Il Garante indaga su profilazione utenti e sistemi di tracciamento di Pornhub
Il Garante ha chiesto informazioni a MG Freesites Ltd, la società cipriota che gestisce il sito Pornhub, riguardo alla versione italiana del sito. Diversi i profili sui quali l’autorità di controllo intende fare luce, dopo il reclamo di un utente.
La società dovrà chiarire se effettua trattamenti di profilazione degli utenti e, in tal caso, con quali modalità e finalità. Per quanto riguarda l’uso di cookies e altri strumenti di tracciamento diversi da quelli tecnici, la società dovrà indicare la base giuridica del trattamento (sia per gli utenti che abbiano creato un account sulla piattaforma sia per quelli non autenticati), la tipologia e la natura dei dati eventualmente raccolti, nonché le modalità tecniche per raccogliere il consenso e quale informativa sia stata resa agli utenti.
MG Freesites dovrà inoltre chiarire se i dati raccolti siano comunicati a terzi, precisando gli eventuali destinatari e chiarendo se tale circostanza sia stata preventivamente resa nota agli utenti.
L’autorità di controllo ha anche chiesto quali misure siano state adottate per verificare l’età anagrafica degli utenti (che devono essere maggiorenni) e per consentire agli utenti l’esercizio dei diritti in materia di protezione dei dati personali. La verifica dell’età online è uno dei punti di maggiore preoccupazione e attenzione da parte del Garante, specie con la sempre più frequente utilizzazione (e nascita) di servizi online che dovrebbero essere riservati ad un pubblico adulto o, se utilizzati da minori, sotto la responsabilità dei genitori o titolari della responsabilità genitoriale.
La società ha 20 giorni per rispondere alle richieste del Garante.
La versione americana di Pornhub ha ideato una versione protetta del suo sito Web sul browser Tor. Questo server mirror rende più difficile monitorare le attività degli utenti e ha lo scopo di proteggere anche i membri della comunità LGBTQ, la cui sessualità è considerata un reato in alcuni Paesi. Il browser Tor nasconde l’identità e la posizione di un utente passando i dati attraverso una serie di computer intermedi. La crittografia avviene in ogni fase, rendendo difficile collegare un individuo specifico a una specifica attività di navigazione. Pornhub ha adottato anche altre misure per proteggere gli utenti. Nel 2018, la società ha introdotto una rete privata virtuale gratuita che gli utenti possono utilizzare per stabilire una connessione crittografata. Inoltre Pornhub accetta criptovalute come forma di pagamento non tracciabile.
Sviluppi sulle norme che regolano il trasferimento di dati tra UE e USA
Il 10 luglio 2023, la Commissione europea ha adottato la sua decisione di adeguatezza per il “Data Privacy Framework UE-USA”. La decisione di adeguatezza conferma che gli USA assicurano un adeguato livello di protezione – paragonabile a quello europeo – per il trasferimento di dati da entità europee a entità statunitensi che partecipano al Data Privacy Framework UE-USA. Una decisione di adeguatezza è uno strumento previsto dal GDPR per trasferire i dati personali dall’UE verso Paesi terzi che, a seguito di valutazione della Commissione, offrono un livello di protezione dei dati personali paragonabile a quello dell’UE. Come risultato della decisione, i dati personali possono passare liberamente e con sicurezza dal SEE (Sistema Economico Europeo), che include 27 stati membri dell’Unione europea e Norvegia, Islanda, Liechtenstein, a un Paese terzo, senza essere soggetti ad ulteriori condizioni o autorizzazioni. In altri termini, i trasferimenti verso Paesi terzi possono avvenire come i trasferimenti entro l’Unione europea. La decisione di adeguatezza Data Privacy Framework UE-USA copre i trasferimenti di dati da qualsiasi entità pubblica o privata europea verso entità statunitensi aderenti al Data Privacy Framework UE-USA. L’adeguatezza non implica che il Paese terzo abbia un identico sistema di protezione dei dati a quello europeo, ma deve incontrare il principio di “equivalenza essenziale”. Sottende una valutazione globale del quadro di protezione dei dati di un Paese, sia per la protezione applicabile ai dati sia per i meccanismi di controllo e di ricorso disponibili.
A seguito della decisione, le entità europee possono trasferire i dati personali a entità statunitensi aderenti al Data Privacy Framework UE-USA senza dover adottare ulteriori garanzie di protezione dei dati.
Le entità statunitensi possono certificare la loro partecipazione al Data Privacy Framework UE-USA impegnandosi a rispettare una serie dettagliata di obblighi in materia di data protection. Questo include, per esempio, i principi di limitazione delle finalità di trattamento, minimizzazione dei dati e termini di conservazione dei dati, così come specifici obblighi relativi alla sicurezza e alla comunicazione dei dati a terzi.
