Privacy Daily – 18/2023

Continua il “periodo nero” di TikTok negli Stati Uniti. In questi giorni sempre più stati si stanno muovendo per bannare il social network dai dispositivi di proprietà del governo, e i politici cominciano lentamente a considerare le accuse secondo cui l’app è stata utilizzata per spiare i giornalisti statunitensi. Una situazione sempre più difficile, che ha convinto la società madre ByteDance a fare concessioni significative nel suo accordo con i funzionari governativi, pur di evitare un altro ban sul territorio statunitense. Sono mesi che la società sta lavorando con il Comitato per gli investimenti esteri negli Stati Uniti (CFIUS) per definire i termini di un accordo che permetta a TikTok di continuare ad essere presente nel paese. Ma dopo aver archiviato le questioni relative alle limitazioni all’accesso ai dati degli utenti statunitensi da parte del personale ByteDance con sede in Cina e all’archiviazione degli stessi, ora il problema sembra essere un altro: il reale funzionamento dell’algoritmo del social. A quanto pare, infatti, i funzionari statunitensi sono preoccupati che TikTok possa utilizzarlo per manipolare gli utenti. 

IAB Europe compie un passo in avanti verso l’assoluzione del suo Transparency & Consent Framework (lo strumento per la gestione dei consensi all’uso dei dati) agli occhi dell’autorità per la protezione dei dati (DPA) belga, che aveva avanzato accuse rispetto alla non conformità dello strumento al GDPR. L’autorità di Bruxelles, infatti, ha annunciato di avere approvato il piano d’azione di IAB, che prevede un processo di revisione della durata di 6 mesi del TCF, e una serie di modifiche per mettere a posto le caratteristiche della piattaforma che l’agenzia ha ritenuto non conformi alle attuali normative sulla privacy.L’accettazione da parte della DPA del piano d’azione, non pone comunque definitivamente al sicuro il Framework di IAB Europe. Ci sono infatti ancora due punti fondamentali che l’autorità belga ha sollevato davanti alla Corte di Giustizia Europea. La Corte infatti deve ancora decidere se IAB Europe è contitolare del trattamento dei dati per il TCF e, inoltre, se le stringhe del TCF – i pacchetti di dati che segnalano se un utente ha dato il suo consenso per il targeting o le misurazioni – contano come dati personali. La DPA aveva sollevato accuse sulla conformità del TCF al GDPR lo scorso febbraio, ordinando a IAB Europe di pagare una multa di 250.000 euro e di attuare una serie di cambiamenti allo strumento.

Il segretario alla cultura del Governo britannico, Michelle Donelan, ha confermato che il disegno di legge sulla sicurezza online verrà modificato, dopo le pressioni dei backbencher, i deputati conservatori. Le nuove disposizioni prevedono, tra l’altro, una responsabilità personale dei senior manager delle piattaforme tecnologiche che ignorano gli avvisi di Ofcom, il Garante delle comunicazioni UK, sulle violazioni degli obblighi di sicurezza a tutela dei minori. In base al disegno di legge, le società tecnologiche, comprese le società di social media e i motori di ricerca, hanno il dovere di proteggere i bambini da contenuti dannosi come ad esempio materiali online che promuovono l’autolesionismo e i disturbi alimentari. Il disegno di legge impone un obbligo generale di diligenza alle aziende tecnologiche al fine di proteggere gli utenti da contenuti illegali come abusi sessuali su minori e materiale terroristico. Le aziende che violano la legge potrebbero incorrere in multe fino a 18 milioni di sterline o corrispondenti al 10% del fatturato globale.

English Translation

TikTok’s ‘black period’ in the US continues. These days, more and more states are moving to ban the social network from government-owned devices, and politicians are slowly beginning to consider allegations that the app has been used to spy on US journalists. An increasingly difficult situation, which has convinced parent company ByteDance to make significant concessions in its deal with government officials in order to avoid another ban on US soil. The company has been working with the Committee on Foreign Investment in the United States (CFIUS) for months to work out the terms of an agreement that would allow TikTok to continue to have a presence in the country. But after having filed the issues related to the limitations on access to US user data by China-based ByteDance staff and the storage of the same, the problem now seems to be another: the actual functioning of the social’s algorithm. Apparently, in fact, US officials are concerned that TikTok may be using it to manipulate users. 

