News #46: Twitter ha un nuovo DPO (provvisorio..); il Garante blocca il riconoscimento facciale per il 2023; le App della World Cup tracciano troppi dati..
Immagine di copertina di Rhett Lewis grazie a Unsplash.
MERCATI DIGITALI
TWITTER – Ha fatto notizia la nomina di un Data Protection Officer temporaneo dopo che tre dei più alti dirigenti del social network – tra cui il CISO, il Chief Compliance Officer e proprio il CPO/DPO – hanno dato le dimissioni: come tutto a Twitter, anche la funzione privacy al momento è “provvisoria”. E dopo aver visto i (catastrofici) risultati della fase beta del progetto di attribuzione – a pagamento, ma pur sempre indiscriminata – della famosa #spuntablu – strumento utilizzato nel mondo dei social network per garantire che l’utente sia “verificato”, cioè che corrisponde esattamente alla persona cui si riferisce -, #ElonMusk decide di rinviare al prossimo 29 novembre il lancio ufficiale dell’iniziativa “premium”. La questione si aggiunge ad una lista già abbastanza lunga di criticità che hanno caratterizzato la nuova era di Twitter, che infatti perde consensi (la rivale #Mastodon conta già 1,6 milioni di utenti attivi). Va segnalata, tuttavia, anche una “buona notizia”: il governo USA ha fatto sapere che – almeno per il momento – l’amministrazione Biden non ha intenzione di indagare sull’operazione di acquisto, nonostante dei 44 miliardi offerti da Musk, almeno 7,1 sarebbero stati finanziati da investitori provenienti dall’Arabia Saudita e dal Qatar: la questione potrebbe avere, infatti, implicazioni dal punto di vista della #sicurezzanazionale.
AMAZON – Secondo le indiscrezioni, anche #Amazon si starebbe preparando ad affrontare un’ondata di licenziamenti – proprio mentre il suo CEO, #JeffBezos, si impegna pubblicamente in grandiose campagne di beneficenza. Sebbene in termini percentuali il licenziamento coinvolgerebbe solo il 3% dei dipendenti – il New York Times parla di circa 10 mila posti di lavoro a rischio – il dato preoccupante riguarda, più in generale, il trend negativo che sta investendo l’occupazione nella Silicon Valley. Nel frattempo, Amazon deve affrontare in USA anche l’annuncio di una #classaction che l’Electronic Privacy Information Center (“EPIC”) ha intenzione di avviare nel distretto di Washington, in relazione a pratiche sleali e ingannevoli che sfrutterebbero l’impiego di Dark Pattern al fine di confondere e fuorviare i consumatori, inducendoli a rinnovare i loro abbonamenti Amazon Prime fuorviando gli utenti che desiderano terminarli.
GOOGLE – Mathew J. Platkin, procuratore generale del New Jersey, ha recentemente reso noto che, insieme ai procuratori generali di altri 40 stati americani, ha stipulato un accordo con #Google del valore di 391,5 milioni di dollari (il più grande accordo multi-stato in materia di privacy della storia americana). L’accordo si colloca all’esito di una indagine aperta qualche anno fa in seguito ad un articolo pubblicato dall’Associated Post, nel quale si accusava Google di registrare i movimenti (e dunque, raccogliere dati di localizzazione) dei consumatori anche quando gli stessi consumatori avevano, in realtà, negato il relativo consenso. Oltre al pagamento della cifra pattuita, Google si è anche impegnato tra le altre cose a (i) divulgare in modo più chiaro e trasparente le informazioni relative al tracciamento della posizione dei consumatori e (ii) creare una pagina ad hoc in cui gli utenti possono ottenere informazioni dettagliate sui dati di posizione raccolti.
PRIVACY
RICONOSCIMENTO FACCIALE E COMUNI ITALIANI – Il Garante per la protezione dei dati personali ha recentemente aperto un’istruttoria nei confronti di due comuni italiani per valutare e prevenire possibili violazioni connesse all’utilizzo di strumenti di #videosorveglianza. Nel mirino dell’Autorità sono finite iniziative (non attuate ma solo annunciate) dei comuni di Lecce e Arezzo relative, rispettivamente, all’utilizzo (i) di sistemi di #riconoscimentofacciale ( dunque,trattamento di dati biometrici – particolari ai sensi del GDPR) e (ii) di #superocchiali dotati di tecnologia ad #infrarossi, capaci di rilevare infrazioni stradali e validità dei documenti del guidatore dalla sola lettura di una targa. Spetta ora ai comuni presentare all’Autorità tutta la documentazione a supporto della liceità delle loro iniziative: nella giornata di domani pubblicheremo un #approfondimento su questa news, corredato dai dettagli delle due istruttorie.