Relazione annuale del Garante: l’attività del 2022
Lo scorso 06 luglio, il Garante ha presentato la relazione della propria attività annuale del 2022. Il 2022 ha segnato il 25° anniversario della istituzione del Garante e dell’introduzione in Italia della legge sulla protezione dei dati personali.
Il 2022 ha visto una serie di interventi centrati sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; l’economia fondata sui dati; le grandi piattaforme e la tutela dei minori, i sistemi di age verification; i big data; l’intelligenza artificiale generativa, il Metaverso e le problematiche poste dagli algoritmi; gli scenari tracciati dalle neuroscienze; la sicurezza dei sistemi e la protezione dello spazio cibernetico; la monetizzazione delle informazioni personali; i fenomeni del revenge porn, del cyberbullismo, dello sharenting, del social scoring.
Significativo è stato il numero dei data breach notificati nel 2022 al Garante da parte di soggetti pubblici e privati: 1351. Nel settore pubblico (31,2% dei casi), le violazioni hanno riguardato soprattutto Comuni, istituti scolastici e strutture sanitarie, nel settore privato (68,8% dei casi) sono stati coinvolte sia PMI e professionisti che grandi società del settore delle telecomunicazioni, energetico bancario e dei servizi. Nei casi più gravi sono stati adottati provvedimenti di tipo sanzionatorio.
Sul fronte della tutela dei consumatori il Garante è intervenuto con decisione contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni, la maggior parte delle quali riguardano l’utilizzo senza consenso dei dati degli abbonati. L’attività di accertamento ha consentito di fare emergere un vero e proprio “sottobosco” di sub-fornitori, che operano spesso in condizioni di illegittimità. Ha approvato il Codice di condotta per il telemarketing. Si ricorda che le regole entreranno in vigore una volta costituito l’Organismo di monitoraggio. Sotto la lente del Garante anche il cosiddetto spoofing, ossia l’effettuazione di chiamate promozionali indesiderate realizzate attraverso il camuffamento del numero chiamante.
Nel mondo del lavoro, il Garante ha affiancato l’attività di tipo correttivo a quella consultiva. Ha sanzionato, in particolare, l’accesso del datore di lavoro alla e-mail dell’ex dipendente e la rilevazione biometrica delle presenze da parte di una società sportiva. Ed ha inoltre chiarito come il lavoratore abbia diritto di conoscere i parametri utilizzati per programmare i sistemi automatizzati di valutazione delle prestazioni.
Qualche numero:
- Nel 2022 sono stati adottati 442 provvedimenti collegiali.
- Il Garante ha fornito riscontro a 9.218 reclami e segnalazioni riguardanti, tra l’altro il marketing e le reti telematiche; i dati online delle Pubbliche Amministrazioni; la sanità; la sicurezza informatica; il settore bancario e finanziario; il lavoro.
- I pareri resi dal Collegio su atti normativi e amministrativi sono stati 81 ed hanno riguardato la digitalizzazione della Pubblica Amministrazione; la sanità; il fisco; la giustizia; l’istruzione; funzioni di interesse pubblico.
- Le comunicazioni di notizie di reato all’autorità giudiziaria sono state n. 5 e hanno riguardato violazioni in materia di controllo a distanza dei lavoratori e falsità nelle dichiarazioni e notificazioni al Garante.
- I provvedimenti correttivi e sanzionatori sono stati 317.
- Le sanzioni riscosse sono state di circa 9.500.000,00 euro.
- Le ispezioni effettuate nel 2022 sono state n. 140, quasi triplicate rispetto a quelle dell’anno precedente in cui ancora si subiva l’impatto dell’emergenza pandemica. Gli accertamenti svolti, anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato diversi settori, sia nell’ambito pubblico che privato: in particolare, telemarketing, cloud pubblico, siti web ed uso dei cookie, videosorveglianza, anche sul posto di lavoro. Effettuate le verifiche periodiche al VIS (Visa Information System), il sistema sui visti d’ingresso nello spazio Schengen.
- Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 16.400 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del GDPR e all’attività dei Responsabili del trattamento, seguiti dalle questioni legate al telemarketing indesiderato; al rapporto di lavoro pubblico e privato; alla videosorveglianza; alle problematiche poste dal web; alla salute e alla ricerca;
- Anche l’accesso al sito del Garante è stato significativo: 4.300.00 visite.
- Per quanto riguarda l’attività di informazione e comunicazione istituzionale, nel 2022, il Garante ha diffuso 71 comunicati stampa, 13 Newsletter, realizzato 9 campagne informative, e prodotto 27 spot istituzionali su temi di maggiore interesse per il pubblico, di cui 18 diffusi sui canali Rai Radio e TV e 9 sul web e sui social media.
