PUBBLICITA’ E PRIVACY

Un caso in cui la sottoscrizione del contratto non è risultata sufficiente ad assicurare le basi legali del trattamento

L’articolo Dalle recenti maxi sanzioni inflitte a Meta una importante lezione per i DPO presenta molte considerazioni in merito ai rapporti tra le autorità di protezione dei dati dei vari paesi, sia sotto il profilo della ripartizione delle competenze tra esse, che sotto quello della conformità dei criteri adottati per applicare le norme del Regolamento UE, e sia per gli aspetti relativi alla qualificazione degli eventuali trattamenti illeciti di dati, che alla definizione delle sanzioni da adottare.

Quindi riferisce che il Garante irlandese ha annunciato l’adozione di due rilevanti provvedimenti sanzionatori nei confronti di Meta per i trattamenti di dati personali operati tramite le piattaforme Facebook e Instagram, più uno ulteriore previsto per WhatsApp. Mentre in precedenza la pubblicità comportamentale era considerata legittima essendo la sottoscrizione del contratto di servizio la base giuridica del trattamento, adesso, a fronte di una decisione dell’EDPB [European Data Protection Board] si rileva la mancanza di un esplicito consenso preventivo ad un trattamento non adeguatamente illustrato nell’informativa privacy.

[Quanto sopra potrebbe apparire in contrasto con altre diffuse decisioni che sanzionano la richiesta di consenso quando il trattamento già si fonda su altra base legale, fra cui l’interesse legittimo del titolare (tenendo conto del bilanciamento nei confronti dei diritti e delle libertà degli interessati), oppure appunto le prescrizioni contrattuali. E’ da considerare d’altra parte che, nel caso specifico, si afferma anche la mancanza dell’informativa adeguata. In ogni caso, quando si tratta di privacy, fra regolamenti europei, leggi nazionali, direttive, disposizioni e pareri, sembra di muoversi in un campo minato. Ndr]

 

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Crimini informatici in forte aumento i in aumento

L’articolo Cybercrime: +138% gli attacchi informatici rilevati nel 2022 riporta l’indagine del “Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche)” della Polizia postale, secondo la quale gli attacchi contro infrastrutture critiche, istituzioni, aziende e privati sono aumentati nel 2022 del 138% rispetto all’anno precedente.

Le metodologie di criminalità informatica sono phishing, diffusione di malware distruttivi, campagne di disinformazione e divulgazione di database. E’ in vertiginoso incremento anche l’utilizzo delle piattaforme di comunicazione online, social network e di applicazioni di messaggistica istantanea per attività di cyberterrorismo.

Misure di sicurezza per la mitigazione degli effetti in caso d’emergenza: le barriere a protezione dei dati

L’autore dell’articolo Misure di sicurezza per la mitigazione degli effetti in caso d’emergenza: le barriere a protezione dei dati, per prima cosa, introduce il concetto generale di barriera. << La barriera è un elemento immateriale e/o fisico che riduce uno o più rischi; ha la funzione di resistere alle sollecitazioni a cui viene sottoposta; barriere diverse hanno differente capacità di resistere alle minacce innescate dalle vulnerabilità. Le barriere prevedono misure tecniche ed organizzative ed esistono molti tipi di barriere. >>

In ambito di protezione dei dati, si ricorre, per la protezione dei dati minacciati da vari agenti, prevalentemente a barriere di tipo immateriale, ma non solo. Le barriere riducono il rischio innescato da una vulnerabilità.

Seguono le principali tipologie di barriere, tra cui individuare le più efficaci rispetto ai dati da proteggere (tra parentesi, esempi pratici).

