Osservatorio Europeo Privacy

Il nuovo Reg. UE 2016/679 ha senza dubbio aperto una nuova era nella protezione dei dati: i titolari sono infatti chiamati oggi a gestire i loro dati con un approccio proattivo fondato sull’analisi del rischio e sul principio dell’accountability.

Si è aperto quindi un nuovo modo di guardare i propri dati e di trovare delle soluzioni giuridiche, organizzative e informatiche.

Trattandosi poi di una fonte normativa europea, non è più sufficiente ragionare solo a livello locale, ma occorre considerare anche quanto succede negli altri paesi dell’Unione Europea rispetto a novità normative, interpretazioni e casi applicativi, sanzioni.

Per questo motivo abbiamo pensato di istituire un Osservatorio europeo della privacy, in cui saranno pubblicate in ordine cronologico le notizie più rilevanti in materia di protezione dei dati, al fine di poter essere aggiornati su quanto accade nel teatro comunitario.

USA: Zoom sotto inchiesta per problemi relativi alla privacy

1 Aprile 2020
Il Procuratore di New York ha avviato un'inchiesta nei confronti dell'app di videoconferenza Zoom che porrebbe problemi di privacy, soprattutto per quanto riguarda la possibilità per gli hacker di inserirsi facilmente nelle conversazioni inviando materiale violento o pornografico. L'FBI e il Procuratore generale di NY hanno così deciso di avviare un'indagine per capire se l'applicazione utilizza misure sufficienti per tutelare la privacy e i dati personali degli utenti.



UE: dichiarazione congiunta sulla compatibilità dei principi di data protection con la tutela della salute

30 Marzo 2020
Il Consiglio d’Europa, in maniera analoga alla posizione adottata dall’EDPB in merito di coronavirus e privacy, ribadisce in primo luogo che il quadro normativo vigente (nello specifico, la Convenzione 108 e la sua versione modernizzata “Convenzione 108+”) stabilisce standard elevati per la protezione dei dati personali compatibili con un’efficace tutela di altri diritti, incluso quello alla salute pubblica ed individuale.



UE: raccomandazioni dell'ENISA sullo smartworking

24 Marzo 2020
L'ENISA, l'Agenzia Europea per la cybersecurity, ha pubblicato alcune raccomandazioni per datori di lavoro e lavoratori per la gestione dello smartworking nel periodo di emergenza sanitaria, soprattutto con riferimento all'attenzione alla sicurezza informatica.



Islanda: multa di circa € 20.000 per data breach relativo a dati sanitari

11 Marzo 2020
Il Garante islandese ha comminato un'ammenda di 3.000.000 di ISK (circa 20.000 euro) all'organizzazione S.Á.Á per una violazione della sicurezza ai sensi dell'articolo 5 (1) (f) e dell'articolo 32 del GDPR. La violazione della sicurezza si è originata quando è stata recapitata a un ex dipendente una scatola che avrebbe dovuto contenere i suoi effetti personali, ma conteneva invece una notevole quantità di informazioni sensibili sui pazienti. La violazione ha comportato la divulgazione dei nomi di 3.000 pazienti e cartelle cliniche dettagliate di 252 individui.



Italia: parere del Garante sulla modalità di consegna della ricetta elettronica

11 Marzo 2020
Il Garante dà parere positivo rispetto alle modalità alternative di consegna del "promemoria dematerializzato" della ricetta medica, proposte alla luce dell'emergenza sanitaria che, con misure adeguate a tutela dei dati personali degli assistiti, siano valide su tutto il territorio nazionale e alle quali le regioni e le province autonome dovranno adeguarsi.



UE: EDPB rilascia dichiarazione ufficiale sull'epidemia COVID-19

19 Marzo 2020
Il Comitato europeo per la protezione dei dati pubblica una dichiarazione ufficiale sull'emergenza COVID-19 rispondendo ad alcune domande comuni e sottolineando come i principi di data protection e il GDPR non ostacolino la gestione della pandemia. L'EDPB ricorda tuttavia che anche in contesto emergenziale, i titolari e responsabili del trattamento devono trattare i dati in piena liceità e che le misure straordinarie devono comunque rispettare il principio di proporzionalità e avere durata limitata all'emergenza stessa. 



Svezia: l'Autorità multa Google per mancato rispetto del diritto all'oblio

11 Marzo 2020
L'Autorità svedese per la protezione dei dati ha comminato una multa di circa 7 milioni di euro a Google, dopo aver verificato tramite un audit, che la compagnia non garantiva completamente il diritto degli individui di vedere rimossi i risultati collegati al proprio nome dal motore di ricerca. Google infatti, all'atto di rimuovere il risultato di ricerca, avvisava il sito in questione della rimozione, il quale poteva così pubblicarlo nuovamente, vanificando l'intervento. Google ha ora 3 settimane per fare ricorso rispetto alla sanzione.



Italia: più tutele privacy nei bandi del settore sanitario

6 marzo 2020

Novità per il settore sanitario: alcuni bandi di gara riguardanti l'acquisto di apparecchiature e dispositivi medici saranno modificati per renderli maggiormente conformi alla disciplina sulla privacy e assicurare maggiori tutele per i dati dei pazienti, ad esempio introducendo l'impossibilità per il fornitore, che esegue un'attività di manutenzione a distanza dell'apparecchio, di accedere direttamente ai dati anagrafici dei pazienti presenti nelle immagini diagnostiche. È questo il risultato della collaborazione avviata tra il Garante per la protezione dei dati personali e la Consip.



Italia: prescritte misure urgenti per la sicurezza del servizio PEC

6 Marzo 2020
A seguito delle vulnerabilità riscontrate nel corso di un'ispezione, l'Autorità prescrive ad Aruba l’implementazione di misure per la messa in sicurezza del proprio servizio di posta elettronica certificata, che gestisce oltre sei milioni di caselle. Le misure prescritte permetteranno al gestore di garantire la sicurezza dei dati degli interessati proteggendoli da furti di identità e altri gravi rischi collegati a all'utilizzo improprio di dati personali.