PARERE EDPS SUL “EU MEDIA FREEDOM ACT” – Il 14 novembre 2022 l’European Data Protection Supervisor (“EDPS”) ha annunciato la pubblicazione del parere n. 24/2022 sulla proposta di regolamento che istituisce un quadro comune per i servizi di media nel mercato interno (“European Media Freedom Act”). L’EDPS ha accolto con favore gli obiettivi perseguiti nel progetto per proteggere la libertà, l’indipendenza e il pluralismo dei media in tutta l’Unione europea. L’EDPS ha raccomandato che il progetto di legge includa basi giuridiche esplicite e chiare, e preveda la cooperazione tra le pertinenti autorità di controllo dell’Unione europea, comprese le autorità garanti degli Stati membri, secondo le rispettive competenze.
PARERE EDPS CYBERSICUREZZA – Col parere n. 23/2022 l’EDPS, Garante Europeo, si è pronunciato su una proposta di regolamento in materia di requisiti di #cybersicurezza per i prodotti con elementi digitali. Pur esprimendosi favorevolmente nei confronti delle intenzioni e delle misure suggerite dal regolamento, l’EDPS non manca di sottolineare, tuttavia, l’importanza – in un’ottica di maggior tutela – deii principi di #PrivacybyDesign e #PrivacybyDefault (auspicando, dunque, per un loro inserimento).
SEGNALAZIONI TELEMARKETING AL GARANTE – E’ operativo il nuovo servizio #telematico per segnalare al Garante la ricezione di telefonate indesiderate, disponibile a questo link: esso sostituisce la modalità di segnalazione precedente, che avveniva tramite un – piuttosto desueto e scarsamente utilizzato – modulo #cartaceo.
VALUTAZIONE DEL RISCHIO INFORMATICO – La BCE (Banca Centrale Europea) ha di recente diffuso online una pubblicazione in materia di valutazione del #rischioinformatico dal titolo “Towards a framework for assessing systemic cyber risk” (“Verso un quadro per la valutazione del rischio informatico sistemico”). Il documento si sofferma, in particolare, sui possibili “effetti collaterali” che i rischi informatici – il cui numero è sempre crescente- possono generare in termini di stabilità dei sistemi finanziari.
F.A.Q. DATA SERVICES ACT – Si segnala che dallo scorso 14 novembre è disponibile online sul sito dell Commissione Europea la versione aggiornata delle domande e risposte più frequenti in materia di #DSA.
D. LGS. 231
COMPROMISSIONE DI UN SITO GIÀ INQUINATO – La Suprema Corte di Cassazione ha di recente affermato (nella sentenza n. 39759, consultabile gratuitamente per gli iscritti all’associazione AODV231) che non vale ad escludere il reato di #inquinamentoambientale (di cui all’452-bis c.p.) il fatto che un sito sia già compromesso a livello ambientale. Rigettando il corso, i giudici di piazza Cavour hanno fornito la loro interpretazione del concetto di “misurabilità” della compromissione inserito nella norma, chiarendo che (i) con tale termine il legislatore non si riferisce ad una procedura di “calcolo numerico degli effetti prodotti”, ma richiama l’astratta possibilità di valutare in termini quantitativa l’entità della compromissione e (ii) il fatto che un sito sia già inquinato non esclude che sia possibile causare un ulteriore aggravamento.
NEWS DAL MONDO
NORVEGIA – L’autorità garante norvegese per la protezione dei dati (“Datatilsynet”) ha rilasciato, il 14 novembre 2022, una dichiarazione mettendo in guardia chi si reca in Qatar per la #CoppadelMondo FIFA sull’installazione delle applicazioni “Hayya” ed “Ehteraz”. L’autorità garante si è preoccupata, in particolare, dell’ampio accesso ai dati personali richiesto dalle applicazioni, spiegando che non è chiaro cosa facciano effettivamente o per cosa potrebbero essere utilizzati i dati personali degli utenti.
