Abbiamo selezionato per voi le ultime flash news legate alla normativa privacy e al tema della sicurezza dei dati.

  • Commissione Europea denunciata per violazione della privacy
    La Commissione Europea è stata denunciata per violazione del Regolamento europeo in materia di trattamento dei dati personali da un cittadino tedesco supportato da un’associazione di consumatori “Europäische Gesellschaft für Datenschutz” (EuGD). L’oggetto del contendere è la gestione dei dati degli utenti europei, qualora essi siano trasferiti verso server extra UE (USA, in questo caso). Il cittadino, infatti, lamentava che per iscriversi al seminario “Conferenza sul futuro dell’Europa”, era necessario iscriversi tramite un portale dedicato, che però indicava come fornitore Amazon Web Services: in violazione della pronuncia della Corte di giustizia che, invalidando il Privacy Shield, ha generato un vuoto normativo per il trasferimento di dati negli Stati Uniti. Ma non solo, il portale consentiva anche il login tramite Facebook, una pratica abbastanza diffusa, ma che reitera lo stesso problema, trattandosi sempre di società americana. Quello del passaggio dei dati oltreoceano è una questione a dir poco dibattuta negli ultimi mesi. Il cittadino tedesco e l’EuGD stanno proseguendo con la propria azione per la cattiva gestione dei dati personali e la mancanza di informazione adeguata sul sito in questione. La decisione sul caso è prevista entro un anno e mezzo.
  • Attivato Registro pubblico delle opposizioni
    Da mercoledì 27 luglio 2022 sarà in vigore il nuovo Registro pubblico delle opposizioni promosso dal Ministero dello Sviluppo Economico per permettere ai cittadini di esprimere il proprio diritto di opposizione al marketing al fine di per non ricevere più chiamate promozionali anche sul proprio numero di cellulare da parte dei call center e materiale pubblicitario tramite posta cartacea. L’obiettivo del servizio, istituito con il DPR 178/2010 e aggiornato con il D.P.R. 149/2018 e pubblicato in Gazzetta Ufficiale n. 74 del 29 marzo 2022 è quello di porre un freno al telemarketing aggressivo verso i cittadini che ormai da anni sono destinatari di numerose chiamate commerciali indesiderate non solo sui numeri fissi ma anche sui cellulari. L’iscrizione al Registro vieta anche l’inoltro di documentazione promozionale cartacea via posta nonché il contatto per il compimento di ricerche di mercato. Inoltre, sul sito del Garante per la protezione dei dati personali sono rinvenibili moduli per effettuare segnalazioni di eventuali abusi posti in essere da aziende che operano nel settore del telemarketing. Nonostante, l’imminente scadenza, permangono numerose perplessità: incertezza sui costi a carico degli operatori per il costante aggiornamento delle liste, i volumi delle liste da sottoporre a controllo; come comportarsi in caso di cessione a terzi di liste di contatti. La lista di quesiti posti dal Mise all’Autorità Garante sarà un bel grattacapo.   Link al registro Registro Pubblico delle Opposizioni – Mise  
  • Nuove linee guida per l’attuazione del Fascicolo sanitario elettronico
    Con la recente pubblicazione delle nuove linee guida per Fascicolo Sanitario Elettronico (FSE) – 11 luglio 2022 –  prende attuazione l’importante investimento previsto nel Piano nazionale di ripresa e resilienza (PNRR), che mira a far divenire tale strumento un punto di accesso al servizio sanitario nazionale per cittadini nonché uno strumento per la gestione completa e corretta delle diagnosi e attività di cura dei propri assistiti da parte dei professionisti sanitari. Il Fascicolo sanitario elettronico si arricchisce, inoltre, di nuovi documenti che saranno validi sull’intero territorio nazionale. L’obiettivo principale è la tanto attesa uniformità dei servizi del FSE già esistenti per cittadini ed operatori sanitari su tutto il territorio nazionale e l’estensione del nucleo minimo di documenti obbligatori. Inoltre, prevedere l’evoluzione dell’infrastruttura di interoperabilità del FSE mediante la realizzazione di:
    • un indice nazionale;
    • di un’anagrafe nazionale degli assistiti e di una componente per l’acquisizione dei dati e documenti dai loro sistemi produttori;
    • di un sistema per il controllo ed il monitoraggio della qualità delle informazioni cliniche che alimentano il FSE;
    • di una metodologia per istituzionalizzare e governare i processi di standardizzazione a livello nazionale delle diverse dimensioni del FSE.
    Leggi l’atto completo
  • Ancora problemi privacy per Clearview AI.
    L’azienda Clearview AI, società che detiene il più grosso database di immagini personali, e nota per le ingiunzioni ricevute negli ultimi due anni da alcune Autorità di controllo, è nuovamente nel mirino. A seguito di una denuncia presentata dall’organizzazione Homo Digitalis, nel maggio 2021, l’Autorità ellenica per la protezione dei dati (HDPA) ha emesso il 13 luglio scorso, la decisione 35/2022 che impone una multa di 20 milioni di euro all’azienda statunitense. Con tale decisione l’Autorità ellenica, che eroga in tale sede la multa più alta mai comminata, vieta all’azienda di raccogliere e trattare dati personali degli interessati presenti in Grecia utilizzando i sistemi di riconoscimento facciale e ingiunge altresì a cancellare quelli già raccolti. Già nel 2021 l’Autorità di controllo francese, CNIL, aveva emesso l’ordinanza ingiunzione per la cancellazione di tutti i dati degli interessati francesi. Ad inizio 2022, l’autorità UK, (ICO) (che nonostante la Brexit mantiene saldi i principi GDPR anche grazie alla decisione di adeguatezza) ha irrogato una multa da 7.5 milioni di sterline mentre il Garante Privacy italiano comminava una sanzione da 20 milioni di euro rilevando che “I dati personali detenuti dalla società, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana. La società ha, inoltre, violato altri principi base del GDPR, come quelli relativi agli obblighi di trasparenza, non avendo adeguatamente informato gli utenti, di limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati online e di limitazione della conservazione, non avendo stabilito tempi di conservazione dei dati. L’attività di Clearview AI, pertanto, si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati”. Ricordiamo come anche per la Società statunitense trova applicazione il GDPR in quanto effettua un monitoraggio del comportamento delle persone presenti nel territorio europeo, ai sensi dell’art. 3, comma 2 lett b), del GDPR. Non ci resta che attendere le risposte di Clearview. Fatto sta che il tema del riconoscimento facciale continua ad essere un tema caldo soprattutto con l’avvento di tecnologie sempre più avanzate ed invadenti.
  • In arrivo un pacchetto di supporto GDPR per i commercialisti
    Molte categorie professionali, tra cui quella dei commercialisti, hanno riscontrato difficoltà nell’adeguamento agli adempimenti previsti dal GDPR. Il Consiglio nazionale dei dottori commercialisti, che già al momento dell’introduzione del Regolamento europeo sulla protezione dei dati personali aveva predisposto una chek-list privacy a cui gli ordini potevano attenersi, ha nuovamente preso a cuore la questione. Con l’informativa 62/22, pubblicata il 13 luglio 22, viene annunciato un pacchetto di supporti che consisterà nella messa a disposizione, gratuita, di:
    • una check-list per l’individuazione e la classificazione dei dati, delle attività di trattamento e delle finalità perseguite;
    • percorsi formativi per adempiere alla normativa in tema di protezione dei dati personali.
    Il Consiglio rileva come, ad oggi, gli ordini territoriali trovino difficoltà nell’adeguamento privacy in ragione del poco personale e dei numerosi adeguamenti normativi in ambito compliance.