Italia: sanzionate due scuole per pubblicazione dati non necessari dei docenti

6 Marzo 2020
Il Garante italiano ha sanzionato due Licei della Regione Campania per aver pubblicato illecitamente sul proprio sito web, nelle graduatorie dei docenti, informazioni non necessarie e dati sulla salute. La divulgazione ha riguardato 2000 individui in una scuola e 1500 nell'altra, e comprendeva codici fiscali, indirizzi di residenza, recapiti telefonici, indirizzi e-mail, numero di figli, oltre che, in alcuni casi, dati sulla salute.



Polonia: scuola multata per utilizzo dati biometrici di studenti

5 Marzo 2020
Il Garante polacco ha comminato una multa di 20.000 PLN a una scuola che utilizzava i dati biometrici degli studenti (impronte digitali) per gestire l'accesso alla mensa scolastica, senza una valida base giuridica. La finalità del trattamento sarebbe infatti potuta essere raggiunta facilmente con misure meno invasive, tra l'altro già presenti nella scuola, come l'uso di card elettroniche oppure il fornire il proprio nome e numero identificativo. Tra le conseguenze del trattamento, inoltre, si è verificata un'evidente discriminazione degli studenti che utilizzavano i dati biometrici, i quali potevano entrare per primi nella mensa.



UK: compagnia aerea sanzionata per mancata tutela dei dati dei clienti

4 Marzo 2020
La compagnia aerea Cathay Pacific ha ricevuto una multa di £500.000 per non aver protetto con adeguate misure di sicurezza i dati dei propri clienti (più di 110.000 appartenenti a cittadini UK e altri 9,4 milioni di viaggiatori da tutto il mondo), i quali hanno subito accesso non autorizzato in seguito a un attacco hacker. I dati in questione erano nomi, dettagli di documenti di identità e passaporti, date di nascita, indirizzi postali e mail, numeri di telefono e storico dei viaggi. 



UK: azienda scozzese riceve £500.000 di multa per chiamate indesiderate

2 Marzo 2020
L'ICO ha imposto una multa di £500.000 a un'azienda scozzese, per aver effettuato circa 193 milioni di chiamate indesiderate. Le chiamate sono state effettuate in "spoofing", ovvero impedendo alle persone che ricevevano la chiamata di conoscere l'identità dei chiamanti. La compagnia avrebbe consapevolmente violato la legge, non solo non disponendo di un consenso valido degli interessati e non adottando misure con cui potessero revocarlo, ma avrebbe tentato di sottrarsi alle indagini non fornendo dati di contatto aggiornati e spostando la propria sede all'estero. Per queste ragioni, l'Autorità ha deciso di imporre la massima sanzione prevista dalla normativa.



Italia: Coronavirus, il Garante Privacy dice no a iniziative "fai da te" nella raccolta dei dati 

2 Marzo 2020
Il Garante privacy si esprime sulle attività di raccolta di dati che diversi enti pubblici e privati hanno effettuato nelle ultime settimane in merito alla presenza di sintomi da nuovo Coronavirus e degli ultimi spostamenti dei lavoratori. L'Autorità sottolinea che i datori di lavoro devono astenersi dal raccogliere, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.



UE: adottate le Linee Guida sul trattamento dei dati tramite dispositivi video

26 Febbraio 2020
L'EDPB ha pubblicato le "Guidelines 3/2019 on processing of personal data through video devices", le quali contengono precisazioni teoriche ed esempi pratici relativi al trattamento di dati personali derivanti da dispositivi video.



Olanda: l'Autorità avvia un'indagine sui fornitori dei servizi d'informazione

24 Febbraio 2020
L'Autorità olandese per la protezione dei dati ha comunicato di aver avviato un'indagine rispetto alle aziende olandesi che possiedono un'autorizzazione PSD2 per accedere e processare informazioni relative agli account di pagamento, chiamate 'account information service providers' or AISPs. L'Autorità vuole verificare se queste compagnie sono consapevoli dei rischi relativi al trattamento di tali informazioni e se stanno operando in conformità alla normativa sulla protezione dei dati, come il GDPR. 



UE: ENISA pubblica le linee guida sulla cybersecurity per gli ospedali

24 Febbraio 2020
Le linee guida predisposte dall'ENISA trattano il tema della sicurezza informatica per gli ospedali quando acquistano servizi, prodotti e infrastrutture; la cybersecurity infatti deve essere integrata olisticamente nei vari processi, componenti e fasi che influenzano l'ecosistema ICT. All'interno delle linee guida vengono elencate le buone prassi, legate ai tipi di approvvigionamento per cui sono rilevanti e alle minacce che possono mitigare, fornendo un insieme di pratiche facili da utilizzare per gli ospedali.



UE: argomenti trattati nella 18esima sessione plenaria del Comitato europeo per la protezione dei dati

20 Febbraio 2020
Il Comitato europeo per la protezione dei dati (EDPB) e le autorità di controllo del SEE hanno contribuito alla valutazione e al riesame del GDPR, come previsto dall'articolo 97 dello stesso; di cui si è valutata non necessaria la revisione del regolamento in questa fase storica. l'EDPB ha anche adottato linee-guida per fornire ulteriori chiarimenti in merito all'applicazione dell'articolo 46.2, lettera a), e dell'articolo 46.3, lettera b) sui trasferimenti di dati personali da autorità o organismi pubblici del SEE verso organismi pubblici di paesi terzi od organizzazioni internazionali. Alla luce della fusione tra Google LLC e Fitbit, l'EDPB si è espressa sulla necessità di condurre delle analisi relative all'impatto di delle fusioni societarie sul diritto alla privacy e alla protezione dei dati degli interessati.



Malta: Lands Authority multata per data breach

18 Febbraio 2020
L'Autorità maltese per la protezione dei dati (Information and Data Protection Commissioner), ha erogato una multa di 5000 euro alla Lands Authority, in seguito ad accertamento di un data breach originatosi dalla piattaforma online sul portale dell'Authority, causato dalla non adozione di adeguate misure tecniche ed organizzate atte a garantire la sicurezza del trattamento.



