MAXI MULTA A CATENA SUPERMERCATI PER RACCOLTA DATI BIOMETRICI
2 milioni e mezzo di multa: è la cifra consistente che deve pagare una catena di supermercati spagnola che per contrastare i furti ha scelto di usare il riconoscimento facciale dei clienti. Secondo quanto appurato dal Garante privacy spagnolo la catena raccoglieva i dati biometrici di tutti i clienti per interfacciarli con banche dati e risalire a chi eventualmente avesse pendenze con la giustizia. In questo caso il cliente veniva allontanato dal negozio. Mercadona, questo il nome della catena, ha usato il riconoscimento facciale per diversi mesi in 48 negozi. L’aggravante è che sono stati raccolti dati anche di minori. L’Autorità ovviamente non ha ravvisato alcuna giustificazione per tale trattamento nel GDPR, il regolamento europeo privacy 2016.
TRE INDAGINI SU DRONI USATI DA ENTI LOCALI
Il Garante per la protezione dei dati personali (GPDP) italiano ha avviato istruttorie contro il Comune di Roma, quello di Bari e un’Asl 3 di Roma per aver scelto di usare droni senza rispettare le regole privacy. In particolare il Comune di Bari voleva usare droni per monitorare eventuali concentrazioni di persone in epoca Covid; quello di Roma usarne nove contro abusi edilizi, abbandono rifiuti e reati vari. L’Asl 3 di Roma ai primi di settembre voleva ricorrere a un drone per misurare la temperatura dei bagnanti sulla spiaggia di Ostia. Tutte le operazioni sono bloccate. Gli enti pubblici in questione dovranno dimostrare come ottemperano alla privacy e alla tutela dei dati personali e quali Valutazione d’impatto hanno fatto secondo la privacy by design.
IRLANDA MULTA WHATSAPP PER 225 MILIONI DI EURO
La Commissione irlandese per la protezione dei dati ha comminato una multa storica a WhattsApp per mancata tutela dei dati personali: 225 milioni di euro per non aver dato informazioni trasparenti ai clienti dell’app sul trattamento dei loro dati personali. E’ stata la Commissione irlandese a stabilire il quantum della multa in quanto la società ha sede nel paese, ma si tratta di un’inchiesta che è stata portata avanti dal Board europeo EDPB ed è partita dal Garante italiano a gennaio. In quel periodo infatti l’azienda di chat aveva modificato le regole sul trattamento dei dati ma senza dare informazioni sufficienti agli utenti.
NON SI POSSONO DIFFONDERE MAIL E CELLULARI SENZA AUTORIZZAZIONE
Anche la mail e il numero di cellulare rientrano tra i dati personali di un soggetto e quindi solo con la sua autorizzazione si possono diffondere. Il Garante è intervenuto così sulla questione dei social di chi è contrario al vaccino per sottolineare che non si possono diffondere dati di persone senza il loro consenso. Gli attivisti infatti si erano scambiati contatti del ministero della salute per contestare le disposizioni sul lasciapassare verde Covid. Anche la procura di Torino è intervenuta bloccando di una chat Telegram dal titolo “Basta dittatura”.
NUOVA SANZIONE PER ALTRA AZIENDA RIDER
Dopo la multa di 2,6 milioni di euro alla piattaforma del gruppo Glovo, anche Deliveroo è stata sanzionati con 2,5 milioni di euro da parte del Garante italiano. Al termine di una lunga istruttoria e botta e risposta con l’azienda, l’Autorità italiana ha concluso che i dati di 8 mila driver non venivano trattati in modo lecito. In ballo c’erano anche questioni sindacali relative alla prenotazione dei turni di lavoro da parte dei lavoratori, ma anche la raccolta di dati sulla geolocalizzazione dei mezzi e dei lavoratori. Poi c’erano diversi aspetti sulla conservazioni di dati personali, ad esempio è emerso che vengono conservati per sei anni i testi delle chat tra il lavoratore e la centrale e per un anno le conversazioni telefoniche. Le disposizioni sono state date dalla casa madre che ha sede in Gran Bretagna. Quindi siccome alcuni dati venivano trattati anche in altri paesi, si tratta di trasferimento di dati personali di cittadini Ue all’estero.
NO A CIRCOLAZIONE DATI SANITARI SU COVID FUORILEGGE
Il Commissario per l’emergenza Covid di Messina ha deciso di dare ai sindaci le liste di chi non ha aderito al vaccino Covid e il Garante ha inoltrato richieste di chiarimenti, aprendo di fatto un’indagine. Sotto indagine sono finite anche l’Asl di Messina e il suo Dpo. Il Garante sta cercando di capire se la decisione va contro le disposizioni regionali (la Sicilia infatti è regione autonoma). Secondo una legge regionale di luglio solo i medici di famiglia sono tenuti a conoscere la situazione vaccinale dei loro pazienti e di fatto i dati devono restare in un ambito prettamente sanitario. Insomma gli enti territoriali pubblici come Comuni e Province non hanno nessun titolo per trattare questi dati. Il Garante ha messo anche in guardia da eventuali discriminazioni di chi avesse scelto di non fare la vaccinazione.
DIFFONDE LISTA DI DONNE SINGLE: CONDANNATO A UN ANNO E SEI MESI
Sulle violazioni delle norme privacy non ci sono solo le condanne civili legati al GDPR. Infatti ha preso un anno e mezzo un uomo di Lecco che ha avuto l’idea di pubblicare una lista di donne single della sua città raccogliendo dati in rete. La banca dati che ha chiamato “Catalogo” veniva messa in vendita in rete. I reati per cui è stato condannato dal Tribunale di Lecco sono trattamento illecito di dati personali, diffamazione e sostituzione di persona. Il responsabile sarà costretto a versare anche mille euro a ciascuna delle otto vittime che si sono costituite parte civile e dovrà risarcire altri danni in sede civile.
INFOGRAFICA DEL GARANTE SU CYBERBULLISMO
L’Authority italiana sotto Pasquale Stanzione ha come connotato una forte propensione per la comunicazione sui social e verso fasce di popolazione molto giovane. A settembre ha pubblicato un’infografica sul cyberbullismo spiegando in maniera molto diretta e chiara che cosa prevede la legge n. 71 del 2017. La legge infatti norma la rimozione o il blocco di contenuti che offendono persone anche minorenni. Le richieste vanno inoltrate al titolare del trattamento o al gestore del sito e può essere inviata anche da un minorenne se maggiore di 14 anni o altrimenti dai suoi genitori. Se la foto o il video non vengono tolti, la persona può rivolgersi al Garante che interviene nel giro di 48 ore. La tempistica stretta è legata al fatto che la circolazione di contenuti diffamanti in rete avviene in maniera molto veloce. Quindi prima si blocca meglio è.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Privacy specialist, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ora ‘Privacy in progress’ (editore Franco Angeli), acquistabile anche in digitale sul sito francoangeli.it.
