N. 151/2023

LE TRE NEWS DI OGGI:

• SVIZZERA, L’INCARICATO FEDERALE PER LA PROTEZIONE DEI DATI PERSONALI STA PER INTENSIFICARE LA SUA AZIONE
• OLANDA, IN ARRIVO AZIONE DI MASSA CONTRO AMAZON PER VIOLAZIONE DELLA PRIVACY
• USA, LA SENTENZA SULLA PRIVACY DELLE SCANSIONI FACCIALI RENDE PIU’ ASPRA LA BATTAGLIA LEGALE SULLE ASSICURAZIONI BIOMETRICHE

La revisione della legge sulla protezione dei dati entrerà in vigore in Svizzera il 1° settembre. Di conseguenza, l’incaricato federale per la protezione dei dati intensificherà le sue attività di sorveglianza e aumenterà il numero di indagini. Il volume e la portata del trattamento dei dati personali sono decuplicati, secondo quanto riportato dall’incaricato federale per la protezione dei dati nel suo 30° rapporto annuale 2022/23, pubblicato martedì. Le sviste della piattaforma mesvaccins.ch e del registro delle donazioni di organi di Swisstranplant dimostrano che le regole della nuova legge sono più che mai necessarie.La nuova legge deve fornire nuovi strumenti all’economia per soddisfare le legittime aspettative della popolazione per un’efficace protezione della sfera privata. Il testo introdurrà innovazioni non solo per i responsabili del trattamento dei dati, ma anche per l’incaricato federale per la protezione dei dati. D’ora in poi, quando il trattamento dei dati previsto può comportare un rischio elevato per la personalità o i diritti fondamentali dell’interessato, il responsabile del trattamento dovrà effettuare un’analisi d’impatto. L’incaricato federale per la protezione dei dati esaminerà l’analisi ed emetterà un parere entro due mesi. Le associazioni professionali, settoriali o economiche potranno redigere un proprio codice di condotta e sottoporlo all’IFPD. L’IFPD pubblicherà la sua posizione. In futuro i responsabili del trattamento dei dati saranno tenuti a segnalare le violazioni della sicurezza dei dati. Se l’Incaricato della protezione dei dati riscontrerà delle violazioni, potrà emettere una decisione che potrà essere impugnata davanti al Tribunale amministrativo federale. Tuttavia, a differenza delle autorità di controllo dell’UE, l’Incaricato per la protezione dei dati continuerà a non avere il potere di imporre sanzioni e in futuro sarà passibile di sanzioni per le violazioni intenzionali degli obblighi di informazione, comunicazione e cooperazione, nonché per le violazioni intenzionali dell’obbligo di diligenza, in particolare in relazione alla divulgazione di dati personali all’estero, all’outsourcing e alla fornitura di sicurezza dei dati. Al privato responsabile del trattamento dei dati possono essere inflitte multe fino a 250.000 franchi svizzeri, previa denuncia. La multa per le persone giuridiche sarà limitata a 50.000 franchi svizzeri. Il rapporto afferma che i procedimenti in corso saranno giudicati in base alla legge attuale, anche se non si concluderanno prima dell’entrata in vigore della nuova legge. Sebbene non esista un rischio zero nel trattamento dei dati personali, i nuovi strumenti consentiranno ai responsabili del trattamento dei dati di identificare i rischi e, in ultima analisi, di proteggere la privacy degli utenti di Internet.

Trouw (quotidiano olandase) riporta che è in preparazione una richiesta di risarcimento di massa contro Amazon per aver presumibilmente tracciato illegalmente milioni di olandesi. La Stichting Data Bescherming Nederland ha annunciato l’intenzione di intentare una causa in tribunale sostenendo che Amazon ha raccolto più dati del necessario in violazione della legge sulla protezione dei dati.”Trouw ha riportato il sospetto che il gigante del web possa ancora seguire il comportamento dei clienti su altri siti, come il sito web immobiliare Funda, quando cercano una vacanza o una gita in famiglia e altri siti web in cui fa pubblicità, grazie ai cookie di tracciamento. La fondazione che ha presentato la denuncia sostiene che Amazon si differenzia da Facebook o Twitter, che offrono servizi gratuiti in cambio dei dati dei clienti, mentre Amazon è semplicemente un negozio web con clienti. La fondazione ha scritto ad Amazon, con sede in Lussemburgo, e se non otterrà una risposta, avvierà una causa in tribunale a nome di circa cinque milioni di utenti olandesi. Un portavoce di Amazon ha dichiarato a Trouw che non ritiene di infrangere la legge. “Stiamo esaminando il contenuto della lettera e risponderemo a tempo debito”, ha dichiarato il portavoce. A marzo un tribunale olandese ha stabilito che Facebook ha violato le norme sulla privacy nel modo in cui ha gestito i dati personali.