Irlanda: il comunicato sulla funzione Dating di Facebook

12 Febbraio 2020
Il DPA irlandese ha fatto sapere tramite un comunicato sul proprio sito di essere stato contattato da Facebook Ireland il 3 febbraio per comunicare le proprie intenzione rispetto all'introduzione di una nuova funzione Dating in data 13 febbraio. L'Autorità non avrebbe ricevuto informazioni e documentazione dettagliata rispetto all'esecuzione di una DPIA, e ha ispezionato gli uffici di Facebook Ireland il 10 febbraio per raccogliere informazioni. L'11 febbraio, Facebook avrebbe informato l'Autorità di aver deciso di posporre l'uscita id questa nuova funzionalità.



Germania: l'Autorità ha lanciato una consultazione pubblica sull'anonimizzazione

10 Febbraio 2020
L'Autorità privacy tedesca, (BfDI) ha lanciato una procedura di consultazione pubblica che invita a formulare osservazioni su un documento della BfDI che tratta l'anonimizzazione dei dati personali ai sensi del GDPR, con particolare attenzione al settore delle telecomunicazioni. Nello specifico, il documento rimarca che il GDPR non si applica ai dati anonimizzati, ma non è chiaro in quali circostanze i dati possono essere considerarsi completamente anonimizzati, e se l'anonimizzazione costituisca una tipologia di trattamento dati, che in quanto tale, richiederebbe una base legale.



Italia: il piano ispettivo del Garante per il semestre gennaio-giugno 2020

6 Febbraio 2020
Il Garante italiano per la protezione dei dati personali ha pubblicato una deliberazione in cui comunica su quali enti si concentrerà la sua attività ispettiva nel periodo gennaio-giugno 2020. Tra gli altri, i trattamenti dati degli Enti pubblici relativamente alla c.d. medicina di iniziativa, società multinazionali operanti nel settore farmaceutico e sanitario, servizi bancari online, intermediari per i servizi di fatturazione elettronica, società che trattano dati per attività di marketing.



Italia: la Polizia Territoriale può infliggere sanzioni privacy?

4 Febbraio 2020
La Polizia locale di San Salvario Cavoretto Borgo Po (Provincia di Torino) ha recentemente comminato una sanzione del valore di 12.000 euro nei confronti di un piccolo commerciante, che avrebbe installato due videocamere di sorveglianza senza fornire adeguata informativa. In realtà, l'articolo 166 del D.lgs. 196/2003 novellato parla chiaro sulla competenza esclusiva del Garante come organo preposto ad adottare provvedimenti correttivi in materia di protezione dei dati, che può tutt'al più essere affiancato nelle sue attività dal Nucleo Speciale Privacy della Guardia di Finanza.



Italia: sanzione di 27,8 milioni a Tim

1 Febbraio 2020
Il Garante italiano ha irrogato una sanzione di 27, 8 milioni di euro a TIM SpA per aver effettuato trattamenti illeciti di dati nei confronti di milioni di persone. Tra le violazioni, l’Autorità ha accertato che i call center incaricati da Tim avevano in molti casi contattato gli interessati senza il loro consenso. Nella gestione delle app, sono emerse informazioni poco chiare e fuorvianti per i clienti e anche nella gestione del data breach le procedure di Tim non hanno superato l'ispezione. Oltre la pesante sanzione, il Garante ha anche imposto 20 misure correttive tra divieti e prescrizioni.



UE: pubblicate in consultazione le linee guida EDPB sui veicoli connessi

28 Gennaio 2020
L'EDPB ha pubblicato le Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications, ovvero le Linee Guida sul trattamento dei dati personali nell'ambito dei veicoli connessi e delle relative applicazioni per la mobilità. Le linee guida saranno in consultazione pubblica fino al 20 marzo 2020.



Italia: ospedale risarcisce un interessato per averne erroneamente pubblicato i dati sanitari sul sito

24 Gennaio 2020
Un avvocato ha visto pubblicati sul sito dell'Ospedale Villa Sofia-Cervello di Palermo alcuni suoi dati sensibili, che sarebbero stati caricati per errore. L'individuo ha intentato una causa all'azienda sanitaria e riceverà un risarcimento di 15.000 euro (a fronte dei 200.000 euro della richiesta iniziale).



UE: il Garante privacy chiede una task force europea per Tik Tok

24 Gennaio 2020
Il Garante italiano, in seguito ad alcune segnalazioni arrivate circa il social network Tik Tok, ha chiedo a EDPB, il Comitato Europeo per la protezione dei dati, di istituire una task force per avviare delle indagini condivise. Il Garante segnala dunque ai partner europei la necessità di procedere in maniera forte e coordinata, anche in considerazione della delicatezza e della rilevanza di questo tipo di piattaforme, utilizzate soprattutto dalle fasce di utenti più giovani e dai minori.



Germania: le impostazioni predefinite di Facebook non costituiscono consenso valido

24 Gennaio 2020
Il più alto Tribunale di Berlino ha stabilito, con sentenza del 24 gennaio in seguito a reclamo della Federal Consumer Association (vzbv), che Facebook viola la normativa sulla protezione dei dati. In particolare rispetto al consenso informato, la Corte ha ritenuto che, la trasmissione delle informazioni geolocalizzazione degli utenti a partner terzi, o l'utilizzo dell'immagine di profilo a fini commerciali, sono impostazioni che non possono essere predefinite poichè necessitano di specifico consenso.



UK: pubblicata una bozza di guida per la spiegazione delle decisioni prese dall'AI agli interessati

24 Gennaio 2020
L'ICO e The Alan Turing Institute hanno pubblicato la guida "Explaining decisions made with AI". Questa guida, divisa in 3 parti ha lo scopo di fornire alle organizzazioni consigli pratici per aiutare a spiegare i processi, i servizi e le decisioni fornite o assistite dall'IA, alle persone interessate. Le consultazioni pubbliche si sono concluse il 24 gennaio.



Italia: sanzionata Azienda Ospedaliero Universitaria per accesso indebito a dossier sanitari

23 Gennaio 2020
Il Garante privacy ha fatto sapere tramite comunicato stampa, di aver erogato una sanzione di 30.000 euro e di aver imposto delle misure correttive all'Azienda Ospedaliero Universitaria Integrata di Verona, che aveva comunicato al Garante tre accessi non autorizzati a dossier di pazienti-dipendenti della struttura da parte di altri dipendenti. La violazione dei dati personali pare aver riguardato un accesso effettuato "per mera curiosità" e sarebbe stato accertato in occasione dei controlli periodici effettuati dall'Azienda stessa, la quale ha annunciato di voler implementare filtri di accesso più stringenti.