  • Barriera di inaccessibilità: rende inaccessibili i dati ad un agente di minaccia (sala server, quadro elettrico, canali per isolare i cavi di rete).
  • Barriera di contenimento dell’agente di minaccia: questo viene trattenuto all’interno di un sistema chiuso affinché esso non possa esercitare il suo potenziale dannoso (un archivio contenente dati non accessibile dall’esterno, una VPN, procedure per la disattivazione dei server e per la loro dismissione, un software antivirus, o un firewall installato a difesa perimetrale di una rete informatica).
  • Barriera di contenimento della vulnerabilità: si adotta quando non è più possibile annullare il danno, ma solo contenerne gli effetti (sistema sprinkler per contenere gli effetti di un incendio).
  • Barriera di riduzione della quantità: riduce la quantità di dati esposta ad un pericolo; ad esempio (parcellizzazione dei dati su più server ed in località diverse, dispersore di terra negli impianti elettrici).
  • Barriera comportamentale: è un misto di misure organizzative (formazione, regolamenti), esperienza delle persone (affinata anche con prove e simulazioni), valutazione del loro stato emotivo, efficacia dei sistemi di sorveglianza/vigilanza.
  • Barriera di allarme: fornisce l’avviso dell’insorgenza di una minaccia (cartello di divieto di accesso, impianto di rilevazione dei fumi).
  • Barriera di sostituzione: sostituzione di un componente altamente vulnerabile con uno meno vulnerabile (server che può funzionare anche a temperature ambientali elevate, sistemi informatici più efficienti nel rilevare intrusioni).
  • Barriera di contemporaneità della minaccia: si tratta di impedire che due eventi negativi avvengano contemporaneamente in capo ad un unico asset, per evitare che il danno sia più probabile o più grave (evitare che più soggetti, contemporaneamente, dispongano di autorizzazioni comprensive della cancellazione di dati).
  • Barriera composita: è formata da due o più barriere tra loro combinate (barriera comportamentale associata a barriera di contemporaneità).

DPO e titolare del trattamento dovrebbero valutare, magari in sede di audit, l’efficacia delle barriere predisposte, poiché queste devono prevenire situazioni di emergenza, anche anomale.

 

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Controlli dei lavoratori ammessi entro i limiti di bilanciamento dei diritti, trasparenza e protezione

L’articolo Lecito il licenziamento per anomalie emerse dal Gps del veicolo aziendale utilizzato dal lavoratore riporta il caso di un dipendente licenziato per manomissione del GPS, installato nell’auto aziendale concessagli in uso anche privato, al fine di evitare il controllo sulle ore effettivamente lavorate e anche di contestarne l’impiego.

L’esito conclusivo di un iter di processi, da quello di primo grado, quello in corte di appello, sino a quello presso la corte europea, è stato che i diritti del lavoratore e del datore di lavoro erano bilanciati ed il licenziamento era legittimo, in quanto era stata data preventivamente l’informativa (che fra l’altro prospettava provvedimenti disciplinari in caso di scorrettezze nei dati riportati all’azienda) e che il fine e l’utilizzo del GPS erano limitati alla verifica dei chilometri percorsi.

[Si osserva che la presenza del GPS consentirebbe di per sé di monitorare anche tutti gli spostamenti effettuati dal dipendente, ma la legittimità del trattamento è stata confermata per il fatto che ciò, per impostazione, non avvenisse. Per analogia, si può dedurre che anche altri mezzi di monitoraggio possono essere ammessi, se si limitano, sia per scelta che di fatto, ad attività non invasive della privacy degli interessati. Ad esempio il monitoraggio di un dispositivo utilizzato ai soli fini dei controlli contro la pirateria informatica e non del controllo delle attività eseguite dall’interessato. Ndr (parere personale). Come riporta l’articolo Nuova circolare su controlli datoriali e protezione dei dati personali, la possibilità del datore di lavoro di controllare che l’attività lavorativa dei dipendenti sia eseguita conformemente alle direttive aziendali non deve far venir meno il diritto dei lavoratori al rispetto della loro riservatezza, come stabiliscono sia lo Statuto dei Lavoratori (Legge 300/1970), che il GDPR, il quale richiede anche il rispetto della trasparenza e della protezione dei dati personali. In particolare, è inammissibile qualsiasi forma di controllo occulto.]

Videosorveglianza: le minime regole da rispettare

L’articolo Non bastano cartelli e informative privacy per essere in regola con l’impianto di videosorveglianza nel negozio fornisce l’ennesimo sintetico promemoria relativo alla videosorveglianza: non sono sufficienti, seppur indispensabili, i due elementi nel titolo dell’articolo, ma è necessario anche un accordo sindacale, oppure l’autorizzazione dell’Ispettorato del Lavoro.

Videosorveglianza: è necessario anche documentare il legittimo interesse

Tornando sull’argomento della videosorveglianza, essa può essere effettuata solo per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale (Art. 4 dello Statuto dei Lavoratori, L. 300/1970) e previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o aziendale, ovvero previa autorizzazione dell’Ispettorato del Lavoro.