La recente sconfitta di Hanover Insurance Group Inc. in una controversia sulla privacy legata alla scansione del volto fornisce una guida per gli assicuratori su come redigere un documento di polizza più chiaro per evitare di dover fornire una copertura per le violazioni della privacy biometrica di un assicurato.La Corte d’Appello degli Stati Uniti per il Settimo Circuito è stata la prima corte d’appello a individuare un linguaggio troppo vago per una polizza assicurativa che esclude la copertura per un assicurato che avrebbe violato un’influente legge dell’Illinois sulla privacy biometrica.I gestori utilizzeranno probabilmente la sentenza come guida per la stesura delle loro polizze di responsabilità civile aziendale standard, in modo da escludere esplicitamente i reati legati alla privacy dei dati, hanno dichiarato gli avvocati del settore. La sentenza sarà inoltre utile ai titolari di polizze che cercano protezione assicurativa in seguito all’aumento delle cause legali che denunciano l’utilizzo da parte delle aziende delle scansioni del volto, della retina e delle impronte digitali delle persone senza il loro consenso.”In sostanza, abbiamo stabilito un precedente che prevede una copertura nell’ambito delle polizze di responsabilità civile generale”, ha dichiarato Daniel Healy, partner di Brown Rudnick LLP che lavora con le aziende in cerca di copertura. La sentenza del Settimo Circuito obbliga ora un’unità di Hanover a pagare le spese legali di un fornitore IT dell’Illinois in due azioni collettive proposte. I querelanti sostengono che il fornitore informatico ha violato il Biometric Information Privacy Act (BIPA) dello Stato aiutando illegalmente il Dipartimento di Polizia di Chicago ad accedere al controverso database di riconoscimento facciale di Clearview AI. La decisione di Hanover “è la prima nel suo genere e rappresenta un segnale forte sulla specificità che i tribunali si aspettano dagli assicuratori se vogliono escludere la copertura per il BIPA”, ha dichiarato Peter Halprin, partner di Pasich LLP che rappresenta gli assicurati. Il BIPA, pur essendo limitato all’Illnois, è considerato importante dai sostenitori della privacy perché è l’unica legge statale a livello nazionale che consente a consumatori e lavoratori di fare causa per violazioni biometriche. New York, California e altri Stati stanno sviluppando le proprie norme sui dati biometrici. La decisione del Settimo Circuito sarà “un’autorità molto persuasiva per gli assicurati di altre giurisdizioni”, ha dichiarato Seth Lamden, partner di Blank Rome LLP per il recupero delle assicurazioni. Hanover ha sostenuto che una clausola generale di “violazione dello statuto”, comunemente presente nelle polizze di responsabilità civile delle imprese, esonera l’assicuratore dal dovere di difendere gli assicurati accusati di violazioni della privacy biometrica. Ma il Settimo Circuito ha affermato che l’esclusione è così ambigua e ampia da poter annullare la copertura per le cause relative alla proprietà intellettuale, alla calunnia e alla diffamazione che la polizza pretende di includere.” La Corte d’Appello ha affermato che in questo linguaggio non compare alcun riferimento, né alcun accenno, al termine ‘privacy’. Anche se l’assicuratore avesse usato la parola “privacy” nell’esclusione della violazione degli statuti, non è chiaro quali leggi sulla privacy sarebbero state escluse, ha detto la corte. Alcune leggi hanno lo scopo di proteggere gli individui dal ricevere telefonate senza consenso, mentre altre, come il BIPA, proteggono “la riservatezza delle informazioni personali”, ha affermato il Settimo Circuito.

English version

• SWITZERLAND, THE FEDERAL PERSONAL DATA PROTECTION OFFICER IS ABOUT TO INTENSIFY ITS ACTION
• HOLLAND, MASS ACTION AGAINST AMAZON FOR PRIVACY VIOLATION COMING SOON
• US, FACIAL SCAN PRIVACY JUDGMENT MAKES  BIOMETRIC INSURANCE LEGAL BATTLE TOUGHER