Italia: il Garante pubblica un modello di reclamo per gli interessati

21 Gennaio 2020
Il Garante privacy ha pubblicato sul proprio sito un approfondimento sulla procedura di presentazione del reclamo da parte degli interessati, in cui viene spiegato lo strumento, le modalità di presentazione e viene fornito un modello di reclamo all'Autorità Garante in formato .docx e .pdf.



Belgio: l'Autorità pubblica una raccomandazione sul marketing diretto

17 Gennaio 2020
Anche l'Autorità belga per la protezione dei dati pubblica, come già aveva fatto quella inglese, una raccomandazione sul trattamenti di dati personali a fini di marketing diretto.



Italia: sanzione di 11,5 milioni a ENI Gas e Luce

17 Gennaio 2020
Il Garante italiano ha emesso una sanzione complessiva di 11,5 milioni a ENI Gas e Luce per attiivtà di telemarketing e teleselling illecito (8,5 milioni euro) e per l'attivazione di contratti indesiderati (3 milioni euro). Per quanto riguarda la prima sanzione, sono stati riscontrate telefonate pubblicitarie effettuate senza il consenso degli utenti, assenza di misure tecnico organizzative per registrare le manifestazioni di volontà degli stessi, e acquisizioni illecite di dati di utenti da parte di terze parti.



Francia: CNIL propone raccomandazione su cookie e tecnologie di tracciamento

14 Gennaio 2020
La CNIL, Autorità data protection francese, ha avviato una consultazione pubblica sul progetto di raccomandazioni pratiche su cookie e tecnologie di tracciamento. Lo scopo è di chiarire agli operatori che utilizzano questo tipo di tecnologia, le modalità conformi al GDPR per ottenere il consenso dell'utente, e specialmente, come conciliare i requisiti di chiarezza e concisione da un lato e la completezza delle informazioni, dall'altro. La raccomandazione è in pubblica consultazione fino al 27 febbraio 2020.



UK: retailer riceve 500.000 sterline di multa per misure di sicurezza carenti

9 Gennaio 2020
Sanzione da 500.000 sterline a DSG Retail Limited (DSG), per carenza di misure di sicurezza. È stata infatti rilevata la violazione di dati (tra cui nomi e cognomi, codici postali, indirizzi e-mail, e dati di carte utilizzate per le transazioni) di circa 14 milioni di persone, provocata da un attacco informatico collegato all'installazione di un malware su migliaia di casse nei negozi della società.



USA: accordo da $7,5 milioni per Google+ in seguito a class action

8 Gennaio 2020
Google LLC ha accettato di pagare 7,5 milioni di dollari per chiudere la class action contro la paittaforma Google+, il prodotto che è stato messo offline dalla casa madre ad aprile 2019. A ottobre e dicembre 2018 Google aveva riconosciuto che alcuni bug nella sua piattaforma avevano potenzialmente esposto le informazioni di profilo degli utenti a terzi non autorizzati, inclusi nome, genere, indirizzi email, posizione lavorativa e luoghi di domicilio, anche se non sembra che i dati siano stati violati.



Spagna: Vodafone riceve sanzione di 44.000 euro per trattamento illegittimo dei dati personali di una cliente

7 Gennaio 2020
L'AEPD ha imposto a Vodafone Spagna il pagamento di una sanzione di 44.000 euro per la violazione dell'art. 5 GDPR, nello specifico dei principi di integrità e confidenzialità. La procedura ha avuto avvio da un reclamo di un privato, che lamentava che la società avesse inviato il contratto di telefonia stipulato, presso il domicilio di un terzo, contenente la copia cliente del contratto, recante i dati personali della cliente, le condizioni generali della tariffa applicata e le condizioni di recesso.



UK: ICO pubblica la bozza del codice di comportamento per il direct marketing 

8 Gennaio 2020
L'ICO ha rilasciato una bozza di codice di comportamento per il direct marketing per promuovere le buoni prassi del trattamento dati in conformità al GDPR e alla Direttiva e-Privacy.



UE: sanzioni delle Autorità europee, l'Italia prima per numero di provvedimenti

7 Gennaio 2020
Secondo una ricerca svolta dall'Osservatorio di Federprivacy, nel 2019 sono stati comminati 410 milioni di euro di sanzioni dalle 30 Autorità europee. I procedimenti sono stati 190, con l'Italia prima per numero di provvedimenti (30), nonostante il Collegio del Garante si trovi in regime proroga da 6 mesi con poteri di gestione dell'ordinaria amministrazione e degli affari urgenti. l'Autorità più severa è risultata invece quella del Regno Unito, che a fronte di un numero minore di provvedimenti, ha erogato multe per 312 milioni di euro.



UE: il parere preliminare EDPS su protezione dei dati e ricerca scientifica

6 Gennaio 2020
L'EDPB ha pubblicato il "Preliminary Opinion on data protection and scientific research" che ha lo scopo di chiarire agli operatori del settore come il GDPR si applica alla ricerca scientifica. Dopo aver definito cosa comprende la nozione di ricerca scientifica, il documento affronta, tra gli altri, il tema del trattamento dati nella ricerca medica e nelle sperimentazioni cliniche.



UE: la bozza della posizione del Consiglio dell'UE sull'applicazione del GDPR

26 Dicembre 2019
Il Consiglio dell'Unione Europea ha pubblicato una bozza della posizione relativa all'applicazione del GDPR, come parte del processo di valutazione del Regolamento. Il documento riconosce che c'è stato un rafforzamento dei diritti degli interessati, ma sottolinea che alcuni temi devono essere meglio affrontati, tra cui: ambito di applicabilità del GDPR, consenso dei minori, trasferimenti di dati, rappresentanti UE, nuove tecnologie.



UK: farmacia riceve sanzione per conservazione negligente dei dati

20 Dicembre 2019
L'ICO ha sanzionato una farmacia che aveva conservato circa 500.000 documenti contetenti dati appartenenti a categorie particolari in maniera negligente. I documenti contenevano, oltre a indirizzi e generalità, anche informazioni mediche, ricette e numero HNS (che identifica il soggetto rispetto al servizio di sanità pubblica) ed erano conservati in container che non erano stati chiusi a chiave. Alcuni documenti erano perfino stati danneggiati dagli elementi. L'Autorità ha pertanto stabilito l'inadeguata conservazione e protezione dei dati dei clienti e ha imposto una sanzione di £275.000.



