Novità privacy: illegittima la campagna "recupero consensi" di Telecom - Filodiritto

Pagina creata da Pasquale Falcone
 
CONTINUA A LEGGERE
Tribunale Bologna 24.07.2007, n.7770 - ISSN 2239-7752
                                               Direttore responsabile: Antonio Zama

      Novità privacy: illegittima la campagna “recupero
                     consensi” di Telecom
                                              04 Maggio 2021
                                      Elena Gambino, Roberto Louhichi

Panorama italiano
Garante per la protezione dei dati personali
Caso Grillo: la condivisione del video è illecita
Il Garante è intervenuto con un breve comunicato sul “Caso Grillo”, la recente vicenda di cronaca
giudiziaria che ha interessato il figlio di Beppe Grillo, accusato di stupro. Dato che negli scorsi giorni i
genitori della ragazza hanno riferito che un breve frammento di 20 secondi del video rappresentante il
rapporto sessuale oggetto del giudizio penale pendente sia stato condiviso tra gli accusati e i loro amici,
l’Autorità ha voluto ribadire che tale condotta rappresenta un illecito penale e una violazione
amministrativa. [28/04/2021]
Leggi il comunicato.

Garante per la protezione dei dati personali
Online la nuova newsletter
Il Garante ha pubblicato la newsletter del mese di aprile 2021, le cui notizie si concentrano su due grandi
macro-aeree: telemarketing e diritto di cronaca. Per quanto riguarda il primo settore, l’Autorità ha
comunicato di aver sanzionato tre call center per telemarketing selvaggio e di aver ammonito una società
per non aver dato riscontro all’esercizio del diritto di opt-out degli interessati. Relativamente alla seconda
area, il Garante ha riportato due casi attinenti (i) al diritto all’oblio, sottolineando come la deindicizzazione
di un articolo online sia sufficiente a garantirlo, senza che l’editore sia obbligato a rimuovere l’articolo dal
proprio archivio, e (ii) alla minimizzazione dei dati, ribadendo che il giornalista non deve fornire
informazioni eccedenti la finalità di cronaca che possano ledere la riservatezza degli interessati o dei
familiari. [27/04/2021]
Leggi la newsletter

Cassazione Civile
Respinto ricorso di Telecom contro il divieto pronunciato dal Garante al trattamento dei dati per il
recupero dei consensi illecitamente acquisiti
La Prima Sezione della Cassazione Civile ha messo un punto definitivo alla diatriba tra Telecom ed il
Garante privacy riguardante la campagna “recupero consensi” avviata dal titolare per riottenere i consensi
che l’Autorità aveva ritenuto essere stati illecitamente acquisiti. In particolare, nel 2016 il Garante aveva
vietato il trattamento delle utenze di quanti avessero già espresso il dissenso ad essere contattati per finalità
di marketing. Telecom, ritenendo che il trattamento per riottenere il consenso non fosse definibile come
una “comunicazione commerciale”, proponeva ricorso al Tribunale di Milano che, nel 2017, si
pronunciava a favore del Garante, ritenendo inscindibile dalla campagna di acquisizione del
consenso quella per finalità promozionale, trattandosi sostanzialmente di unica campagna in due
fasi. La Cassazione, respingendo il ricorso di Telecom, ha avallato la tesi dell’Autorità e dei giudici
milanesi. [26/04/2021]
Leggi la notizia.

Garante per la protezione dei dati personali
Frizioni col Governo su riaperture e pass vaccinali
Il Garante ha inviato un avvertimento formale a tutti i ministeri coinvolti nell’adozione del Decreto Legge
“Riaperture”, il quale disciplina l’utilizzo delle certificazioni verdi (cd. Green pass) per gli spostamenti tra
Regioni rosse e/o arancioni nonché per l’accesso a determinati eventi. L’Autorità sottolinea come la
mancata interlocuzione con la stessa da parte del Governo abbia finito per rendere il provvedimento
ricco di criticità sul versante protezione dei dati personali. In particolare, il Garante sottolinea come: (i)
il decreto non sia una base giuridica sufficiente per questo tipo di trattamento; (ii) manchi una valutazione
di impatto; (iii) non siano state sufficientemente precisate le finalità; (iv) l’operare concreto del sistema
violi il principio di minimizzazione dei dati. L’Autorità ha comunque offerto al Governo la propria
collaborazione per affrontare e superare le criticità rilevate. [23/04/2021]
Leggi il comunicato, l’intervista a Pasquale Stanzione e l’avvertimento formale.