The revision of the Data Protection Act will come into force on 1 September. As a result, the Federal Data Protection Commissioner will be stepping up his surveillance activities and increasing the number of investigations. The volume and intensity of personal data processing have increased tenfold, according to the Federal Data Protection Commissioner in his 30th Annual Report 2022/23, published on Tuesday.The misadventures of the mesvaccins.ch platform and the Swisstranplant organ donation register show that the rules of the new law are more necessary than ever.The new law must provide the economy with new tools to meet the legitimate expectations of the population for solid protection of the private sphere.The text will introduce innovations not only for data processors, but also for the Federal Data Protection Commissioner. From now on, when the data processing envisaged is likely to entail a high risk for the personality or fundamental rights of the data subject, the data controller will have to carry out an impact analysis.The Federal Data Protection Commissioner will examine the analysis and issue his opinion within two months. Professional, sectoral or economic associations will be able to draw up their own code of conduct and submit it to the SDPC. The SDPC will publish its position.In future, data controllers will be required to report data security breaches. If the Data Protection Commissioner finds any infringements, he will be able to issue a decision that can be challenged before the Federal Administrative Court. However, unlike the supervisory authorities in the EU, the Data Protection Commissioner will continue to have no power to impose sanctions, and will in future be liable to penalties for intentional breaches of the obligations to inform, to provide information and to cooperate, as well as for intentional breaches of the duty of care, particularly in relation to the disclosure of personal data abroad, outsourcing and the provision of data security.Fines of up to 250,000 Swiss francs may be imposed on the private individual responsible for the data processing upon complaint. The fine for legal entities will be capped at CHF 50,000.The report states that ongoing proceedings will be judged in accordance with current law, even if they are not concluded until after the new law comes into force. Although there is no such thing as zero risk in the processing of personal data, the new instruments will enable data controllers to identify risks and ultimately protect the privacy of Internet users.

A mass claim is being prepared against Amazon for allegedly illegally tracking millions of Dutch people, reports Trouw.Stichting Data Bescherming Nederland announced that it intends to bring a court case claiming that Amazon has collected more data than it needs in breach of data protection law.“It is even the case, in many situations, that Amazon follows your behaviour on the internet after you have refused permission,” it claims.Trouw reported suspicions that the web giant may still follow customer behaviour on other sites such as the property website Funda, when looking for a holiday or family days out and other websites where it advertises, thanks to tracking cookies.The foundation behind the claim says Amazon differs from Facebook or Twitter, which offer free services in exchange for customer data, while Amazon is simply a web shop with clients. It has written to Luxembourg-based Amazon and if it does not get a response, it will launch a court case in the name of an estimated five million Dutch users.A spokesperson for Amazon told Trouw it does not believe it breaks the law. “We are currently reviewing the contents of the letter and will respond in due course,” the spokesperson reportedly said. A Dutch court ruled in March that Facebook did break privacy rules in the way it handled personal data.

Hanover Insurance Group Inc.’s recent loss in a face scan privacy dispute provides a roadmap for insurers on how to craft clearer policy language to avoid having to provide coverage for a policyholder’s biometric privacy violations. The US Court of Appeals for the Seventh Circuit became the first appellate court to pinpoint insurance policy language that’s too vague to exclude coverage for a policyholder that allegedly violated an influential Illinois law on biometric privacy. Carriers will likely use the ruling as a guide in writing their standard business liability policies to explicitly carve out data privacy offenses, industry attorneys said. The ruling will also bolster policyholders seeking insurance protection amid an uptick in lawsuits claiming businesses used people’s face and retina scans and fingerprints without their consent, they said. “Basically we’ve set a precedent that there is coverage under the general liability policies,” said Daniel Healy, a partner at Brown Rudnick LLP who works with businesses seeking coverage. The Seventh Circuit ruling now obligates a Hanover unit to pay an Illinois IT vendor’s legal bills in two proposed class actions. The plaintiffs alleged the IT vendor violated the state’s Biometric Information Privacy Act (BIPA) by unlawfully helping the Chicago Police Department gain access to Clearview AI’s controversial facial-recognition database. The Hanover decision “is a first-of-its-kind ruling with a strong signal about the specificity courts expect insurers to have if they want to exclude coverage for BIPA,” said Peter Halprin, a partner at Pasich LLP who represents policyholders. BIPA, while limited to Illnois, is considered significant among privacy advocates because it’s the only state law nationwide that allows consumers and workers to sue over biometric violations. New York, California, and other states are developing their own biometric data rules. The Seventh Circuit decision will be a “very persuasive authority to policyholders in other jurisdictions,” said Seth Lamden, an insurance recovery partner at Blank Rome LLP.Hanover has argued that a catch-all “violation-of-statutes” clause—one that’s commonly found in business liability policies—relieves the insurer of its duty to defend policyholders accused of biometric privacy violations. But the Seventh Circuit said the exclusion is so ambiguous and broad that it could cancel coverage for intellectual property, slander, and libel-related suits that the policy purports to include. “No mention, and indeed no hint, of ‘privacy’ appears anywhere in this language,” the appeals court said. Even if the insurer had used the word “privacy” in the the violation-of-statutes exclusion, it’s unclear which privacy laws would be carved out, the court said. Some statutes are intended to shield individuals from receiving phone calls without consent, while others such as BIPA protect “the confidentiality of one’s personal information,” the Seventh Circuit said.