Breaking news

 

 

 

La società americana Clearview Al sanzionata per riconoscimento facciale non lecito

Il Garante per la protezione dei dati personali ha imposto una sanzione di € 20.000.000,00 alla società americana Clearview AI, per aver messo in atto un vero e proprio monitoraggio biometrico anche di persone che si trovano nel territorio italiano. Clearview AI ha dichiarato di detenere un archivio di oltre 10.000.000 di volti di persone di tutto il mondo, estratte da fonti Web pubbliche, tramite web scraping (siti di informazione, social media e video on-line). I servizi offerti consistono nella ricerca altamente qualificata che, grazie a sistemi di intelligenza artificiale, consente la creazione di profili basati sui dati biometrici estratti dalle immagini, eventualmente arricchiti da altre informazioni ad esse correlate, come titolo e geolocalizzazione della foto, pagina web di pubblicazione. Diversamente da quanto la società ha dichiarato, il sistema permette di tracciare anche cittadini italiani e di persone collocate in Italia. I dati in possesso di Clearview Al, inclusi quelli biometrici e di geolocalizzazione, sono trattati illecitamente, senza un’adeguata base giuridica, che non può sicuramente essere il legittimo interesse della società americana. È stata anche contestata la violazione di altri principi fondamentali del GDPR: obblighi di trasparenza (informazioni sul trattamento dei dati), limitazione delle finalità del trattamento, avendo utilizzato i dati degli utenti per scopi diversi rispetto a quelli per i quali erano stati pubblicati e limitazione della conservazione, non avendo stabilito tempi di conservazione dei dati. L’attività di Clearview AI viola la riservatezza delle persone e il diritto alla non discriminazione. A seguito delle indagini che hanno rilevato queste violazioni, il Garante ha comminato una sanzione amministrativa di € 20.000.000,00 ed ha ordinato di cancellare tutti i dati relativi alle persone che si trovano in Italia. Ha, inoltre, obbligato ad astenersi da qualsiasi ulteriore raccolta e trattamento attraverso il sistema di riconoscimento facciale. Altra violazione è connessa alla mancata designazione di un rappresentante in territorio UE, che agisca in aggiunta o sostituzione del titolare statunitense, come prescritto dall’art. 27, comma 1, GDPR.

 

Aperta istruttoria sul sistema antivirus Kaspersky

È noto come uno fra i più diffusi sistemi antivirus ed è fornito dalla società russa Kaspersky Lab. L’antivirus è stato posto all’attenzione dell’autorità di controllo a seguito di una serie di segnalazioni allo scopo di approfondire gli allarmi lanciati da numerosi enti italiani ed europei specializzati in sicurezza informatica sul possibile utilizzo di quel prodotto per attacchi cibernetici contro utenti italiani. Il tutto si colloca nell’ambito della difficile situazione bellica Ucraina – Russia che stiamo vivendo. Il Garante ha intenzione di valutare i potenziali rischi relativi al trattamento dei dati personali degli utenti italiani effettuato dalla società russa che fornisce il software antivirus Kaspersky. Il Garante ha chiesto a Kaspersky Lab di fornire il numero e la tipologia di clienti italiani, nonché informazioni dettagliate sul trattamento dei dati personali effettuato nell’ambito dei diversi prodotti o servizi di sicurezza, inclusi quelli di telemetria o diagnostici. La società dovrà inoltre chiarire se, nel corso del trattamento, i dati siano trasferiti al di fuori dell’Unione europea (ad esempio nella Federazione Russa) o comunque resi accessibili a Paesi terzi. Kaspersky Lab dovrà anche indicare il numero di richieste di acquisizione o di comunicazione di dati personali, riferiti a interessati italiani, rivolte alla società da parte di autorità governative di Paesi terzi, a partire dal 1° gennaio 2021, distinguendole per Paese e indicando per quante di esse Kaspersky abbia fornito un riscontro positivo.

