News #34: negli USA si avvicina la legge privacy federale; novità su smart working e controllo da remoto; prima sanzione privacy in California.

  • PRIVACY

LAVORATORE SPIATO – Scoprire che il lavoratore non adempie alla propria prestazione mediante l’attività di un investigatore privato non consente, da sola, al datore di lavoro di licenziarlo. È quanto stabilito dalla Corte di Cassazione con ordinanza 25287 dello scorso 24 agosto. Il controllo sull’operato del dipendente, infatti, spetta esclusivamente al datore di lavoro, che non può in nessun caso avvalersi di altri soggetti.

LEGGE FEDERALE USA – Continua il percorso della proposta normativa denominato “ADPPA” (American Data Privacy and Protection Act), questa volta con una inedita lettera, inviata da ben 48 diverse associazioni americane per i diritti civili allo Speaker della Camera, Nancy Pelosi. Il generale consenso sulla necessità di uniformare lo spettro della legislazione USA in materia appare evidente e, mai come prima, potrebbe essere il viatico per un avanzamento della bozza di legge: sul punto è interessante questo articolo dello IAPP, che include anche altri sviluppi normativi USA ad esempio in materia di intelligenza artificiale.

NOYB-GMAIL – NOYB (None of your business), l’organizzazione senza scopo di lucro guidata da Max Schrems, ha recentemente presentato una denuncia contro Google presso l’Autorità garante francese (CNIL). La doglianza di NOYB è basata sulle ripetute violazioni da parte di Google della normativa e della giurisprudenza europea in materia di marketing diretto. Pare infatti che Google, in spregio alla Direttiva ePrivacy e ad una sentenza della Corte di Giustizia (C-102/20), abbia ripetutamente inviato ai propri utenti e-mail contenenti pubblicità, e ciò senza che gli utenti stessi avessero prestato il loro consenso a riguardo.

ISTRUTTORIA SUL VIDEO DI PIACENZA – Il Garante per la protezione dei dati italiano ha annunciato di aver aperto un’istruttoria al fine di individuare le responsabilità – dal punto di vista della normativa privacy – dei soggetti coinvolti nell’ambito del caso della violenza sessuale avvenuta a Piacenza. Il caso, già serio di per sè stesso, ha subito un aggravamento (soprattutto dal punto di vista della vittima, in termini di dignità e tutela) in seguito all’uso strumentale che ne è stato fatto ai fini della campagna elettorale da parte di una forza politica che, per raccogliere consensi, ha provveduto a diffondere online il video.

META E LA SANZIONE IRLANDESE – Rimandata all’autunno la decisione sui trasferimenti internazionali effettuati da Facebook e Instagram (Meta Platforms) a seguito delle contestazioni sollevate da alcune autorità locali alla bozza di decisione della DPC irlandese: principale scoglio, l’assenza (incomprensibile) di alcuna sanzione verso il gigante USA seppur nella conferma della violazione di diversi precetti del GDPR. Si è pertanto aperta la procedura di cui all’art. 65 GDPR, che seguiremo da vicino nelle prossime news.

  • MERCATI DIGITALI

SMART WORKING – Il Governo interviene ancora, in piena estate, sulla materia dello “smart working”, con il Decreto ministeriale n. 149/2022 – pubblicato in Gazzetta Ufficiale lo scorso 19 agosto a firma del Ministro Orlando – che fissa alcune novità. Ai fini di un corretto svolgimento del lavoro in modalità agile, tra l’altro, sembra essere scomparso l’obbligo di effettuare al Ministero la comunicazione dei lavoratori coinvolti prima dell’inizio dello smart working, decadendo anche la relativa sanzione. Ne parla il Sole 24 Ore in questo e in questo articolo, mentre il Ministero ha rilasciato una nota stampa qui.