L’articolo Videosorveglianza nei luoghi di lavoro: il legittimo interesse deve essere adeguatamente documentato pone comunque l’accento sulla necessità di una base giuridica, che quando fondata sul legittimo interesse del titolare (o LIA – Legitimate Interest Assessment) deve anche essere adeguatamente documentata.

L’autore illustra tre passaggi.

Con il Purpose test, si deve identificare una esigenza tra quelle del sopracitato Art. 4, nell’ambito dell’effettivo contesto.

Per il Necessity test e il Balancing test, si deve tener conto dell’area videosorvegliata, del tipo e della quantità di informazioni raccolte, delle categorie degli interessati che possono essere volutamente o accidentalmente coinvolti. Si devono rendicontare anche le modalità operative da adottare ai fini degli adempimenti indicati all’interno del Provvedimento del Garante in materia di videosorveglianza dell’ 8 aprile 2010.

Il documento così redatto, la valutazione dei rischi e l’eventuale valutazione di impatto, qualora il livello di rischio sia risultato elevato, dovrebbero essere allegati alla proposta per i sindacati o alla richiesta all’Ispettorato del Lavoro. La valutazione di impatto è richiesta anche quando si rientra nell’ipotesi di cui al punto 5 dell’allegato 1 al provvedimento n. 467 dell’11 ottobre 2018.

Rilevazione dell’impronta digitale per la registrazione delle presenze al lavoro: è lecita o no?

L’articolo Snellire la gestione delle presenze del personale non è un valido motivo per rilevare le impronte digitali dei dipendenti riferisce di una società che ha utilizzato un sistema di rilevazione delle impronte digitali per accertare più rapidamente ingressi e uscite dei dipendenti, pur mantenendo la possibilità di usare il badge.

L’impronta digitale è un dato biometrico, quindi di categoria particolare. Il trattamento avviene nella fase di registrazione (acquisizione iniziale delle caratteristiche biometriche) e nella fase di riconoscimento per la rilevazione rilevazione presenze.

Il modello biometrico resta solo nel dispositivo di registrazione.

Nell’informativa privacy, l’azienda ha illustrato le finalità del trattamento, ha sottoscritto il proprio impegno a trattare i dati biometrici con la massima attenzione e con l’utilizzo di idonei sistemi informatici ed ha richiesto il consenso esplicito agli interessati.

Il Garante della privacy, interpellato da un’organizzazione sindacale, ha genericamente osservato, in riferimento all’art. 9, par. 2 del GDPR, che questo tipo di trattamento deve essere <<necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro (e della sicurezza sociale e protezione sociale) >> [cosa che pare verificata, nel caso in oggetto; ndr], ma, nello stesso tempo, <<affinché uno specifico trattamento avente a oggetto dati biometrici possa essere lecitamente iniziato è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire>> [cosa che, in assenza di detta disposizione, non appare verificata; sembra così che “il cerino resti in mano” al titolare del trattamento; ndr].

Il preoccupante lato oscuro della videosorveglianza

L’autore dell’articolo Il preoccupante lato oscuro della videosorveglianza, pur non a conoscenza dei dettagli tecnici, riferisce di un software di video-analisi intelligente denominato “Toka”, in grado di accedere a tutte le telecamere a circuito chiuso ed in grado di modificare le immagini riprese in “live” e alterare le registrazioni del passato.

Il suo utilizzo non solo avverrebbe in palese violazione dei principi sulla protezione dei dati personali, ma sarebbe anche in grado di influenzare il processo di formazione della prova digitale con conseguenze disastrose per gli interessati.

A questo punto, servirebbero quanto meno strumenti di verifica della genuinità delle immagini, ad uso delle autorità militari e di polizia dei governi, cui questo software sarebbe rivolto. [Non oso pensare ad un suo uso palesemente criminale, oltre che illecito, da parte di malviventi e di regimi dittatoriali. Ndr]

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Le decisioni automatiche devono essere suffragate dal controllo umano e l’algoritmo deve poter essere spiegato

Il Tar di Napoli ha chiarito [qualora ce ne fosse ancora bisogno] che il destinatario degli effetti giuridici di una decisione automatizzata ha il diritto a che tale decisione non sia basata unicamente sul processo automatizzato, ma che questa sia avallata o smentita da un elemento umano.

