GARANTE INDAGA SU APP CHE REGISTRANO SENZA CONSAPEVOLEZZA UTENTE Sarà capitato anche a voi di parlare di un oggetto con un amico e poco dopo ricevere un pubblicità proprio su quell’oggetto o quel viaggio sognato. Dopo diverse segnalazioni al Garante Privacy, l’Authority italiana ha deciso di procedere con un’inchiesta e ha messo in guardia dalle tante app a cui diamo ingenuamente accesso a tutto, compresa la registrazione. Basta andare su impostazioni dello smartphone, cliccare applicazioni e guardare quali autorizzazioni abbiamo dato per scoprire che abbiamo autorizzato a video, foto, registrazione anche app che non ne hanno nessun bisogno per la funzione che esercitano.
PARLAMENTO UE DICE NO A RICONOSCIMENTO FACCIALE
Il Parlamento europeo ha appena votato una risoluzione sui pregiudizi algoritmici nelle applicazioni che usano l’intelligenza artificiale (AI) e ha ribadito che invece di ricorrere al riconoscimento facciale di massa (ad esempio in luoghi affollati) sarebbe meglio che le forze di polizia continuino a servirsi principalmente della supervisione umana (la risoluzione è del 6 ottobre 2021). Il Parlamento insomma ha paura di discriminazioni ed errori e ha vietato anche le banche sul riconoscimento facciale e le tecniche predittive. Inoltre i deputati chiedono la sospensione/moratoria di tecniche di identificazione a distanza su dati biometrici come succede attualmente alle frontiere.
MULTA 5 MILA EURO A ISTITUTO PER CIECHI PER TELECAMERE
Tre pazienti ciechi venivano ripresi da un impianto di videosorveglianza piazzato dall’Istituto che li ospita per prevenire eventuali furti visto che era stato aperto un cantiere in quell’area. Il Garante ha scoperto la mancanza di informative all’entrata, la mancanza di informative dettagliate per i pazienti e la mancanza della Dpia, perciò l’Istituto è stato multato per 5 mila euro e si è disposto che l’impianto (già spento all’inizio dell’inchiesta) venga del tutto smantellato. Il titolare dell’Istituto pensava di essere nel giusto avendo avuto anche il via libera dell’Ispettorato del lavoro. L’episodio dimostra come il lavoro del DPO sia necessario anche per sensibilizzare il titolare sulla necessità di adempiere ai vari aspetti del GDPR relativamente alla videosorveglianza a partire proprio dalle informative agli utenti. I sistemi video comunque vengono ritenuti dal Garante un’estrema ratio e si consiglia di utilizzare altri dispositivi meno invasivi per tutela la sicurezza o i beni aziendali.
200 MILA EURO DI MULTA ALLA BOCCONI PER RICONOSCIMENTO FACCIALE
Non tutta la tecnologia è a prova di rischio. Specie con la privacy questo assunto va tenuto presente. L’Università Bocconi è appena stata multata dal Garante con 200 mila euro per aver usato un meccanismo di riconoscimento facciale dello studente in sede di esami online, detto Respondus. In sostanza è un software che blocca la tastiera e quindi impedisce attività secondarie sul computer durante l’esame. Il software fotografa anche lo studente all’inizio dell’esame mentre lo stesso mostra un documento e permette di visionare l’ambiente circostante fino a segnalare al docente eventuali comportamenti insoliti o sospetti. Il sistema è in grado di registrare il comportamento dello studente per tutto l’esame e poi fornire al docente una scaletta sull’affidabilità o meno del ragazzo, introducendo quindi un trattamento parzialmente automatizzato e sopratutto un elemento di profilazione. Secondo il Garante sono stati violati i principi di liceità, trasparenza e correttezza del GDPR, da cui la multa piuttosto salata. Inoltre le informative fornite agli studenti sono piuttosto vaghe sui tempi di conservazione dei dati e si parlava di un paese terzo senza specificare che i dati finiscono negli Stati uniti (con tutte le problematiche sul Privacy Shield). Infine l’Authority ha rilevato l’assenza di base giuridica per l’uso di dati biometrici, annoverati ricordiamo dal GDPR e dalla legge 101/2018 ai dati particolari, al pari di quelli sanitari e genetici, in quanto lo studente non poteva fornire un consenso libero, essendo costretto ad accettare il trattamento per dare l’esame. La sentenza al di là del contesto rileva la preoccupazione dell’Autorità sulle tecnologie di AI sempre più invasive.
CONVEGNO MONDIALE DI GARANTI A CITTA’ DEL MESSICO
La nostra Autorità privacy parteciperà dal 18 al 21 ottobre a un convegno internazionale di Garanti privacy a Città del Messico. I panel prevedono confronti sul Green Pass, la sorveglianza di massa e l’analisi di metadati, la protezione dei dati personali nonché la tutela della privacy delle fasce sociali più emarginate specie in paesi poveri. Chi fosse interessato può saperne di più cliccando http://gpamexico2021.org/
COMUNE PUBBLICA DATI PERSONALI
Su due siti internet e sull’albo pretorio sono comparsi i dati personali di un portatore di handicap e di un suo parente e gli importi forniti dal Comune per interventi volti al superamento delle barriere architettoniche. Il Comune ha risposto evocando un “mero errore e disguido fra gli uffici” e il fatto che i dati sono stati oscurati all’inizio dell’inchiesta. Questo non è bastato e il Garante ha multato l’amministrazione con 5 mila euro.
AGENTE IMMOBILIARE USA DATI LINKEDIN PER CASE, MULTATO
Un agente immobiliare ha utilizzato un account Linkedin di una proprietaria di un immobile per proporre i propri servizi ed è stato prontamente multato dal Garante. L’Autorità ha infatti messo nero su bianco come il sito di informazioni e scambi legato al mondo del lavoro non possa essere usato per altre finalità, tanto meno per fare marketing. L’agenzia non ha fornito riscontro del suo comportamento ed è stata multata con 5 mila euro.
LE ULTIME SUL GREEN PASS
Il Garante ha scritto al Ministero dell’istruzione sottolineando il divieto per gli insegnanti di acquisire informazioni sullo stato di salute e la vaccinazione di studenti e delle loro famiglie, dopo aver ricevuto moltissime segnalazioni sull’argomento. Si ricorda che solo gli studenti universitari sono tenuti a mostrare il green pass, non così gli studenti delle scuole di grado inferiore. Per le aziende è stato specificato che il datore di lavoro/titolare deve definire le modalità operative del controllo del possesso del Green pass anche a campione e nominare per scritto uno o più incaricati al controllo. Si ricorda che non va conservato alcun dato, come non è necessario per il datore di lavoro procedere a comunicazioni scritte o orali nei confronti del lavoratore allontanato per carenza di certificazione. Si attendono linee guida del governo.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Privacy specialist, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ora ‘Privacy in progress’ (editore Franco Angeli), acquistabile anche in digitale sul sito francoangeli.it.