TWITTER – HateAid, organizzazione tedesca no-profit, ha denunciato Twitter presso l’Ufficio federale di giustizia. La denuncia si fonda sulla violazione di una disposizione del Network Enforcement Act, che prescrive l’obbligo di comunicare i meccanismi con i quali i social gestiscono i reclami: secondo quanto lamentato dall’organizzazione, Twitter non avrebbe adempiuto a ciò nel suo ultimo Rapporto sulla trasparenza, relativo al periodo gennaio-giugno 2022. In una notizia non correlata, l’ex responsabile della sicurezza di Twitter (Peiter ‘Mudge’ Zatko) ha lanciato pesanti accuse contro il social network per gravi e reiterate falle nella gestione della protezione degli utenti e nella lotta ai “bots”: qui un interessante articolo del The Guardian.

GOOGLE ENTRA NELL’OOH – Con un blog post ufficiale Google ha annunciato di aver integrato, nella propria piattaforma di adv, anche strumenti di “out of home”, ovvero pubblicazione di annunci commerciali attraverso videowall in stazioni, aeroporti, centri commerciali e altri luoghi di alto traffico di persone. L’azienda di Mountain View si è subito affrettata a precisare, per inciso, che non saranno utilizzati dati personali per “targettizzare” le pubblicazioni, ma solo “dati contestuali”, ad esempio mostrando annunci relativi allo specifico luogo di diffusione e/o al contesto reale in cui lo spettatore si trova.

  • NEWS DAL MONDO

CALIFORNIA – Arriva la prima sanzione del public enforcement locale contro una società per violazione del CCPA, seppure attraverso un accordo transattivo: Sephora, gigante del retail cosmetico, dovrà pagare 1,2 milioni di dollari per aver venduto i dati degli utenti senza effettuare loro alcuna notificazione o dare accurate informazioni, e inoltre sarà tenuta a specificare tali attività mediante diversi interventi concordati con l’autorità. Il portavoce di quest’ultima, per inciso, ha comunicato che sono in corso di invio circa cento altre lettere ad altrettanti brand, per violazioni della legge locale a protezione dei consumatori.

TURCHIA – KVKK, Autorità garante turca, ha pubblicato una bozza – destinata alla consultazione pubblica – di linee guida in materia di trattamento di dati genetici. Scopo del documento è aiutare i titolari del trattamento nel trattamento di tale delicata categoria di dati, nella scelta di un’adeguata base giuridica e nell’adempimento degli obblighi posti dalla normativa nazionale vigente.

USA – L’Electronic Privacy Information Center (EPIC) e il National Consumer Law Center (NCLC) hanno rilasciato una dichiarazione congiunta per sollecitare la Federal Communication Commission (FCC) a imporre sanzioni più severe nei confronti di tutte le compagnie telefoniche che non sono in grado di proteggere i consumatori da telefonate automatiche di truffa.

ROMANIA- L’ANSPDCP, autorità locale, ha recentemente reso nota la propria decisione di infliggere una sanzione di 10 mila euro a Enel Energie Muntenia SA per aver violato gli artt.32  e 33 del GDPR. Infatti, in seguito ad un incidente (un dipendente Enel ha inoltrato ad un destinatario sbagliato dati personali riferibili ad altro soggetto) Enel Energie non ha provveduto a dimostrare di aver posto in essere tutte le misure necessarie per evitare che un simile inconveniente potesse ripetersi in futuro, nè si è adoperata in termini di segnalazione dell’incidente stesso all’Autorità. 

PERÙ – In occasione della “Festa del bambino”, celebrata in Perù lo scorso 21 agosto, il Garante peruviano (ANPD) ha emanato delle raccomandazioni finalizzate alla protezione dei dati personali e alla prevenzione di molestie sessuali nei confronti di soggetti minori. Tra i consigli offerti dall’Autorità, evitare di fornire indicazioni precise circa la scuola e gli altri luoghi frequentata dai bambini, non accettare richieste da soggetti sconosciuti e evitare di rispondere a questionari e/o domande sui minori che appaiono discutibili e inappropriate.

BRASILE – Meta è stata condannata dal SENACON a pagare un risarcimento di 6.6 milioni di Real (circa 1,2 milioni di euro) per le violazioni derivanti dallo scandalo Cambridge Analytica, tra cui l’analisi e valutazione delle risposte attraverso app e “giochi” al fine di indirizzare il voto dei cittadini durante le elezioni.