Le iniziative delle altre Autorità

Come collaborano gli altri: la prima istruttoria congiunta dei Garanti australiano e neozelandese

Il Garante per la privacy austrialiano (OAIC) e quello neozelandese (OPC) hanno avviato, per la prima volta, un un’istruttoria congiunta.

Nel mirino delle due autorità, la gestione di un data breach da parte del gruppo societario Latitude, che si occupa di servizi finanziari.

La decisione di intraprendere un’istruttoria congiunta fa seguito alle indagini preliminari condotte da entrambi gli uffici. Ciò riflette l’impatto della violazione dei dati sulle persone in entrambi i Paesi.

Si è trattato, infatti, di un data breach di grave entità (il più grande verificatosi in Nuova Zelanda) e ha avuto come oggetto i dati di milioni di australiani e neozelandesi, tra cui patenti di guida, passaporti e dati finanziari sensibili, incluse informazioni sul reddito e sulle spese personali.

Le due autorità intendono, così, fare chiarezza rispetto alla adozione da parte di Latitude di misure ragionevoli per proteggere le informazioni personali in suo possesso da uso improprio, interferenza, perdita, accesso non autorizzato, modifica o divulgazione.

In particolare, OAIC e OPC vogliono verificare come gli hacker si sono introdotti nei sistemi di Latitude Financial, quanto tempo sono rimasti all’interno prima di essere scoperti, cosa ha fatto il personale di Latitude quando ha scoperto l’attacco, come venivano conservati i dati personali in possesso della società, quali erano le misure la sicurezza e le modalità di archiviazione di tali informazioni all’interno dei suoi sistemi informatici.

Rientra negli obiettivi dei due garanti anche valutare se Latitude abbia adottato misure adeguate a eliminare o de-identificare le informazioni personali non più necessarie.

L’istruttoria congiunta consentirà un uso efficiente delle risorse di entrambe le agenzie e ridurrà anche l’eventuale impatto su Latitude.

Tuttavia, non è escluso che l’OAIC e l’OPC possano raggiungere conclusioni differenti o addirittura prendere decisioni separate e diverse all’esito dell’istruttoria.

Le iniziative delle altre Autorità

I consigli dell’ICO per proteggere i dati personali nelle elezioni locali nel Regno Unito

In occasione delle elezioni amministrative del 4 maggio, l’Autorità garante inglese (ICO) ha realizzato una breve guida (completa di video finale) fornendo alcuni consigli agli elettori per aiutarli a proteggere la loro privacy.

I dati personali rappresentano, infatti, una risorsa strategica in una campagna elettorale. Consentono ai partiti politici di trasmettere messaggi importanti e di comprendere come guadagnarsi le simpatie degli elettori, toccando i temi che stanno loro a cuore.

L’ICO ha, quindi, invitato i partiti politici a fornire:

Informazioni chiare sulla privacy: dovrebbero essere chiarite fin dall’inizio, con informazioni facili da capire, le modalità con le quali un partito politico utilizza i dati personali.
Informazione sulle tecniche di profilazione utilizzate: l’eventualità che un partito utilizzi tecniche di profilazione deve essere spiegata all’utente e a questo deve essere data la possibilità di opporsi.
Informazioni chiare sulla pubblicità sui social media: gli elettori devono essere al corrente del fatto che i loro dati personali possono essere utilizzati per l’invio di pubblicità mirata sui social media.
Informazioni trasparenti sulle modalità di utilizzo dei dati raccolti con petizioni o sondaggi: in generale, non è opportuno che un partito o un candidato che ha raccolto i dati allo scopo specifico di presentare una petizione o realizzare un sondaggio, li riutilizzi per una campagna politica.

L’ICO ha ricordato, inoltre, che gli elettori hanno il diritto di pretendere che i partiti politici trattino i dati personali in modo responsabile.

In ogni caso, l’Autorità ha messo a disposizione dei votanti un’apposita guida che può essere utile consultare per sapere come chiedere ulteriori informazioni e, al limite, presentare un reclamo.

