EDPB FISSA DIECI PRINCIPI PER STABILIRE ETA’ DEI MINORI SU INTERNET
Il Board europeo dei Garanti ha adottato una Dichiarazione sulla garanzia dell’età fissando principi grazie ai quali i Titolari di siti e piattaforme possono verificare l’effettiva età dei ragazzi. Il presidente dell’EDPB Anu Talus ha dichiarato: “La garanzia dell’età è essenziale per garantire che i minori non accedano a contenuti non adeguati alla loro età. Allo stesso tempo, il metodo per verificare l’età deve essere il meno intrusivo possibile e i dati personali dei bambini devono essere protetti. I principi proposti dall’EDPB aiuteranno l’industria a valutare l’età di una persona in modo conforme ai principi di protezione dei dati, tutelando nel contempo il benessere dei minori.” Il documento si trova come Statement 1/2025 on Age Assurance ed è stato adottato l’11 febbraio 2025. In sostanza invita le piattaforme a studiare mezzi idonei per controllare se i minori hanno efettivamente l’età per dare il consenso. Sui mezzi andranno eseguite della DPIA prima del trattamento per il concetto di Privacy by design. Sarà comunque non idoneo rilevare la posizione geografica, profilare gli utilizzatori o inviare messaggi commerciali. Una volta ottenuti i dati sull’età, questi non possono essere utilizzati per altri fini. https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-12025-age-assurance_it
GARANTE PRIVACY LANCIA INCONTRI SUI DATI RELATIVI ALLA SALUTE
Si parte col 17 aprile ma ci saranno altri tre incontri online aperti a tutti e un incontro finale a novembre in presenza: con ‘Privacy-in-salute’ il Garante ha lanciato un’iniziativa rivolta principalmente ai DPO (Data protection officer) o Responsabili della protezione dei dati, nominati in ambito sanitario e della ricerca. Il primo incontro il 17 aprile è aperto agli operatori delle Province e delle regioni autonome e su invito dell’Authority. Gli altri appuntamenti, previsti a giugno, settembre e novembre, in date da precisare, saranno invece aperti a tutti. Chi fosse interessato deve iscriversi alla piattaforma apposita cliccando gpdp.it/privacy-in-salute. Il ciclo di incontri sarà curato da dirigenti e funzionario dell’Autorità e affronterà dubbi e problematiche interpretative. Sicuramente è un’ottima occasione per capire come lavora l’Autorità e raccogliere informazioni e suggerimenti su come migliorare il nostro sistema privacy se operiamo nella sanità.
SEMPRE PIU’ ATTIVA LA COLLABORAZIONE INPS E GARANTE
Il Garante sta sollecitando gli enti pubblici e la pubblica amministrazione in generale ad aumentare la Compliance in materia di privacy. In questo quadro si inserisce anche il percorso di formazione iniziato dall’Autorità e destinato a dirigenti di prima e seconda fascia dell’Inps. Il primo incontro dal titolo “La protezione dei dati personali: realtà e prospettive” è stato realizzato dalla Direzione centrale formazione e accademia INPS di intesa col Responsabile della protezione dei dati dell’Istituto e ad introdurre i lavori c’era Ginevra Cerrina Feroni, vicepresidente dela Garante privacy. Inps raccoglie una gran mole di dati personali, comuni e particolari, ed è necessario un bilanciamento tra l’interesse pubblico e amministrativo dell’ente e la tutela dei diritti e delle libertà dell’interessato.
E’ IN CORSO UN’INDAGINE SU LUSHA AL CENTRO SCANDALO TELEFONI
Sarebbero collezionati online dall’azienda statunitense Lusha System Inc. i numeri di telefono di tante persone anche residenti in Italia, compresi vip e politici al centro di un’inchiesta di alcune testate giornalistiche. La questione ha implicato anche un attacco mediatico all’Agenzia per la cybersicurezza nazionale ACN, alla quale un cittadino avrebbe segnalato la presenza in rete di open data con recapiti telefonici di personalità di spicco. ACN dice di non essere responsabile del data breach in quanto i dati dei suoi dipendenti carpiti sono pochissimi e riferisce di aver segnalato la questione al Copasir (vedi nota stampa ACN del 9 aprile https://www.acn.gov.it/portale/w/nota-stampa-sulla-vicenda-telefoni-e-dati-dei-vip). Il Garante però ha ritenuto opportuno interrogare la fonte primaria e cioè Lusha che dovrà rispondere su quanti sono i dati di persone che vivono in Italia raccolti o trattati, chiarire le modalità di raccolta e fornire maggiori informazioni su ciascuna fonte che alimenta il proprio database. Lusha dovrà chiarire se si tratta di utenti che non utilizzano la piattaforma e dovrà specificare anche le fonti di acquisizione; il consenso per l’invio di comunicazioni commerciali o pubblicitarie o il compimento di ricerche di mercato e infine dire quali sono le finalità per le quali i dati vengono comunicati agli utenti e la relativa richiesta di consenso.
IL GARANTE LANCIA ANCHE UN PODCAST DEDICATO ALLA PRIVACY
“A proposito di privacy”: è questo il nome del podcast del Garante per la protezione dei dati personali, di vasta divulgazione, quindi rivolto a tutti. Le puntate possono essere ascoltata su youtube o sul sito del Garante e affrontano moltissime tematiche come la cybersecurity l’intelligenza artificiale, l’oblio oncologico, i diritti dei minori online. Sulla scia quindi delle campagne pubblicitarie, il Garante prova nuovamente ad entrare nelle case degli italiani, ampliare il novero degli appassionati dei temi privacy o semplicemente di chi pensa che privacy sia ancora possibile.
MARKETING SELVAGGIO DA PARTE DI AGENZIE IMMOBILIARI
Il Garante ha multato con provvedimento Casatua srl che ha contattato una persona dicendo di aver acquisito il consenso precendentemente. In particolare il ‘cliente’ è stato contattato via WhatsApp. Dall’indagine del Garante durata diversi mesi, è risultato che la società non aveva acquisito regolarmente i dati dal fornitore (5 mila utenze di cui 2 mila sono state contattate da Casatua), non aveva controllato chi era iscritto al Registro delle opposizioni e quindi non aveva creato la cosidetta Black list (i numeri non contattabili, proprio perché hanno aderito al registro e quindi annullato tutti i consensi dati precedentemente). Infine un’altra violazione delle norme, è apparsa nel caso un interessato chiedesse riscontri: questo veniva dirottato sul fornitore allungando i tempi, quindi mancava totalmente un’organizzazione circa l’esercizio dei diritti dell’interessato. Evidentemente Casatua non aveva il consenso per inviare messaggi via social. Alla fine dell’indagine con scambio di documenti e contro relazioni, la società è stata sanzionata con 10 mila euro e le è stato intimato di attivare procedure idonee nel caso prosegua attività commerciali con numeri acquisiti da terzi. In pratica Casatua è tenuta a inviare informative, acquisire il consenso e attivare canali per una pronta risposta (entro 30 giorni come per legge) agli interessati.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avv. Gianluca Amarù, l’Avv. Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) , Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020), Privacy in progress (editore FrancoAngeli, giugno 2021) e La Privacy dei dati digitali (FrancoAngeli editore, 2023), La Privacy del dato sanitario (FrancoAngeli, 2024), a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. E’ in stampa per Mondadori un instant book sulla privacy, Smetti di farti spiare, che Amarù, Fava, Fossi hanno scritto col presidente di Federprivacy Nicola Bernardi con prefazione del membro del Garante Guido Scorza. E’ in stampa anche un nostro libro sulla NIS2 per FrancoAngeli.