Norvegia: il Garante ha sanzionato la città di Oslo per scorretta archiviazione dei dati dei pazienti

18 Dicembre 2019
Il Garante norvegese ha sanzionato per 49.300 euro la città di Oslo per aver archiviato i dati dei pazienti al di fuori del sistema di cartelle cliniche elettroniche nelle case di cura e nelle strutture sanitarie della città dal 2007 a novembre 2018. Infatti, i dipendenti utilizzavano fogli di lavoro dove venivano inclusi indicazioni generali sulla salute dei pazienti, nomi completi e numero di documento di identità. Nel decidere l'importo della sanzione, il Garante ha considerato il fatto che la violazione era avvenuta in gran parte nel periodo precedente all'entrata in vigore del GDPR, e che la città di Oslo aveva spontaneamente notificato il data breach al Garante.



Romania: due società sanzionate per non aver fornito le informazioni richieste dal DPA

16 Dicembre 2019
L'Autorità rumena per la protezione dei dati ha sanzionato due società che non avevano fornito le informazioni richieste dalla stessa ai sensi dell'art 83(5) GDPR, nonostante la prima richiesta e il successivo ammonimento. L'importo della prima sanzione è di 3.000 euro, la seconda ammontando a 2000 euro.



UE: l'EDPS ha sviluppato un software per l'automazione delle verifiche privacy dei siti web

13 Dicembre 2019
L'EDPS ha messo ha disposizione un software open source per semplificare la verifica privacy dei siti web. Lo strumento raccoglie le prove del trattamento dei dati personali, ad esempio i cookie, o le richieste a terzi. Le indicazioni raccolte, strutturate in un formato leggibile sia dall'uomo che da macchina, consentono ai titolari del sito web, ai responsabili della protezione dei dati e agli utenti finali di capire meglio quali informazioni vengono trasferite e memorizzate durante la visita di un sito web, per esempio il caricamento consecutivo di un certo numero di pagine web senza dare il consenso o effettuare il login.



UE: EDPB pubblica uno standard di contratto tra titolare e responsabile del trattamento

11 Dicembre 2019
L'EDPB ha pubblicato nel registro delle decisioni prese dalle autorità europee, lo standard contrattuale tipo tra titolare e responsabile del trattamento adottato dall'Autorità per la protezione dei dati danese. Esso mira ad aiutare le organizzazioni a soddisfare i requisiti dell'art. 28 (3) e (4) dato che un tale contratto non dovrebbe limitarsi a riportare le prescrizioni del GDPR, bensì precisarle ulteriormente, ad esempio per quanto riguarda l'assistenza fornita dal responsabile al titolare.



UE: linee guida sui criteri del diritto all'oblio dei motori di ricerca

11 Dicembre 2019
L'EDPB ha appena rilasciato le "Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)", ovvero le linee guida sui criteri relativi al diritto all'oblio nei motori di ricerca ai fini del GDPR, che saranno in consultazione pubblica fino al 5 febbraio 2020. 



Romania: sanzione per trasmissione dati personali a destinatario errato

10 Dicembre 2019
L'Autorità rumena per la protezione dei dati ha applicato una multa di 14.000 € contro Hora Credit IFN SA per la trasmissione di documenti contenenti dati personali di una persona al destinatario errato. Anche se l'errore era stato già segnalato sia all'operatore che al suo call center, Hora Credit aveva continuato a inviare messaggi allo stesso indirizzo. L'azienda non aveva notificato la violazione al Garante entro 72 ore, inoltre, in seguito a indagine, l'Autorità ha constatato che l'operatore non aveva preso sufficienti misure di sicurezza dei dati personali.



Germania: sanzione da quasi 10 milioni euro a fornitore di servizi di telecomunicazione

9 Dicembre 2019
L'Autorità federale tedesca per la protezione dei dati ha fatto sapere di aver imposto una sanzione di 9.550.000 euro a un fornitore di servizi di telecomunicazione, 1 & 1 Telecom GmbH, perché non aveva adottato misure tecniche e organizzative sufficienti per impedire a persone non autorizzate di ottenere informazioni sui dati dei clienti attraverso il servizio di assistenza telefonica. Pare infatti che la procedura di autenticazione richiedesse solo di conoscere il nome e la data di nascita dell'utente. Un'altra sanzione invece riguarda la società Rapidata GmbH, la quale dovrà pagare 10.000 euro di multa per incongruenze nella nomina del DPO.



Ungheria: Autorità multa un comune per videosorveglianza illecita

6 Dicembre 2019
Il Garante ungherese ha annunciato di aver sanzionato il comune di Kerepes per 5 milioni di fiorini ungheresi (circa 15.000 euro), che ha effettuato un trattamento illecito tramite videosorveglianza. Infatti il comune avrebbe usato la base giuridica del legittimo interesse (non giustificata per un ente pubblico), avrebbe violato il principio di minimizzazione risultando il numero di telecamere eccessivo rispetto all'entità del rischio, e non sarebbe stata fornita idonea informativa tramite, ad esempio, un cartello immediatamente visibile.



Spagna: Ikea riceve sanzione per violazioni sui cookie

5 Dicembre 2019
L'AEPD ha imposto una sanzione di 10.000 euro a Ikea Spagna per violazioni sui cookie. Infatti, in seguito a un reclamo, l'Autorità ha scoperto che ogni volta che un utente accedeva al sito, venivano scaricati in automatico 23 cookie, per i quali non veniva richiesto il consenso dell'utente. 



UE: ENISA pubblica relazione sulle tecniche e le best practice relative della pseudonimizzazione

3 Dicembre 2019
La relazione dell'ENISA "Pseudonymisation techniques and best practices report", affronta i parametri che possono influenzare nella pratica la scelta delle tecniche di pseudonimizzazione , come la protezione dei dati, l'utilità, la scalabilità e la recuperabilità. Contiene inoltre casi d'uso relativi alla pseudonimizzazione di alcuni tipi di identificatori (indirizzi IP, indirizzi e-mail, insiemi di dati complessi).



