TIKTOK MULTATA PER 530 MILIONI DI EURO
La Commissione per la protezione dei dati irlandese (che funge da Garante per la protezione dei dati) ha multato per 530 milioni di euro TikTok intimandole di adeguarsi entro sei mesi. In pratica viene contestato il trasferimento dei dati dalla UE alla Cina tra il luglio del 2020 e il dicembre del 2022 e la mancanza di trasparenza nei confronti degli interessati. Secondo la Commissione in Cina non vengono rispettati gli standard di protezione dei dati della UE e per di più le autorità cinesi hanno pieno accesso ai dati. Inizialmente TikTok aveva dichiarato che i dati dei cittadini europei non venivano conservati su data center cinesi, per poi rivelare l’opposto. Quindi il Garante ha rilevato la mancanza di informazioni adeguate sul trasferimento dei dati personali in paesi terzi da parte dell’azienda. La Policy sulla Privacy del 2021 accennava infatti solo alla possibilità che i dati potessero essere visti da dipendenti a Singapore. L’Authority irlandese ha quindi chiesto la modifica della Policy del 2021. Un successivo aggiornamento della stessa Policy parlava sempre del fatto che i dati potevano essere trattati anche da personale extra-UE a Singapore, Brasile, Cina, Filippine e negli Usa. Il Garante ha quindi multato la piattaforma per le carenze di informazione tra luglio 2020 e dicembre 2022 e imposto la multa salata, nonché intimato di approntare modifiche al sistema privacy.
LINEE GUIDA SUI CONDOMINI PER VIDEOSORVEGLIANZA E ALTRO
Il Garante italiano ha intenzione di varare delle Linee Guida sul trattamento dei dati nei condomini, alla luce delle nuove disposizioni italiane e comunitarie, e quindi ha appena concluso una consultazione pubblica. Infatti all’Autorità arrivano moltissimi reclami, segnalazioni e richiesta di informazioni rispetto ai dati personali trattati dagli amministratori, a partire dal grande tema della videosorveglianza, telecamere e videocitofoni. Già nel 2003 il Garante aveva pubblicato un vademecum, ma con l’avanzare della tecnologia si ravvisa la necessità di un aggiornamento. Entro il 10 maggio era possibile inviare commenti e consigli e interpretazioni giuridiche a protocollo@gpdp.it oppure presso la sede di piazza Venezia 11. Vedremo le conclusioni del sondaggio pubblico.
MULTA PER GEOLOCALIZZAZIONE DEL DIPENDENTE IN SMART WORKING
Se il datore di lavoro pensa di poter geolocalizzare il dipendente in smart working, può incorrere in multe salate. E’ quello che è successo all’Azienda regionale per lo sviluppo e per i servizi in agricoltura della Calabria, Arsac. Secondo l’indagine, partita dalla segnalazione del Dipartimento di funzione pubblica della Presidenza del Consiglio dei ministri, l’azienda ha monitorato oltre 100 lavoratori, tramite una piattaforma chiamata Time Relax sulla quale i lavoratori timbravano il cartellino e potevano o meno accettare la geolocalizzazione tramite dispositivi aziendali, la posizione veniva poi accertata con una telefonata diretta. I controlli su dove si trovava il dipendente riguardavano non solo la timbratura del cartellino ma anche i permessi. A una dipendente è stato contestato di trovarsi in un caso a 50 chilometri dalla sede prefissata e una seconda volta a 5 chilometri di distanza ed è stata quindi emesso un addebito disciplinare. In pratica dall’utilizzo dell’app su strumenti aziendali, il dipendente sa di essere geolocalizzato e seguito tramite Gps, in assenza però di informativa sul trattamento dei dati. Nel Provvedimento il Garante ricorda che ogni azione di controllo da parte del datore di lavoro anche nella modalità di telelavoro deve rispettare la personalità e libertà morale della persona; si deve rispettare il principio di limitazione dei dati raccolti e soprattutto bisogna tener conto della privacy by design e by default (quindi aver fatto una DPIA prima del trattamento con tecnologia innovativa). Comunque è del tutto vietato il controllo a distanza sulla prestazione lavorativa. Arsac, anche per la mancanza di informative adeguate, è stata multata per 50 mila euro. Il Garante ribadisce che manca un quadro normativo idoneo affinché si possa utilizzare la geolocalizzazione in maniera più estesa e non basta certo l’accordo sindacale. Per altro anche l’Ispettorato del lavoro ha ribadito che il controllo via GPS deve essere occasionale e rapido, dovuto a precise necessità organizzative aziendali e non può essere prolungato nel tempo, discriminatorio e invasivo.
VERIFICHE IN CORSO SU PAGA O ABBONATI DI TANTE TESTATE ONLINE
Il Garante ha lanciato un’altra consultazione pubblica sulla legittimità della profilazione legata alla consultazione di testate online da parte degli utenti. Come sappiamo spesso ci viene detto di accettare tutti i cookie o dare tutti i consensi (compreso marketing e profilazione) per avere in cambio la lettura delle notizie o delle pagine web. La normativa privacy (a partire dal GDPR) prevede che il consenso sia libero e informato. Libero vuol dire non subordinato alla cessione di punti, premi o lettura di testate. Quindi l’EDPB, il Board europeo, ha criticato il passaggio di tanti media ed editori alla modalità ‘Pay or Ok”, paga oppure accetta la profilazione. La consultazione è aperta fino al 5 giugno.
META E L’OPPOSIZIONE ALL’ALLENAMENTO DELL’IA CON I PROPRI DATI
Dalla fine di maggio Meta ha annunciato che allenerà l’intelligenza artificiale (IA) con i dati dei suoi utenti postati su Instangram e Facebook, a meno che l’utente si opponga. Il Garante ribadendo la possibilità per l’interessato, di esprimere la sua volontà sul trattamento dei propri dati, ha messo i link per le opposizioni sul proprio sito https://garanteprivacy.it/home/docweb/-/docweb-display/docweb/10125702.
Si ricorda che i dati degli utilizzatori dei due social minorenni non saranno utilizzati da Meta. I garanti riuniti nell’EDPB hanno chiesto a Meta delucidazioni su come utilizzerà le immagini di minori postate da maggiorenni, compresi i genitori.
ISTAT NUOVE REGOLE SU DATI HANNO OK DEL GARANTE
L’Istituto nazionale di statistica Istat raccoglie molti dati personali nel corso delle interviste dirette coi cittadini in diverse città e contesti. Data l’importanza dell’ente e la gran mole di dati che custodisce, il Garante ha appena dato il via libera alle nuove misure tecniche e organizzative. Ad esempio Istat è stato obbligato ad aggiornare le difese delle sue banche dati, provvedere a un sistema di pseudoanomizzazione dei dati. Secondo il Garante, il sistema adottato prima rischiava che i dati trattati fossero eccedenti rispetto alle necessità reali, in quanto veniva usato un codice con un pseudonimo.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avv. Gianluca Amarù, l’Avv. Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) , Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020), Privacy in progress (editore FrancoAngeli, giugno 2021) e La Privacy dei dati digitali (FrancoAngeli editore, 2023), La Privacy del dato sanitario (FrancoAngeli, 2024), a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. E’ appena uscito per Mondadori un instant book sulla privacy, Smetti di farti spiare, a cura del presidente di Federprivacy Nicola Bernardi, con Amarù, Fava, Fossi e con la prefazione del membro del Garante Guido Scorza. E’ in stampa anche un nostro libro sulla NIS2 per FrancoAngeli, NIS2: come rafforzare la cybersicurezza.