Le decisioni automatizzate avrebbero il pregio dell’imparzialità, per la mancanza di soggettività che possano mutarne l’esito [ciò che è in contrasto con il principio sopra espresso; ndr] e della ripetibilità, in quanto a parità di input si ottengono gli stessi risultati.

D’altra parte, si ha l’esigenza di un controllo umano che possa in qualsiasi momento verificare a monte l’esattezza dei dati da elaborare [e/o del processo stesso di elaborazione; ndr]. L’algoritmo deve quindi restare al servizio della decisione umana, per non abbassare le tutele che devono essere garantite per legge.

Se un’amministrazione (in ambito pubblico) intende adottare una decisione che può avere effetti avversi su di una persona, ha l’obbligo di sentire le giustificazioni dell’interessato prima di agire, di motivare le decisioni e di consentirle l’accesso a tutte le documentazioni raccolte o prodotte. Tra queste rientra l’algoritmo utilizzato che ha condotto a certi risultati, algoritmo che deve essere fornito in forma comprensibile sia all’interessato, sia al giudice chiamato a dirimere la controversia. Ciò implica che la regola tecnica costituente l’algoritmo sia corredata delle informazioni necessarie a renderla leggibile.

La valutazione d’impatto è obbligatoria per i trattamenti relativi al Whistleblowing

Secondo l’articolo Whistleblowing: obbligatoria la valutazione d’impatto, è in preparazione un decreto legislativo di recepimento della direttiva UE 2019/1937 sulla segnalazione di illeciti per contrastare fenomeni corruttivi, sia nelle imprese private sia nelle pubbliche amministrazioni. [Le imprese private chiamate a istituire canali interni sicuri per la segnalazione di illeciti sono quelle soggette al Modello di Organizzazione e Gestione 231, previsto dal D.Lgs. 231/2001, e adesso, secondo appunto la direttiva UE 2019/1937, anche a tutte le Aziende con più di 50 dipendenti. Ndr].

E’ previsto che gli enti debbano definire il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, “sulla base di una valutazione d’impatto sulla protezione dei dati”, per fare in modo di garantire ai segnalatori la riservatezza sulla loro identità e la protezione da atti ritorsivi. [D’altra parte, devono essere protette da possibile divulgazione anche le informazioni relative ai soggetti contro cui siano mosse delle accuse, almeno sino a che non siano provate ed anche in questo caso vi saranno delle limitazioni. Ndr].

La DPIA [Data Protection Impact Assessment] deve essere redatta secondo quanto previsto dall’art. 35 del GDPR, deve essere tenuta aggiornata e deve essere supervisionata dal DPO [Data Protection Officer], ove presente, che deve esprimere un parere ma non redigerla, per non cadere in conflitto di interesse. Peraltro, per il fatto che il trattamento relativo al whistleblowing è a rischio elevato e che deve essere redatta una DPIA visionata da un DPO, si dovrebbe dedurre la necessità del DPO stesso.

Registro dei trattamenti: indicare le basi giuridiche migliora l’accountability del titolare

L’articolo Registro dei trattamenti: indicare le basi giuridiche migliora l’accountability del titolare precisa che, anche per le aziende con meno di 250 dipendenti, è difficile non vi sia l’obbligo, in capo a titolare e responsabile del trattamento dei dati personali, di tenere detto registro, in quanto è possibile ometterlo solo per trattamenti occasionali di dati non rientranti nelle categorie particolari o relativi a condanne penali e reati e per cui non sussiste alcun rischio per gli interessati.

La redazione di un registro aggiornato del registro del trattamento dei dati personali costituisce, per il titolare, un elemento di accountability, quale rendicontazione delle attività e impostazioni inerenti i dati personali. Ed a maggior ragione, se nel registro si trascrive il fondamento su cui si basa la liceità del trattamento, anche se ciò non è incluso nei requisiti di cui all’Art. 30 del GDPR. D’altra parte tale fondamento deve essere individuato, in base agli Art. 6 ed eventualmente 9 e 10 del GDPR e per quanto necessario ai fini della progettazione, oltre che per la rendicontazione del trattamento e per la redazione dell’informativa privacy (Art. 13 e 14). Inoltre i diritti esercitabili dagli interessati sono in relazione alla base giuridica del trattamento (es.: per un trattamento effettuato perché prescritto dalla legge, gli interessati non potranno esercitare il diritto di opposizione).