UK: la guida dell'ICO sulle categorie particolari di dati personali

29 Novembre 2019
ICO ha pubblicato una guida sulle categorie personali di dati personali tramite una pagina sul proprio sito, dove queste vengono individuate e definite e vengono forniti ulteriori documenti ed esempi per ogni categoria.



Francia: sanzione da 500.000 euro per marketing telefonico illecito

26 Novembre 2019
Il CNIL ha imposto una sanzione che ammonta a 500.000 euro a una società specializzata nell'isolamento termico di abitazioni private. La verifica era stata avviata per un reclamo contro l'attività di call center effettuata dalla società, che contattava alcuni prospect nonostante gli stessi avessero esercitato il loro diritto all'opposizione. L'ispezione ha successivamente rilevato altre non conformità, come la registrazione illecita di alcune conversazioni telefoniche.



EDPB: pubblicate in consultazione le linee guida sulla protezione dei dati by design e by default

20 Novembre 2019
L'EDPB ha pubblicato le Guidelines 4/2019 on Article 25 Data Protection by Design and by Default. Le linee guida saranno soggette a pubblica consultazione fino a gennaio 2020. Oltre a sottolineare l'impegno primario dei titolari del trattamento nell'adozione di misure di data protection by design e by default, l'EDPB incoraggia i fornitori di tecnologie a utilizzare la DPbDD come vantaggio competitivo sul mercato.



Spagna: l'AEPD pubblica una guida per pazienti sui loro diritti rispetto al trattamento dei dati

14 Novembre 2019
L'AEPD ha pubblicato una guida per pazienti e utenti sanitari, che fornisce risposte ai dubbi più frequenti che i cittadini hanno quando i loro dati personali sono trattati da enti, amministrazioni e professionisti sanitari e che mira a rendere loro più facile la conoscenza dei propri diritti.



Spagna: compagnia riceve sanzione per mancanza di misure adeguate nella conferma dell'identità di un soggetto

11 Novembre 2019
Il DPA spagnolo ha multato la compagnia Madrileña Red de Gas per un ammontare di 12.000 euro, per non aver adottato misure adeguate per la conferma dell'identità di un soggetto interessato. L'individuo che ha presentato il reclamo sostiene che l'azienda ha inviato le proprie informazioni a un terzo tramite email in risposta a un'indagine.



EDPS: pubblicate le linee guida sul concetto di titolari, responsabili e contitolari

7 Novembre 2019
L'EDPS ha rilasciato delle linee guida che hanno lo scopo di approfondire e fornire indicazioni pratiche sul concetto di titolare, responsabile e contitolare del trattamento. Tra i temi, la distribuzione dei reciprochi obblighi e responsabilità, in particolare nel gestire l'esercizio dei diritti dei soggetti interessati e casi studi sul rapporto titolare-responsabile, titolarità separata e titolarità congiunta. 



Germania: multa da 14,5 milioni di euro per conservazione dei dati in violazione del GDPR

5 Novembre 2019
Il Garante tedesco sanziona un'importante società immobiliare, la Deutsche Wohnen SE, con la multa più alta finora emessa in Germania, pari a 14,5 milioni di euro. La violazione del GDPR è consistita nell'aver conservato i dati personali degli inquilini per un periodo di tempo illimitato, senza valutare se la conservazione fosse lecita o necessaria. Secondo quanto emerso, la società immobiliare utilizzava un sistema di archiviazione che non consentiva la rimozione dei dati non più necessari per la finalità per cui erano stati raccolti, che consistevano in dati relativi a circostanze finanziarie e personali come dati fiscali, sociali e assicurativi sanitari.



Francia: CNIL aggiorna lo strumento per effettuare la DPIA

31 Ottobre 2019
Il Garante francese aggiorna il software open source PIA, uno strumento disponibile in francese e inglese per i titolari del trattamento, che facilita e accompagna lo svolgimento di una valutazione d'impatto sulla protezione dei dati (DPIA).



Austria: il DPA sanziona le Poste con maxi multa da 18 milioni di euro per utilizzo illecito dei dati

29 Ottobre 2019
L’autorità austriaca per la protezione dei dati personali (Datenschutzbehörde - DSB) ha inflitto una sanzione pari a 18 milioni di euro alla Società gerente il servizio postale nazionale (Post AG). La sanzione è stata comminata per l’illegittimo utilizzo dei dati degli utenti al fine di ottenere indicazioni sul loro orientamento politico e così offrire specifiche direttive, anche dietro corrispettivo, ai partiti politici per finalità di marketing. Il trattamento illecito ha avuto ad oggetto nominativi, indirizzi, età e sesso di circa 3 milioni di utenti.



UK: ICO approfondisce il tema della valutazione d'impatto nei sistemi di intelligenza artificiale

23 Ottobre 2019
Il Garante UK ha pubblicato un approfondimento sulla conduzione di una DPIA (valutazione d'impatto) dei sistemi di AI. In particolare, ICO raccomanda che la valutazione contenga almeno una descrizione sistematica del trattamento, la valutazione della sua necessità e proporzionalità, i rischi per i diritti e le libertà degli interessati, le misure per contrastare i rischi. Si suggerisce inoltre di aggiornarla periodicamente nel caso di modifiche della natura, campo di applicazione, contesto o finalità del trattamento.



Spagna: l'AEPD sanziona Vueling per non conformità dei cookie

22 Ottobre 2019
Il Garante spagnolo ha imposto una sanzione di 30.000 euro (riducibili a 18.000 con pagamento in un'unica soluzione) alla compagnia aerea Vueling per una non conformità dei cookie presenti sul suo sito web. Infatti, per gli utenti non era realmente possibile rifiutare i cookie, poichè la finestra di gestione, invece di permettere una loro accettazione granulare o rifiuto, rimandava alle impostazioni del browser utilizzato, senza dare informazioni sufficienti.



Francia: il Garante pubblica un elenco dei trattamenti che non necessitano di una DPIA

22 Ottobre 2019
Il CNIL, Garante francese, ha pubblicato un elenco di 12 tipologie di trattamenti dati per cui non è obbligatoria la DPIA, ovvero la valutazione d'impatto sulla protezione dei dati. A novembre 2018 CNIL aveva già pubblicato una lista dei trattamenti che richiedevano necessariamente la valutazione d'impatto.