IAB Europe takes a step closer to absolving its Transparency & Consent Framework (the data usage consent management tool) in the eyes of the Belgian Data Protection Authority (DPA), which had made accusations about the tool’s non-compliance with the GDPR. The Brussels authority, in fact, announced that it had approved the IAB’s action plan, which envisages a six-month review process of the TCF, and a series of changes to put in place the platform’s features that the agency deemed non-compliant with current privacy regulations.The DPA’s acceptance of the action plan, however, does not definitively secure the IAB Europe Framework. There are in fact still two fundamental points that the Belgian authority has raised before the European Court of Justice. The Court still has to decide whether IAB Europe is co-owner of the data processing for the TCF and, moreover, whether TCF strings – the data packets that indicate whether a user has given consent for targeting or measurement – count as personal data. The DPA had raised allegations about TCF’s compliance with the GDPR last February, ordering IAB Europe to pay a €250,000 fine and implement a number of changes to the tool.

The culture secretary, Michelle Donelan, confirmed that the online safety bill would be amended after pressure from Conservative backbenchers. The new provision will target senior managers at tech platforms who ignore enforcement notices from Ofcom, the communications watchdog, about breaches of the legislation’s child safety duties. Under the bill, tech companies including social media firms and search engines have a duty to protect children from harmful content such as material promoting self-harm and eating disorders. The bill also places a duty of care on tech firms to shield users from illegal content such as child sexual abuse and terrorist material. Companies that breach the act could face fines of up to £18m or 10% of global turnover.

Le iniziative delle altre Autorità

SANZIONE RECORD AD UN SOGGETTO PUBBLICO:

L’AUTORITÀ GARANTE PORTOGHESE MULTA L’ISTITUTO NAZIONALE DI STATISTICA PER OLTRE 4 MILIONI DI EURO

L’Istituto Nazionale di Statistica (INE) portoghese è stato sanzionato per una serie di violazioni del GDPR commesse nell’ambito delle operazioni di censimento del 2021 dalla Comissão Nacional de Proteção de Dados (CNDP), per un importo complessivo pari a 4,3 milioni di euro. Si tratta della sanzione più alta mai inflitta ad un soggetto pubblico europeo, superando i 3,7 milioni irrogati all’amministrazione fiscale olandese nello scorso aprile.

L’INE raccoglieva diversi tipi di dati di residenti portoghesi e li trasferiva a Cloudfare Inc., un fornitore di servizi negli Stati Uniti, che supportava lo svolgimento delle indagini statistiche. Per legittimare il trasferimento transfrontaliero dei dati, erano state utilizzate le clausole contrattuali standard (SCC) dell’UE.

L’Autorità garante, dopo aver ricevuto diversi reclami, ha avviato un’istruttoria, sospendendo peraltro l’invio dei dati personali relativi al censimento verso gli Stati Uniti ed altri Stati terzi senza un adeguato livello di protezione.

All’esito del procedimento, la CNDP ha individuato cinque illeciti amministrativi. Secondo quanto riportato nella Deliberazione/2022/1072, l’INE è stato, infatti, sanzionato per: aver trattato illegittimamente dati relativi alla salute e all’orientamento religioso; aver violato gli obblighi informativi relativi al questionario del censimento; non aver rispettato i doveri di diligenza nella scelta del responsabile del trattamento; aver violato le disposizioni di legge sul trasferimento internazionale dei dati; non aver svolto una valutazione d’impatto sulla protezione dei dati per l’operazione di censimento.

Nello specifico, l’Autorità ha concluso che, rispetto ai dati relativi alla salute e alla religione, l’Istituto nazionale di statistica aveva omesso di fornire informazioni chiare e complete sul fatto che il conferimento di questi dati da parte dei cittadini fosse facoltativo, in violazione di quanto previsto dall’art. 4 della Legge sul segreto statistico portoghese. Così, molti intervistati non hanno compreso che rispondere ad alcune domande del questionario era facoltativo.