Decreto Trasparenza: raccomandazione del Garante

Secondo l’articolo Decreto Trasparenza: al lavoratore meglio un’unica informativa privacy,Il Garante della Privacy, fornendo le prime indicazioni riguardo al Decreto Trasparenza (D.Lgs 104/2022) in rapporto al GDPR, raccomanda di fornire ai lavoratori le informazioni sulla privacy e quelle sui sistemi decisionali e di monitoraggio automatizzato, in un unico documento.

In tale documento, è bene dare l’evidenza formale delle informazioni relative al Decreto Trasparenza, ad esempio con un paragrafo separato ed un titolo esplicito. Andrà tenuto conto dei requisiti maggiormente vincolanti: ad esempio, per il decreto le informazioni su richiesta vanno fornite entro 60 giorni, ma l’accesso ai dati per il GDPR deve essere concesso entro un mese.

Con l’occasione, l’autore ricorda anche altri obblighi per il datore di lavoro: quelli relativi ai controlli a distanza; la valutazione di impatto privacy, anche quando si comprano prodotti da terzi (il datore deve disattivare funzioni illegittime), l’aggiornamento del registro dei trattamenti. I datori di lavoro, infine, devono effettuare le dovute verifiche prima di usare sistemi particolarmente invasivi, come gli strumenti di machine learning, di rating e ranking, software per il riconoscimento facciale ed emotivo, strumenti di data analytics, rete neurali, deep-learning: sono tutti di per sé a forte rischio di violazione del GDPR e della legge 300/1970 [“Norme sulla tutela della liberta’ e dignita’ dei lavoratori, della liberta’ sindacale e dell’attivita’ sindacale, nei luoghi di lavoro e norme sul collocamento”].

Protezione dei dati personali dei minori: il DPO dovrebbe essere coinvolto

Come riferisce l’articolo Il ruolo del DPO nella tutela dei minori, il DPO è maggiormente coinvolto nelle attività di tutela dei dati personali trattati se questi afferiscono a minori, i quali appartengono per definizione alla categoria degli interessati cosiddetti vulnerabili.

L’impatto del trattamento può essere più o meno gravoso a seconda dell’ambito in cui si opera: settore del gaming, scuola, sanità, ecc.

Il DPO dovrebbe essere coinvolto in tutte le analisi preliminari di design e di definizione delle misure di protezione, quindi nel successivo monitoraggio continuo dell’attuazione del trattamento.

Un rischio elevato per gli interessati, a seguito del trattamento, comporta l’obbligo di svolgere una valutazione d’impatto sulla protezione dei dati, che dovrebbe essere esaminata dal DPO per un parere autorevole.

Importanti aspetti da considerare sono la trasparenza dell’informazione (che deve essere chiara e semplice), le modalità di raccolta di consenso nell’ambito dei servizi digitali e la sicurezza. E devono essere esclusi i dark pattern, cui i minori possono essere più suscettibili [i dark pattern sono “percorsi oscuri” per spingere gli utenti a compiere azioni che altrimenti non avrebbero svolto, oppure per rendere più difficile esercitare i propri diritti, quale la negazione di un consenso. Ndr]

 

IN BREVE, DALL’ITALIA E DAL MONDO

Se paghi non sei oppresso dalla pubblicità: sarà davvero legittimo?

L’articolo Ecco come gli utenti in cerca di privacy faranno cambiare le strategie di marketing nel 2023 riporta che, secondo una multinazionale di ricerche strategiche, i consumatori ad elevata disponibilità economica sono disposti a pagare per dispositivi elettronici, software e piani di abbonamento che consentono loro di evitare completamente la pubblicità personalizzata, assicurando una maggiore privacy online.

I social network ed i grandi provider rischiano così di perdere i migliori clienti, i quali dal canto loro non potranno utilizzare tutte le potenzialità dei social network stessi.

Comunque la formula per cui si richiede un abbonamento per non profilare gli utenti potrebbe non essere conforme al GDPR, poiché la privacy è un diritto inalienabile che non dovrebbe essere ceduto.

Gli attacchi informatici si moltiplicano, ma le difese non tengono il passo

Secondo l’articolo Istat: transizione digitale a rilento e aziende con strumenti insufficienti contro attacchi informatici e data breach, un’impresa medio-grande su tre e una PMI su sei hanno dichiarato di aver subito attacchi o intrusioni dall’esterno, con conseguente indisponibilità dei servizi, distruzione o corruzione dei dati o divulgazione di dati riservati. Ciò dipende in parte dall’aumentato utilizzo delle connessioni esterne da parte delle PMI, in parte dall’incremento delle attività dei criminali informatici, mentre le difese contro gli attacchi informatici e i data breach non sono ancora all’altezza della situazione.