UE: indagine EDPS sui contratti IT tra Microsoft e i paesi dello Spazio Economico Europeo

21 Ottobre 2019
La cooperazione tra le autorità pubbliche degli Stati membri, le istituzioni dell'UE e altre organizzazioni internazionali è essenziale per garantire che gli accordi contrattuali con Microsoft garantiscano lo stesso livello di protezione dei diritti individuali in tutto lo Spazio economico europeo (SEE). Sebbene l'indagine sia ancora in corso, i risultati preliminari rivelano infatti serie preoccupazioni circa la conformità delle clausole contrattuali pertinenti con le norme sulla protezione dei dati, anche con riferimento al ruolo di Microsoft rispetto a diverse istituzioni europee.



Irlanda: le guide del DPA sulla notifica dei data breach e sui rischi online

Ottobre 2019
L'Autorità Garante irlandese, la Data Protection Commission, ha pubblicato una guida sulla notifica delle violazioni di dati personali che si propone di supportare l'attività dei titolari del trattamento nell'individuare i data breach da notificare, e nel notificarli correttamente. La guida include anche alcuni case study per un approccio pratico.
Inoltre, è stata anche pubblicata una guida per conoscere quali sono i maggiori rischi ai dati provenienti dall'utilizzo dell'online, per prevenire incidenti alla sicurezza dei dati e l'eventualità di data breach.



Italia: telecamere nascoste sul lavoro, il Presidente del Garante Privacy sulla sentenza della Corte di Strasburgo

17 Ottobre 2019
Il Presidente del Garante Privacy, commenta la sentenza sull'utilizzo delle telecamere nascoste sul luogo di lavoro sottolineando come la videosorveglianza occulta sia "ammessa solo in quanto extrema ratio, a fronte di "gravi illeciti" e con modalità spazio-temporali tali da limitare al massimo l'incidenza del controllo sul lavoratore. Non può dunque diventare una prassi ordinaria." 



Spagna: Garante pubblica una guida per facilitare l'applicazione della privacy by design

17 Ottobre 2019
Il Garante spagnolo ha pubblicato la "Privacy Guide by Design" con l'obiettivo di fornire linee guida per facilitare l'incorporazione dei principi di protezione dei dati e dei requisiti privacy a nuovi prodotti o servizi sin dal momento in cui vengono progettati.



UE: CEDU stabilisce che se proporzionale, è legittimo l'utilizzo delle telecamere nascoste sul luogo di lavoro

17 Ottobre 2019
La Corte europea dei diritti dell'uomo ha stabilito oggi che, pur nel rispetto del principio di proporzionalità, il datore di lavoro può installare telecamere nascoste senza informare i lavoratori, se ha sospetti fondati che essi commettano furti ai danni al patrimonio aziendale. La Corte ha stabilito che nel caso di specie la sorveglianza non eccedeva quanto strettamente necessario per appurare l'illecito, e che era stata condotta in un periodo di tempo limitato in un luogo già aperto al pubblico, e includendo un numero limitato di persone.



Polonia: sanzione per mancata implementazione di adeguati meccanismi di revoca del consenso

16 Ottobre 2019

L'Autorità Garante della Polonia ha imposto un'ammenda di oltre 201.000 PLN (equivalenti a circa 47.000 EUR) a una società, per aver ostacolato l'esercizio del diritto di revoca del consenso al trattamento dei dati personali. La società in questione non avrebbe infatti implementato adeguate misure tecniche e organizzative che consentissero la revoca semplice ed efficace del consenso al trattamento dei dati personali (che da GDPR dovrebbe essere altrettanto facile quanto la sua concessione) e l'esercizio del diritto all'oblio. 



UE: pubblicate le linee guida sul trattamento dati nella fornitura di servizi online agli interessati

16 Ottobre 2019
L'EDPB ha pubblicato, dopo una consultazione pubblica, le "Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects", che approfondiscono il tema del trattamento dei dati personali nei contratti per servizi online, considerando anche l'aspetto della necessarietà del trattamento dati per l'esecuzione di un contratto.



Olanda: una guida per il trattamento dati dei dipendenti in malattia

11 Ottobre 2019
L'Autorità olandese per la protezione dei dati ha pubblicato una guida approfondita per datori di lavoro in cui si risponde ai più comuni dubbi riguardanti la modalità di trattamento dei dati dei dipendenti malati. In particolare, il Garante specifica quali dati il datore di lavoro può domandare al dipendente, quali dati può registrare, e chiarisce la gestione dei sistemi di assenza del lavoratore.



Germania: la Commissione Etica pubblica le raccomandazioni per la gestione dell'Intelligenza Artificiale

9 Ottobre 2019
La Commissione Etica per i Dati (Daten Ethik Kommission) ha pubblicato una serie di raccomandazioni dirette al governo tedesco relativamente alla strategia da adottare nel regolamentare l'intelligenza artificiale. Ha inoltre pubblicato un parere in cui stabilisce delle linee guida per lo sviluppo etico e "human-centred" di sistemi di IA. Questi due documenti mostrano un approccio "duro" all'Intelligenza Artificiale da parte della Germania che potrebbe avere un forte impatto sulla futura disciplina dell'IA a livello europeo.



Grecia: sanzione amministrativa a un fornitore di servizi  telefonici

7 Ottobre 2019
L'Autorità ellenica ha imposto una sanzione di 200.000 euro per violazione dell'Articolo 25 (data protection by design) e dell'Articolo 5(1) (principio di accuratezza) al fornitore di servizi telefonici 'OTE', perché nonostante alcuni clienti si fossero iscritti al registro delle opposizioni, ricevevano chiamate non richieste da compagnie terze per la promozione di prodotti e servizi. Inoltre, per via di un malfunzionamento del link "Unsubscribe", circa 8000 persone non avevano potuto esercitare il proprio diritto di opposizione, ragione per la quale il Garante ha imposto una ulteriore sanzione di 200.000 euro. 