No al web scraping per formare elenchi telefonici
Il fenomeno del web scraping è diffuso ma – come tutti sanno – è illecito. Il Garante, ribadendo il concetto, ha emanato un provvedimento sanzionatorio di 60.000,00 euro al titolare del sito www.trovanumeri.com (signor Fabio Petta). La sanzione amministrativa deriva dalla contestazione della costituzione e diffusione online di un elenco telefonico formato attingendo i dati tramite web scraping (ricerca automatizzata nel web). L’attuale normativa non consente la creazione di elenchi telefonici generici che non siano estratti dal DBU (data base unico che contiene numeri telefonici e dati identificativi dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile). Il titolare del sito non aveva un’idonea base normativa per trattare i dati, sul sito mancavano le indicazioni per rivolgersi al titolare del trattamento come pure assente risultava la possibilità di ottenere la cancellazione dei dati in caso di mancato funzionamento dell’apposito form. Anche nella breve informativa privacy pubblicata, non era indicato l’intestatario del sito, la cui identificazione ha richiesto lunghe indagini. Il Garante ha dichiarato dunque illecita la raccolta, la conservazione e la pubblicazione dei dati personali ed ha comminato una sanzione di 60.000,00 euro. La ditta individuale aveva già subito una sanzione nel 2022 per una violazione analoga. Nel definire l’ammontare dell’ammenda si è tenuto conto della gravità della violazione, dell’elevato numero di soggetti i cui dati sono stati pubblicati (circa 26 milioni di utenti), della durata della violazione e del carattere doloso della condotta dell’intestatario. Quale unica attenuante, il Garante ha considerato le dimensioni economiche del titolare, che riveste è piccolo imprenditore.
Sanzionato il Gruppo Benetton per illecito trattamento di dati personali di possessori di fidelity card
Sanzione amministrativa di 240.000,00 euro per il Gruppo Benetton scaturita da trattamento illecito di dati personali di un numero rilevante di clienti ed ex clienti. Le violazioni più gravi riscontrate sono state l’assenza di adeguate misure di sicurezza e la conservazione senza limiti temporali di dati personali ai fini di marketing e di profilazione. I dati dei clienti venivano raccolti attraverso l’iscrizione al servizio e-commerce, al programma fedeltà e alla newsletter promozionale.
Le ispezioni del Garante hanno accertato che la società conservava i dati raccolti tramite le fidelity card – inclusi i prodotti acquistati dal 2015, i dettagli degli scontrini e i punti accumulati – anche degli ex clienti: tutte informazioni usate per data enrichment e profilazione. Carenze anche in termini di sicurezza, poiché le banche dati, presenti in n. 7 (sette) Paesi europei, erano accessibili da qualunque dispositivo connesso alla rete Internet (PC, smartphone, tablet), tramite un’unica password e un unico account.
Anche il banner cookies è stato oggetto di contestazione: informava su quelli propri e di terze parti (tecnici, marketing e profilazione) ma senza possibilità di effettuare le proprie scelte. Il testo esteso delle informazioni ex art. 13, GDPR sui cookies, peraltro, non indicavano quelli di profilazione invece citati nel banner, ma soltanto quelli di marketing diretto, di marketing e retargeting di terzi.
Contrariamente a quanto indicato nel registro dei trattamenti (art. 30, GDPR) e nelle informazioni rilasciate al cliente per l’adesione ai programmi fedeltà (in base al quale il tempo di conservazione dei dati indicato sarebbe limitato a n. 2 (due) anni in relazione sia al marketing che alla profilazione), nei gestionali utilizzati dalla società sono risultati presenti dati personali dei clienti, titolari della carta fedeltà, unitamente alle informazioni relative agli acquisti a far data dall’anno 2015, nonché dati di dettaglio degli scontrini, dei punti, del prodotto venduto anche con riferimento a soggetti che non hanno espresso il consenso alla profilazione.
Inoltre, era stata indirizzata una comunicazione di marketing a n. 4.259 consumatori iscritti al Programma Fedeltà il cui consenso all’invio di comunicazioni di marketing era antecedente alla data di disiscrizione dal servizio di newsletter on-line e quindi anche dopo la revoca del consenso alla ricezione di comunicazioni promozionali.
La sanzione è stata determinata considerando l’elevato numero degli interessati e la notevole durata delle violazioni, nonché la reiterazione delle violazioni nonostante i vari e successivi provvedimenti dell’autorità di controllo. Altro parametro che ha contribuito alla definizione della sanzione è stata la disponibilità economica del Gruppo Benetton. La società dovrà, inoltre, cancellare o anonimizzare i dati degli ex clienti risalenti a più di n. 10 (dieci) anni (fatti salvi i contenziosi in atto) e predisporre adeguate soluzioni organizzative e misure di sicurezza volte ad assicurare la corretta conservazione dei dati dei clienti e degli ex clienti nel rispetto dei principi di finalità e minimizzazione del GDPR.
Per saperne di più, contattami.