 

Meta Platforms Ireland Limited (ex Facebook Irlanda) sanzionata per violazioni a requisiti del GDPR

L’autorità di controllo irlandese (Data Protection Commission) ha comminato una sanzione amministrativa di € 17.000.000,00 una multa a Meta Platforms Ireland Limited (ex Facebook Irlanda) per violazioni del GDPR. La sanzione è stata inflitta dopo una serie di accertamenti ed indagini svoltisi già nel 2018, anche a seguito di notifiche di ben n. 12 (dodici) data breaches della stessa società occorsi tra giugno e dicembre 2018. I procedimenti erano volti a verificare soprattutto l’aderenza ai principi applicabili al trattamento (art. 5, GDPR), alle responsabilità dei titolari (art. 24, GDPR) e agli obblighi di sicurezza (art. 32, GDPR). L’autorità irlandese ha riscontrato che la società non aveva messo a punto misure organizzative e tecniche volte a garantire un’adeguata sicurezza dei dati da trattamenti non leciti o non autorizzati e dalla perdita, distruzione o dal danno accidentali (principi di “integrità e sicurezza” sanciti dall’art. 5, comma 1, lettera f, GDPR). Inoltre, è venuta meno al principio fondamentale di accountability (art. 5, comma 2, GDPR) che impone di essere in grado di dimostrare che il trattamento avviene conformemente ai principi applicabili al trattamento medesimo dei dati personali. E, se non bastasse, la società ha violato gli obblighi di sicurezza imposti dall’art. 32, GDPR, che si concretano nel mettere in atto misure tecniche ed organizzative adeguate a garantire un livello adeguato al rischio sui sono esposti i dati personali.

La decisione è stata presa in accordo con le altre autorità europee. Due di esse hanno sollevato alcune obiezioni, ma nel comunicato non vengono citati né i nomi né i motivi ma è probabile che abbiano chiesto una sanzione più elevata visto che la società fattura oltre $ 32 miliardi a trimestre e le sanzioni previste dal GDPR sono calcolate pari ad un massimo del 4% del fatturato.

Questa non è altro che una serie di sanzioni, l’ultima delle quali risale allo scorso settembre 2021: infatti, ha sofferto di un’ammenda di € 225.000.000,00 per il servizio di messaggistica WhatsApp, non avendo ottemperato agli obblighi di trasparenza (informazioni ex art. 13, GDPR) sul trattamento degli utenti. A seguito della decisione, WhatsApp ha dovuto modificare la propria privacy policy affinchè i dati degli utenti europei, condivisi con Meta Platforms Ireland Limited fossero trattati in conformità al GDPR.

 

Pubblicati alcuni Codici di Condotta approvati dal Garante italiano

L’autorità di controllo nazionale ha reso pubblico il Registro dei Codici di Condotta approvati sinora, come stabilito dall’art. 40, comma 6, GDPR che impone ai Garanti nazionali di registrare e pubblicare ogni Codice di Condotta che ha avuto il suo benestare.

Attenzione a non confondere i Codici di Condotta di cui all’art. 40, GDPR che non sono eventuali codici etici di settore che possono riguardare diversi aspetti di tipicità del settore stesso. I Codici di Condotta ai fini GDPR devono seguire un preciso iter di approvazione – o a livello nazionale o internazionale con coinvolgimento dell’European Data Protection Board (EDPD) – e rappresentano strumenti di grande importanza ai fini della corretta applicazione del GDPR, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Con questa consapevolezza, il Garante è impegnato nella promozione di una serie di iniziative volte ad incoraggiare l’elaborazione di Codici di Condotta da parte di diverse categorie di soggetti privati.

Il Registro, che raccoglie tutti i Codici di Condotta nazionali e transnazionali approvati, contiene gli elementi essenziali per rendere immediatamente visibile all’utente la tipologia dei trattamenti di dati personali regolati da tali Codici e anche un link che rinvia al sito web dell’Organismo di monitoraggio, al quale gli utenti possono rivolgersi per la risoluzione di eventuali reclami.

Il Registro sarà, dunque, in continua evoluzione. Nel seguito si dà notizia dei Codici di Condotta che sono stati approvati dal nostro Garante.

1. Codice di Condotta per il trattamento dei dati personali in materia di informazioni commerciali (tema coperto: informazioni commerciali)

2. Codice di Condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (tema coperto: sistemi informativi creditizi)

3. Codice di Condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica, esclusivamente per la Regione Veneto (tema coperto: sanità, ricerca, anonimizzazione).

A livello internazionale, l’EDPB ha approvato e incluso nel Registro dei Codici di Condotta soltanto codici afferenti, territorialmente, Austria, Germania (Codice per titolari e responsabili soggetti al GDPR), Olanda e Spagna (Codice per il trattamento di dati personali per fini di attività promozionali).

 

Per saperne di più, contattami.

 

Privacy Policy - Cookie Policy - Condizioni uso sito - Website map


Tiziana Minella - Via Vittoria Colonna, 32 - 10155 Torino (TO) - P.I. 03152590018 - mob. 366.4761338 - 338.6626635