Comunicazione, su richiesta degli interessati, dei destinatari dei loro dati personali

L’articolo Corte di Giustizia UE: le persone hanno il diritto di sapere a chi vengono comunicati i loro dati informa che, da una recentissima sentenza della Corte di Giustizia Europea, si rileva che, in merito al diritto di ogni persona di sapere a chi vengono comunicati i propri dati personali, il titolare del trattamento può limitarsi a indicare le categorie di destinatari solo qualora sia impossibile identificare questi ultimi, o nel caso la richiesta sia manifestamente infondata o eccessiva.

La privacy come valore aggiunto

In sintesi, da un’indagine del Cisco Data Privacy Benchmark Report 2023, di cui riferisce l’articolo Oltre il 70% delle aziende ritiene che la privacy sia un valore aggiunto, emerge che << oltre il 70% delle aziende ritiene che la privacy aggiunga un grande valore, permetta di ridurre i ritardi nelle vendite, di mitigare l’impatto dovuto alle violazioni dei dati, di abilitare il processo di innovazione, di operare con maggiore efficienza, di consolidare la fiducia dei clienti e di attirarne di nuovi. Le aziende stimano, in media, un ritorno pari a quasi 2,2 volte l’investimento fatto, mentre il 94% degli intervistati ritiene che i benefici della privacy siano complessivamente superiori ai costi. >>

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Cinque società sanzionate dall’Authority inglese della privacy per avere effettuato chiamate telefoniche a chi era già registrato nell’analogo del registro delle opposizioni italiano.
  • Negli USA, Google dovrà pagare 9,5 milioni di dollari per aver ingannato gli utenti sulle possibilità di proteggere la privacy tramite le impostazioni dell’account o del dispositivo Android e per l’impossibilità, per gli utenti, di rinunciare al monitoraggio della loro posizione o per l’affermazione che questa fosse necessaria per il funzionamento delle app senza che ciò fosse vero.
  • Anche Apple è stata colpita da una pesante sanzione (8 milioni di euro) per aver effettuato annunci pubblicitari mirati senza il consenso degli utenti. [Eppure è recente la campagna pubblicitaria di Apple volta a sensibilizzare i consumatori sul tema della Privacy, del tracciamento e sulla minaccia degli intermediari di dati. Ndr]
  • Sanzioni per 390 milioni di euro per Meta, la holding di Facebook, Instagram e Whatsapp, accusata di aver illegalmente costretto i propri utenti ad accettare annunci personalizzati durante l’uso dei social network, in violazione delle norme europee sulla protezione dei dati personali.
  • In Francia, TikTok è stato condannato a pagare una multa da 5 milioni di euro per non aver incluso sul suo sito web un sistema che permetta agli utenti di rifiutare in modo chiaro e semplice i cookie.
  • A seguito delle indagini effettuate dall’FBI, lo scorso dicembre il presidente degli USA ha firmato un ordine con cui viene bandito l’uso di TikTok da tutti i cellulari in uso ai dipendenti federali.
  • 210 e 180 milioni di Euro di sanzione, comminata dal Garante irlandese rispettivamente a Facebook e Instagram per inadempienze riguardo alla liceità e la trasparenza del trattamento per la pubblicità comportamentale.
  • Un editore di videogiochi è stato multato, in Francia, per 3 milioni di Euro, poiché per lasciar scaricare le proprie applicazioni chiedeva sì il consenso alla profilazione, ma poi la metteva in atto anche in caso di diniego.
  • Il Garante per la privacy ha sanzionato tre ASL friulane, che, attraverso l’uso di algoritmi, avevano classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19.
  • L’Autorità irlandese ha sanzionato Meta con un nuova multa di 5,5 milioni di Euro, per aver predisposto solo un pulsante “Accetta e continua” per l’aggiornamento dei termini di servizio di WhatsApp per finalità di miglioramento del servizio stesso e di sicurezza. Tale finalità non è stata ritenuta sufficiente per poter evitare di richiedere di nuovo il consenso esplicito al trattamento. Di diverso parere è Meta, che presenterà ricorso.

    ing. Michele Lopardo

    Responsabile Qualità @ Wondersys