Dal mondo
Parlamento UE
Adottato Digital Green Certificate, dopo aver recepito le preoccupazioni privacy di 28 gruppi per le
libertà civili
Il Parlamento UE ha ricevuto una lettera firmata da 28 organizzazioni in difesa delle libertà civili, le quali
chiedono alcuni emendamenti alla proposta di Regolamento relativa al Digital Green Certificate (meglio
noto come “passaporto vaccinale Covid”). Nella lettera le organizzazioni esprimono più preoccupazioni per
il tema della protezione dei dati dei cittadini europei, fra le quali: (i) la mancanza di salvaguardie contro la
sorveglianza online da parte delle Autorità rilascianti; e (ii) l’utilizzo ulteriore dei dati trattati che alcun
Stati Membri hanno già comunicato di voler implementare (ad es. per l’entrata nei luoghi di culto o alle
manifestazioni sportive), per il quale dovrebbe specificarsi la necessità di una legge nazionale quale base
giuridica idonea, nonché di una previa valutazione di impatto. A ciò si aggiunge la preoccupazione circa
la possibilità che il Covid Pass possa generare illecite discriminazioni ai cittadini UE nell’esercizio
della loro libertà di movimento. In risposta, due giorni dopo il Parlamento ha chiarito che l’assenza del
Digital Green Certificate non precluderà il libero movimento a quanti non intendano scaricarlo e che i dati
trattati non verranno né conservati dagli Stati Membri né in unico data center centralizzato (che non verrà
quindi creato). Il 29 aprile il Parlamento ha poi adottato la proposta. [29/04/2021]
Leggi la lettera e il comunicato del Parlamento.

USA
Attacco hacker alla Polizia di Washington
Il Dipartimento della Polizia di Washington ha confermato di aver subito un attacco hacker dal gruppo
Babuk Locker. Secondo le affermazioni del gruppo hacker, i dati oggetto dell’attacco corrisponderebbero a
250gb di dati sensibili quali, ad esempio, nomi degli informatori di polizia e dettagli delle operazioni in
corso. Babuk Locker minaccia la pubblicazione integrale dei dati, che in parte hanno già iniziato a
comparire su siti di ransomware shaming da lunedì 26 aprile, se la Polizia non provvederà a pagare un
riscatto. [28/04/2021]
Leggi di più.

Apple
Nuovo aggiornamento IOS con importanti novità lato privacy
Apple ha rilasciato un nuovo aggiornamento IOS con cui introduce “App Tracking Transparency” (ATT),
un sistema che, al fine di rendere più trasparente possibile il tracciamento dell’utente da parte delle app,
richiede di ottenere il consenso dell’interessato a tracciare i suoi dati nelle applicazioni o sui siti web di
terzi per scopi pubblicitari o di condivisione con data broker. La novità non è stata accolta a braccia aperte
dagli sviluppatori di terze parti tant’è che in Germania la ZAW (German Advertising Federation) ha
comunicato di aver presentato un ricorso all’antitrust tedesca, ritenendo che la condotta di Apple
costituisca un abuso di posizione dominante, volta ad escludere dall’accesso ai dati (e dunque dal mercato)
tutti gli sviluppatori di app prive di ATT. [27/04/2021]
Vedi il video sull’ATT.

ENISA (Agenzia europea per la sicurezza delle reti e delle informazioni)
Nuovo report sulle direttrici di ricerca strategica da approfondire per l’autonomia digitale
L’ENISA ha pubblicato un nuovo report in cui fissa analiticamente i punti rilevanti sui quali, in chiave
strategica, dovrà concentrarsi la ricerca dei futuri anni affinché siano supportati gli sforzi dell’Unione
Europea verso il raggiungimento di un’autonomia digitale. Tra i punti individuati dall’Agenzia vi sono
la protezione dei dati, l’affidabilità delle piattaforme software e la crittografia. Il report è destinato
principalmente ai ricercatori e ai legislatori, rappresentando una guida per le rispettive future attività e
progetti. [23/04/2021]
Leggi il report.

EDPS (Garante Europeo)
Ok alla proposta del nuovo Regolamento AI ma serviva il ban degli strumenti di identificazione
biometrica negli spazi pubblici
Il Garante Europeo ha comunicato di aver accolto con il nuovo Regolamento relativo all’intelligenza
artificiale proposto dalla Commissione Europea la settimana scorsa ma ha espresso rammarico circa il fatto
che il suo suggerimento di bannare totalmente l’utilizzo di sistemi di identificazione biometrica in spazi
pubblici non abbia trovato spazio nella proposta. Sul punto, infatti, il testo della Commissione prevede
semplicemente un divieto generale di utilizzo di tali sistemi solo da parte delle autorità pubbliche per
ragioni di law enforcement, ferme restando alcune limitate eccezioni. [23/04/2021]
Accedi alle dichiarazioni.

