DIGITAL SERVICES ACT NORMERA’ L’WEB A FINE ANNO
Potrebbe essere varato entro la fine dell’anno il Digital Services Act, un nuovo documento Ue sulla privacy online, che regolamenterà siti e social. A fronte delle nuove sfide del web come la disinformazione, le campagne di odio virali e il commercio di prodotti contraffatti, la Ue è corsa ai ripari. La legge di vent’anni fa, vala dire la Direttiva 2000/31/CE sull’e-commerce, ormai ha fatto il suo tempo. Il nuovo Digital Services Act che troverete chiamato anche con l’acronimo DSA, si pone come obiettivi di migliorare la tutela del consumatore, imporre a social, piattaforme e-commerce e siti in generale una maggior trasparenza e regole chiare nel rispetto del GDPR, il Regolamento Privacy Ue del 2016. In particolare verranno posti speciali paletti alle grandi piattaforme che raccolgono oltre il 10 per cento dei 450 mila utenti web europei, quindi piattaforme con oltre 45 milioni di utenti. Di fatto le ispezioni si concentreranno anche sulla progettazione delle interfacce. L’Act diventerà legge solo dopo l’approvazione del Parlamento Ue in seduta plenaria.
I GARANTI UE DARANNO LA CACCIA AI DARK PATTERNS
Dark Patterns, Interfacce opache: su questo si focalizzerà l’attenzione dei garanti europei. Il termine è sinonimo di tutte le impostazioni poco trasparenti che spesso incontriamo su siti e social. A questo argomento l’EDPB, il board europeo, ha dedicato nuove Linee Guida, ci cui abbiamo già accennato ad aprile. Ad esempio non saranno più tollerati i tentativi di sviare l’attenzione dell’utente che vuole cancellare il suo account portandolo a zonzo per il sito senza arrivare al dunque oppure rallentare o impedire l’esercizio dei diritti dell’interessato come la rettifica. Non si potranno più introdurre domande che creano dubbi o insistono sul fattore psicologico. Per esempio saranno sanzionati quesiti come “davvero vuoi staccarti da tutti i tuoi amici?”, “hai deciso di uscire dal mondo?” o frasi simili. Morale: l’utente deve muoversi in una ambiente, un’interfaccia, progettato in maniera trasparente per la Privacy by design.
10 MILIONI EURO A BANCA DANESE PER MANCATO RISPETTO DATA RETENTION
La Banca danese, Danske Bank, è stata multata dal Garante del suo paese per 10 milioni di euro per non aver cancellato adeguatamente i dati di milioni di utenti. Secondo l’indagine era stata fatta la cancellazione manuale dei dati, ma era mancato un controllo automatizzato, per cui i dati di milioni di persone erano ancora presenti sui database di 400 sistemi. La banca è stata multata per aver violato l’art. 5 del GDPR e di fatto non aver ottemperato ai tempi di conservazione.
BOARD EUROPEO: NORME PER DATI VERSO USA PER ORA RESTANO SCHREMS II
In attesa di successive rielaborazioni, le norme sul trasferimento dei dati verso gli Usa restano quelle stabilite dalla sentenza Schrems II: lo precisa il Board europeo dei garanti, EDPB, dopo le esternazioni su futuri accordi tra Usa e Ue a proposito della tutela dei dati personali di cittadini Ue.
SANZIONATI TRE AREOPORTI BELGI PER CONTROLLO TEMPERATURA
Lo scorso mese l’Autorità per la protezione dei dati belga ha sanzionato con 320 mila euro in totale i tre aeroporti del Belgio per la violazione dei dati personali durante la misurazione della temperatura dei passeggeri di passaggio nei tempi della pandemia Covid. In particolare sono state multati per 200 mila euro l’aeroporto di Bruxelles Zaventem, 100 mila euro l’aeroporto di Charleroi di Bruxelles Sud, e per altri 20 mila euro l’Ambuce Rescue Team, la società esterna che somministrava i questionari.
PROFILAZIONE DISCRIMINATORIA E RAZZIALE IN GERMANIA
L’Agenzia statale tedesca Brebau che possiede e gestisce circa 6 mila alloggi pubblici ha preso una multa di 1,9 milioni di euro per aver discriminato i richiedenti una casa popolare. In pratica i dipendenti di Brebau avevano creato delle schede di appunti in cui annotavano credo, colore della pelle, etnia. Quindi non solo raccoglievano dati particolari ma aggiungevano una vera e propria profilazione che ostacolava o limitava l’accesso alla casa per molti dei richiedenti. La questione è finita sui media del paese e ha fatto parecchio scandalo e ha ricordato le leggi razziale del periodo nazista. I dipendenti si sono scusati dicendo che erano delle semplici note per ricordare meglio le persone che avevano inoltrato le richieste. Le scuse non sono state ritenute valide.
SOCIETA’ FINANZIARIA SVEDESE MULTATA PER CARENZA INFORMATIVE
Ha continuato a cambiare le informative agli interessati la società finanziaria svedese Klarna anche mentre era in corso l’indagine. Il Garante svedese si è mosso dopo le proteste per l’opacità della finanziaria circa le finalità, la base legale, il trasferimento o meno dei dati all’estero. Così l’utente non era informato adeguatamente su come esercitare i propri diritti, contattare il DPO aziendale o rivolgersi al Garante. Constatata la violazione degli art. 5, 13 e 14 in vari capoversi, il Garante ha comminato una sanzione di 724 mila euro. La multa rimarca ancora una volta l’importanza della cura di tutte le informazioni che vanno date in modo chiaro e trasparente agli interessati.
AGENZIA REGIONALE ABRUZZO PUBBLICATI DATI DIPENDENTE
Un dipendente dell’Agenzia regionale per la tutela dell’ambiente dell’Abruzzo ha ottenuto che sia sanzionata la diffusione dei dati di una controversia legale pubblicati non anonimizzati sul sito web. Lo schema di verbale di conciliazione fra le parti di fatto è finito in bianco sul sito con le voci indicizzate. La sanzione è stata di 8 mila euro, una cifra tutto sommato esigua, relativa al fatto che il Garante ha evidentemente eccepito come si sia trattato di un errore, di come il titolare abbia subito cancellato i dati appena avutane notizia e abbia collaborato pienamente con l’Autorità.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore Franco Angeli, 2021), acquistabile anche in digitale sul sito francoangeli.it.