Inoltre, la CNPD ha ritenuto che l’INE non abbia rispettato il dovere di diligenza nella scelta del responsabile del trattamento, in quanto i requisiti dell’art. 28, par. 3 GDPR risultavano sussistere più dal punto di vista formale, che sostanziale. Infatti, nonostante l’esistenza di un ufficio di Cloudflare Inc. a Lisbona, il contratto era stato stipulato con la società con sede negli Stati Uniti, stabilendo, peraltro, che il foro per risolvere eventuali controversie fosse il Tribunale della California.

Per altro verso, con riferimento al trasferimento dei dati personali negli USA, è vero che il contratto con Cloudflare includeva le clausole contrattuali standard approvate dalla Commissione Europea, però non prevedeva misure aggiuntive che impedissero l’accesso ai dati da parte di enti governativi del Paese terzo. Le leggi americane, infatti, autorizzano le autorità di pubblica sicurezza ad accedere ai dati di utenti e clienti della società, senza fornire informazioni agli interessati. Dal momento che non risultava rispettato un livello di protezione di dati pari a quello garantito dalla legislazione UE, come invece richiesto anche dalla Corte di Giustizia dell’Unione Europea nella Sentenza Schrems II, la CNPD ha rilevato la violazione della normativa in materia di trasferimenti internazionali di dati.

Le iniziative delle altre Autorità

MEZZO MILIONE DI CHIAMATE PER TELEMARKETING ILLECITO IN UK: L’ICO (il Garante inglese) INTERVIENE E SANZIONA CINQUE SOCIETÀ

Nel Regno Unito, cinque società sono state condannate al pagamento di sanzioni del valore complessivo di 435.000 sterline dall’Autorità garante per la privacy (Information Commissioner’s Office, ICO) per aver effettuato quasi mezzo milione di chiamate a persone registrate presso il Telephone Preference Service (TPS) – corrispondente del Registro delle opposizioni italiano –. Secondo la legge britannica, è infatti vietato chiamare per finalità di marketing chiunque sia registrato presso il TPS, a meno che questi non fornisca un’espressa e specifica autorizzazione in tal senso.

In particolare le chiamate avevano lo scopo di convincere i destinatari (tra cui tante persone anziane e vulnerabili) a sottoscrivere contratti di assicurazione sugli elettrodomestici (es. lavatrice, utensili da cucina, caldaie ecc.). Dalle indagini dell’ICO, è emerso che, in alcuni casi, le compagnie si rivolgevano deliberatamente a un gruppo demografico specifico: proprietari di case, over 60, con un telefono fisso. È stato, inoltre, dimostrato che alcune delle società hanno usato evidenti tattiche di pressione al fine di ottenere i dati di pagamento dalle persone.

Secondo quanto riportato dall’ICO, infatti, nei reclami ricevuti veniva lamentato che alcuni operatori delle società sanzionate avessero peraltro atteggiamenti insistenti ed invadenti nel corso delle chiamate illegittime. Ad esempio, ad una signora ultraottantenne veniva detto che occorreva rinnovare l’assicurazione della caldaia – circostanza, tra l’altro, non vera – e, con l’occasione, l’operatore continuava a domandare dati superflui come l’età anagrafica della signora, dove e come facesse la spesa, le modalità di pagamento e perfino i dettagli della carta di credito. Proprio quest’ultima domanda, in più di un caso, ha suscitato allarme nei destinatari delle chiamate, specialmente tra i più anziani, i quali hanno attivato le procedure di reclamo.

L’ICO ha recentemente rilasciato una guida aggiornata sul marketing diretto con l’intenzione di sostenere le imprese decise a conformarsi alla legge. Tuttavia, così come dichiarato anche dal capo del dipartimento Investigations, l’Autorità ribadisce la sua volontà di indagare e di prendere provvedimenti severi laddove vengano riscontrate palesi inosservanze della legge che possano danneggiare le persone. Così come in questo caso, in cui in tanti (specialmente anziani soli) si sono sentiti in dovere di consegnare i propri dati bancari semplicemente per avere qualcuno con cui parlare al telefono.