MULTA DI 2 MILIONI DI EURO A PIATTAFORMA DI CHAT VOCALI
Il Garante italiano ha multato per 2 milioni di euro Alpha Exploration, l’azienda statunitense con sede a San Francisco, proprietaria di Clubhouse, un social di chat vocali che funziona via app su Android e iOS. La nostra Authority infatti ha accusato il social di non dare informazioni trasparenti agli utenti, di permettere la memorizzazione e condivisione degli audio senza il consenso delle persone coinvolte nella registrazione, di fare profilazione sugli account senza consenso e di aver violato la data retention (il termine della conservazione dei dati). La società si è giustificata dicendo che all’inizio l’app era disponibile solo nel Usa e che i dati vengono conservati per tutta la durata dell’attivazione dell’account. Le scuse non sono servite a niente e la società dovrà anche stabilire uno stabilimento in Europa come previsto dal GDPR per le aziende estere che trattano dati di cittadini Ue residenti dentro o fuori della Ue. Inoltre finché la società non applicherà la messa a norma richiesta dalle norme Ue, le sarà vietato ogni ulteriore trattamento dei dati raccolti a fini di marketing e profilazione. Il social offre agli utenti la possibilità di dialogare con altre persone a tu per tu oppure di prendere parte a conversazioni già in atto in maniera attiva o solo in modalità ascolto, quindi non sempre gli utenti sanno chi è presente. Il social ha 16 milioni di utenti nel mondo e 90 mila circa in Italia.
ATTENZIONE ALLA DATA RETENTION DELLE CARTE FEDELTA’
La catena di profumerie Douglas Italia Spa è stata multata con una sanzione di 1 milione e 400 mila euro per pratiche errate sulla privacy in merito alla Carta fedeltà. La vecchia Carta era infatti legata al precedente gruppo denominato Limoni, poi ci fu la fusione tra tre società che fece nascere Douglas Italia. E’ bastata la segnalazione di una cliente sulla mancata risposta alla richiesta da lei inoltrata all’azienda circa la conservazione dei dati della propria Carta fedeltà nel 2020, per far scattare l’indagine del Garante. Secondo Douglas nel 2019 i clienti hanno ri-firmato il consenso al passaggio dalla vecchia carta Limoni alla nuova carta Douglas in occasione di acquisti nei negozi e in verità l’azienda ha potuto dimostrare di aver sempre risposto celermente ai clienti su questioni privacy. Il Garante però ha riscontato la violazione dell’art. 7 relativamente al fatto che il consenso raccolto non è specifico, ma un consenso solo ingloba più attività che vanno invece disgiunte (è previsto ad esempio un consenso unico e specifico per il marketing, un altro per la geolocalizzazione e un terzo per la profilazione, ad esempio). Inoltre è stato violato il principio di Accountability dell’art. 5 nella prassi di aver scelto di far rinnovare la Carta solo a quelli che si presentavano nei negozi, conservando i dati anche di quelli che non lo facevano (oltre 3 milioni di clienti), anche se in un server a parte. Infine è stato violato il principio di data retention (sempre art. 5 GDPR). Considerata la mole dei dati – Douglas ha 10 milioni di dati di clienti – si è arrivati a una multa piuttosto salata. Il provvedimento rimanda anche alle regole del Garante per i programmi di fidelizzazione del 24 febbraio 2005, sulle quali possiamo fornire consulenza.
CALL CENTER VODAFONE MULTATO PER 500 MILA EURO
Secondo voi una anziana signora ultraottantenne è in grado di ascoltare, comprendere e dare il via libera dopo aver ascoltato un messaggio con 200 parole al minuto per sei minuti? Secondo il Garante no. E infatti Vodafone ha preso una multa di 500 mila euro per messaggi incomprensibili. Nuovamente il Garante è ricorso al concetto che il consenso deve essere acquisito con un linguaggio chiaro, semplice e che il Titolare deve accertarsi che il consenso sia liberamente fornito. Quindi il Titolare deve essere sicuro che l’informativa sia stata recepita completamente dall’interessato in questione. Il trucco di far sottoscrivere nuovi contratti ad anziani facendo loro ascoltare messaggi incomprensibili è soggetto a sanzioni. La società si è difesa dicendo che la signora aveva contattato volontariamente un call center situato in Albania. L’ispezione ha verificato come nell’arco di tre anni siano state violate le norme relative al telemarketing in diverse occasioni.
INTELLIGENZA ARTIFICIALE (IA) A PORTATA DI UOMO
Bisogna che la gente sia coinvolta nella discussione sull’Intelligenza artificiale: è questo il concetto emerso da un convegno a novembre presso la Fondazione Einaudi di Roma, International Forum on digital Democracy. Nella due giorni di incontri si è sottolineato che se la Ue va verso un approccio umano-centrico dell’IA, perché l’IA sia democratica ci vogliono regole e una governance, quindi la discussione non deve essere lasciata agli esperti, ma bisogna che la gente sia coinvolta attivamente. Insomma la Ue deve costruire un modello di intelligenza artificiale di cui gli umani possano avere il controllo ed è necessario che le macchine lavori in totale trasparenza. Ovviamente sono tutti aspetti che devono coinvolgere anche i produttori.
RINNOVARE ATTENZIONE SU MAIL DI PISHING
Un hacker è riuscito a mettere le mani sui dati di 113 mila dipendenti di una società approfittando del fatto che un dipendente che al momento lavorava a distanza ha risposto incautamente a una mail di sollecito di una fattura, inviandola al settore amministrativo e permettendo così al malvivente di entrare nel data base tramite qualcosa che sembrava “attiva l’antivirus”. L’Authority inglese garante della protezione dei dati ha comminato una sanzione di oltre 5 milioni di euro (4,4 milioni di sterline) per il Data breach, violazione dei dati, di cui la società si è accorta in grande ritardo e nella totale indifferenza dei dipendenti coinvolti inizialmente. Il Garante britannico si chiama Ico che vuol dire Information Commissioner’s Office.
WALL STREET JOURNAL: EDPB CONTRO META?
Secondo uno scoop del Wall Street Journal il board europeo EDPB avrebbe intenzione di bloccare la pratica di Meta (prima Facebook) circa l’interpretazione del contratto come base legale per bypassare l’acquisizione del consenso. Vi terremo informati.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore Franco Angeli, giugno 2021), acquistabile anche in digitale sul sito francoangeli.it. Stiamo preparando un nuovo libro sulla tutela dei dati digitali che uscirà nel 2023 sempre con Franco Angeli editore.