Autorità garanti estere
CNPD (Autorità portoghese per la protezione dei dati)
Blocco del trasferimento in USA dei dati dell’Istituto nazionale di statistica
Il Garante portoghese ha ordinato all’Istituto nazionale di statistica del Portogallo di sospendere qualsiasi
trasferimento di dati personali contenuti nel questionario Census 2021 verso gli Stati Uniti, in quanto
incompatibile con i principi della giurisprudenza Schrems II. A seguito di svariati reclami, l’Autorità ha
avviato un’istruttoria con la quale ha riscontrato che l’Istituto si serviva di un servizio in cloud
statunitense per il trattamento dei dati contenuti nei questionari compilati online dai cittadini
portoghesi. Il trattamento interessato dal blocco era iniziato da solo 8 giorni. [28/04/2021]
Leggi la notizia.

AEPD (Autorità garante spagnola per la protezione dei dati)
I 10 fraintendimenti più comuni quando si parla di anonimizzazione
Il Garante spagnolo ha pubblicato insieme al Garante Europeo un breve paper in cui illustra i 10
fraintendimenti più comuni quando si parla di anonimizzazione. Il documento, oltre a voler
evidenziare come “anonimizzazione” e “pseudonimizzazione” siano due concetti diversi, sottolinea come il
processo di anonimizzazione non sia mai a rischio zero, non potendo escludersi a priori che i dati possano
essere “ripersonalizzati”. [27/04/2021]
Leggi il paper.

AEPD (Autorità garante spagnola per la protezione dei dati)
Sanzionata Equifax per 1 milione di euro
Il Garante spagnolo ha sanzionato Equifax Iberica – colosso spagnolo e mondiale del credit scoring – per 1
milione di euro a causa di illiceità relative al trattamento dei dati finanziari di 96 interessati, che erano stati
inseriti in una banca dati sui reclami giudiziari per presunti debiti senza il loro consenso e sulla base di dati
erronei raccolti in open source. Nel complesso provvedimento, composto da oltre 180 pagine, l’Autorità
riscontra la violazione: (i) dei principi di liceità, limitazione delle finalità ed esattezza dei dati; (ii)
dell’art. 6 del GDPR, non avendo Equifax raccolto il consenso degli interessati e non costituendo il
legittimo interesse una base giuridica valida per questo specifico trattamento; e (iii) dell’art. 14 del GDPR,
non avendo il titolare dato informativa agli interessati del trattamento dei dati non raccolti presso di loro.
[23/04/2021]
Leggi la decisione.
ANSPDCP (Autorità garante rumena per la protezione dei dati)
Sanzionata persona fisica per aver pubblicato una lista di sostenitori ad un candidato sindaco sulla
propria pagina FB
Il Garante rumeno ha sanzionato un segretario generale della sezione di un partito politico rumeno per aver
pubblicato sulla propria pagina Facebook una lista di dati personali (nominativi, date di nascita, indirizzi
mail, idee politiche) riconducibili a 10 soggetti che sostenevano la candidatura a sindaco di Bucarest di un
membro del partito. L’Autorità ha ritenuto il segretario generale colpevole di aver violato l’articolo 32 del
GDPR, quindi di non aver implementato adeguate misure tecniche e organizzative a tutela della sicurezza
dei dati personali degli interessati. La sanzione irrogata, pari a 500 euro, è stata tutto sommato modesta.
[04/03/2021]
Leggi il comunicato.

TAG: privacy, videochat, GDPR, Trattamento dati personali, USA, Facebook, social media

Avvertenza
La pubblicazione di contributi, approfondimenti, articoli e in genere di tutte le opere dottrinarie e di
commento (ivi comprese le news) presenti su Filodiritto è stata concessa (e richiesta) dai rispettivi autori,
titolari di tutti i diritti morali e patrimoniali ai sensi della legge sul diritto d'autore e sui diritti connessi
(Legge 633/1941). La riproduzione ed ogni altra forma di diffusione al pubblico delle predette opere
(anche in parte), in difetto di autorizzazione dell'autore, è punita a norma degli articoli 171, 171-bis, 171-
ter, 174-bis e 174-ter della menzionata Legge 633/1941. È consentito scaricare, prendere visione, estrarre
copia o stampare i documenti pubblicati su Filodiritto nella sezione Dottrina per ragioni esclusivamente
personali, a scopo informativo-culturale e non commerciale, esclusa ogni modifica o alterazione. Sono
parimenti consentite le citazioni a titolo di cronaca, studio, critica o recensione, purché accompagnate dal
nome dell'autore dell'articolo e dall'indicazione della fonte, ad esempio: Luca Martini, La discrezionalità
del sanitario nella qualificazione di reato perseguibile d'ufficio ai fini dell'obbligo di referto ex. art 365
cod. pen., in "Filodiritto" (https://www.filodiritto.com), con relativo collegamento ipertestuale. Se l'autore
non è altrimenti indicato i diritti sono di Inforomatica S.r.l. e la riproduzione è vietata senza il consenso
esplicito della stessa. È sempre gradita la comunicazione del testo, telematico o cartaceo, ove è avvenuta
la citazione.

                                Filodiritto(Filodiritto.com) un marchio di InFOROmatica S.r.l
Puoi anche leggere