C’è da aggiungere che questa è la prima volta che gli elettori inglesi hanno dovuto esibire un documento di identità con fotografia per votare (finora non era necessario e la disposizione si applicherà alle elezioni generali solo da ottobre 2023). Al riguardo vi sono state anche polemiche sul fatto di dover esibire il documento di identità al personale del seggio elettorale, nonostante la possibilità di chiedere che tale controllo venisse effettuato in privato.

Le iniziative delle altre Autorità

Il Garante della Repubblica Ceca sanziona il Ministero dell’Interno
Trattamento diffuso di dati sul Covid-19 senza idonea base giuridica

L’Autorità Garante privacy della Repubblica ceca ha inflitto una sanzione da 975.000 corone al Ministero dell’Interno per il trattamento diffuso dei dati delle persone alle quali era stato ordinato l’isolamento a causa del COVID-19.
Secondo l’Ufficio, il caso riguardava circa 2.000.000 di persone che avevano contratto il virus tra il 1° aprile 2021 e l’8 marzo 2022.
“Le autorità pubbliche possono esercitare il loro potere solo nei modi previsti dalla legge. Questo vale in ogni momento, anche in circostanze eccezionali, comprese le pandemie. La legge sulla polizia non consente la raccolta generalizzata dei cosiddetti dati personali particolari, che comprendono le informazioni sulla salute. Il loro trattamento diffuso, inoltre, effettuato senza un’adeguata informazione alle persone a cui tali dati si riferiscono, può comportare rischi molto gravi”. Ha dichiarato Jiří Kaucký, presidente dell’Autorità garante.
Secondo quanto emerso dall’istruttoria condotta dagli uffici, la polizia ha raccolto dati personali sullo stato di salute delle persone in maniera generalizzata e preventiva, senza alcun legame con il caso specifico oggetto di indagine. In questo modo, tuttavia, ha superato i poteri previsti dalla legge per il trattamento di questo tipo di dati personali.
L’Autorità ha sottolineato, altresì, la violazione di altri obblighi che la polizia della Repubblica Ceca avrebbe dovuto rispettare in relazione al trattamento dei dati personali. In particolare, l’obbligo di informazione nei confronti delle persone, i cui dati sono stati raccolti e trattati in relazione agli accertamenti di casi di COVID-19, non è stato adeguatamente rispettato. Un’informazione adeguata è necessaria proprio per consentire agli interessati di difendersi in modo tempestivo e adeguato dal trattamento illecito dei loro dati personali.
L’altra condotta riscontrata dagli uffici è consistita nell’omissione di due passaggi che avrebbero dovuto impedire l’avvio di una raccolta di dati personali di tale portata e gravità. La Polizia della Repubblica Ceca avrebbe dovuto innanzitutto effettuare una valutazione d’impatto sulla protezione dei dati personali e avrebbe dovuto, inoltre, sottoporre il trattamento all’Autorità garante, trattandosi di un caso di raccolta ed elaborazione di dati sanitari su larga scala. Per questi tipi di trattamento, infatti, la legge rende obbligatorie entrambe le fasi, soprattutto per evitare rischi per le persone i cui dati personali devono essere trattati.
Secondo il presidente dell’Autorità, da questo caso emerge chiaramente che non si tratta di una formalità e che è effettivamente necessario valutare in anticipo il possibile impatto sulla protezione dei dati personali. “Se la Polizia della Repubblica Ceca avesse preso queste misure, avrebbe scoperto in tempo – o da sola, quando ha valutato le proprie attività pianificate, o in seguito, quando ne ha discusso con il nostro ufficio – che non è assolutamente consentito effettuare una tale raccolta generalizzata di dati personali sullo stato di salute in base alle leggi vigenti. Pertanto, l’illecito per cui è stata comminata la sanzione probabilmente non si sarebbe mai verificato”, ha dichiarato il presidente.
È stato, peraltro, precisato che la polizia ha iniziato a raccogliere dati sullo stato di salute delle persone in relazione al COVID-19 solo nell’aprile 2021, più di un anno dopo lo scoppio della pandemia. “Pertanto, non si può dire che non ci sia stato abbastanza tempo per effettuare le fasi preparatorie, che consistono nel valutare il quadro giuridico e i rischi potenziali della raccolta programmata di questi dati”, ha rincarato la dose il presidente dell’Autorità.