REGNO UNITO – L’ICO, Autorità garante del Regno Unito, ha annunciato di aver reso disponibile online un aggiornamento della sua guida ai trasferimenti internazionali di dati al fine di includere una nuova sezione dedicata valutazioni sul rischio del trasferimento, nonché per aggiungere un nuovo strumento di valutazione, il #TRA (scaricabile gratuitamente in formato word sul sito dell’Autorità). Lo strumento – che vuole porsi come alternativa in materia all’approccio dell’EDPB – ai compone di sei domande (poche ma ben strutturate) e di tabelle e linee guida che aiutano le società a interpretare i risultati della valutazione.
FRANCIA (SANZIONE CNIL A DISCORD) – L’autorità garante francese (“CNIL”) ha sanzionato per 800.000 euro. DISCORD Inc. – piattaforma che fornisce un servizio per chattare tramite microfono e/o webcam su Internet e messaggistica istantanea, in cui gli utenti possono creare server, canali di testo, voce e video – ritenendo commesse le seguenti violazioni: (i) aver conservato i dati personali per un periodo eccessivo (ii) violazione del diritto di informazione sui tempi di conservazione (iii) violazione degli obblighi di privacy by default e (iv) mancanza di misure di sicurezza adeguate. Il comunicato della CNIL sulla decisione è disponibile a questo link.
ARGENTINA – L’Autorità argentina per la protezione dei dati (“AAIP”) ha pubblicato (i) un progetto di legge per l’aggiornamento della normativa sulla protezione dei dati personali, a seguito di una consultazione pubblica e (ii) un report sullo sviluppo del progetto, in cui si sottolinea che l’aggiornamento della legge è un passo decisivo per aumentare le garanzie necessarie per la protezione dei dati personali nella società dell’informazione, e per stabilire regole chiare per promuovere l’innovazione e lo sviluppo dell’economia in Argentina.
SPAGNA – L’autorità spagnola per la protezione dei dati personali (“AEPD”) ha inflitto una sanzione di 70.000 euro a una banca, successivamente ridotta a 48.000 euro, a seguito di un reclamo di un privato. Il ricorrente aveva richiesto un certificato di proprietà per proprio conto alla banca, ricevendo una copia di un contratto di terzi per un errore operativo. Il ricorrente ha prontamente informato la banca, ma continuava ad avere accesso al documento attraverso la chat di contatto. Nella sua decisione, l’AEPD ha tenuto conto che la banca ha, in seguito, eliminato l’accesso del cliente al fascicolo del contratto e che, sebbene la conversazione tra la banca e il ricorrente sia stata salvata, il collegamento al fascicolo è stato rimosso. La decisione dell’AEPD, in spagnolo, è disponibile a questo link.
TANZANIA – Il Parlamento della Tanzania ha recentemente approvato il disegno di legge in materia di protezione dei dati personali. Il documento mira a stabilire un livello minimo di protezione dei dati nelle fasi di raccolta e trattamento degli stessi, nonché alla creazione di una Commissione ad hoc per la loro protezione. Vengono in tal modo fissati i criteri in base ai quali le informazioni personali possono formare oggetto di divulgazione e/o trasferimento internazionale – recependo, peraltro, anche il concetto di #adeguatezza di matrice comunitaria. Tra le altre novità, anche la proposta della emanazione del Personal Information Protection Act 2022. In tema di sanzioni, il tetto massimo viene fissato 100 milioni (corrispondenti a poco più di 41 mila euro).
CALIFORNIA – Il tribunale distrettuale della California, a seguito di una class action, ha approvato un accordo da 90 milioni di dollari con Meta, e ha imposto un ordine di sequestro e cancellazione di tutti i dati raccolti impropriamente entro il 10 febbraio 2023. I ricorrenti hanno denunciato che Meta aveva consapevolmente intercettato e tracciato l’attività Internet degli utenti su pagine che mostravano un pulsante “Mi piace”, utilizzando i cookie. L’accordo è disponibile a questo link.
