, presentato un reclamo anche in un altro Stato membro dell’Unione Europea). Ovviamente, essendo il trattamento dei dati personali effettuato dallo stabilimento della società in Finlandia, il Tietosuojavaltuutetun toimisto ha agito come autorità capofila nel corso dell’istruttoria.