UE: pubblicata l'ultima versione del Regolamento ePrivacy

4 Ottobre 2019
Il Consiglio dell'Unione Europea ha pubblicato l'ultima versione della proposta di Regolamento ePrivacy relativo al rispetto della vita privata e dei dati degli individui nelle comunicazioni elettroniche. 



Romania: sanzione da 170.000 euro per violazione dei dati

1 Ottobre 2019
 Il Garante per la privacy rumeno ha sanzionato la Raiffeisen Bank e la piattaforma di credito online Vreau Credit rispettivamente per un totale di 150.000 e 20.000 euro, in particolare per violazioni degli artt. 32-33 GDPR. L'indagine è stata avviata in seguito alla notifica di un data breach in cui due dipendenti di Raiffeisen Bank, utilizzando i dati dei documenti di identità di alcune persone fisiche (trasmessi su WhatsApp da alcuni dipendenti di Vreau Credit) hanno svolto indagini per determinare la loro idoneità al credito, eseguendo simulazioni rispetto a 1177 individui. Raiffeisen Bank non ha quindi implementato adeguate misure tecniche e organizzative per garantire un livello adeguato di sicurezza e non ha valutato i rischi presentati dal trattamento, situazione che ha portato all'accesso non autorizzato ai dati personali elaborati nell'attività di prestito, e alla divulgazione non autorizzata dei dati personali da parte dei dipendenti della banca. Vreau Credit SRL, inoltre, fino alla fine dell'indagine non ha notificato all'autorità di controllo la violazione della sicurezza dei dati personali, sebbene l'incidente di sicurezza fosse stato rilevato da dicembre 2018.



UE: la Corte di Giustizia europea ribadisce che per installare i cookie serve il consenso attivo dell'utente

1 Ottobre 2019
La Corte di Giustizia europea ha ribadito che per l'installazione di cookie è necessario il consenso attivo dell'utente. Il consenso infatti è valido solo se prestato con un "atto positivo inequivocabile" e in modo libero e informato. Nel caso di specie, al contrario, l'azienda aveva predisposto una casella preselezionata, da cui non è possibile derivare con sicurezza nè l'atto intenzionale, nè l'essere informato dell'utente, che potrebbe anche non letto le informazioni che accompagnavano la casella.



Spagna: l'Autorità pubblica una guida per gli sviluppatori di app mobile

27 Settembre 2019
Il Garante privacy spagnolo, l'AEPD, ha pubblicato un vademecum in cui indica i principi e gli obblighi di data protection per gli sviluppatori di app mobile nei confronti dei soggeti interessati/utenti dell'app. Tra gli obblighi, quello di fornire adeguate informazioni sul trattamento dei dati sia all'interno dell'app che nello store online (es. App Store o Google Play) nella lingua dell'utente target, e il divieto di richiedere consensi generici, ad esempio quelli che si riferiscono a un trattamento dati per il miglioramento generale dell'esperienza utente.



UE: Google dovrà accogliere le richieste di cancellazione dei dati sensibili dai motori di ricerca nell'UE

24 Settembre 2019
La corte di giustizia EU ha ordinato a Google di accogliere le richieste di cancellazione dei dati sensibili provenienti dagli interessati; il gestore di un motore di ricerca è tenuto ad effettuare la deindicizzazione nelle versioni del motore corrispondenti a tutti gli Stati membri, e ciò in combinazione con misure che permettano effettivamente di impedire agli utenti di Internet, che effettuano una ricerca sulla base del nome dell’interessato a partire da uno degli Stati membri, di avere accesso, attraverso l’elenco dei risultati visualizzato in seguito a tale ricerca, ai link oggetto di tale domanda, o quantomeno di scoraggiare seriamente tali utenti.



"Privacy sweep 2019": l'indagine conoscitiva internazionale sulla gestione dei data breach

23 Settembre 2019
Il Garante privacy italiano, insieme alle Autorità di altri 17 Paesi del mondo, ha dato il via al "Privacy sweep 2019", un'indagine a carattere internazionale relativa alla gestione dei data breach da parte di soggetti pubblici e privati, nella quale esamineranno le procedure adottate per gestire le violazioni. In Italia le indagini si concentreranno sulle aziende operanti nel settore dell'e-commerce.



Belgio: multa di € 10.000 per uso sproporzionato della carta d'identità elettronica in cambio di una carta fedeltà

19 Settembre 2019
L'Autorità belga ha imposto una sanzione di € 10.000 a un commerciante che aveva richiesto la lettura della carta d'identità elettronica come unico mezzo per l'emissione di una carta fedeltà. Il documento di identità infatti contiene dati in misura molto maggiore rispetto a quelli necessari per la creazione della carta, e il loro trattamento risulterebbe sproporzionato rispetto al fine. Si tratta quindi di una violazione del principio di minimizzazione, e dell'assenza di un consenso valido, in quanto l'utente non aveva una reale alternativa. Infatti, gli utenti che non avessero voluto utilizzare a questo scopo la propria carta d'identità, non avrebbero avuto accesso agli sconti dedicati ai clienti in possesso di fidelity card.



Polonia: il Garante impone la sanzione GDPR più alta di sempre per maxi data breach

19 Settembre 2019
Il Garante polacco per la protezione dei dati ha annunciato la multa più alta finora emessa per violazioni del GDPR: circa 645.000 euro (2,8 mln di PLN) nei confronti del rivenditore online Morele.net, il quale aveva subito un massiccio data breach che aveva interessato oltre 2,2 milioni di utenti. Il retailer ha ricevuto la sanzione per non aver posto in essere le necessarie misure di sicurezza per tutelare i dati dei clienti. 



UK: multata una società che effettuava chiamate commerciali senza il consenso degli interessati

18 Settembre 2019
L'ICO ha emesso una sanzione pecuniaria di 150.000 dollari nei confronti di Superior Style Home Improvements Ltd per aver effettuato chiamate commerciali per un periodo di 11 mesi a persone i cui numeri sono stati registrati presso il servizio di preferenze telefoniche (TPS) e che non avevano dato il loro consenso a riceverle. 



Germania: le Autorità esaminano una proposta di modello per individuare l'importo delle sanzioni pecuniarie

17 Settembre 2019
Le Autorità per la protezione dei dati dei Land tedeschi hanno esaminato una proposta per l'elaborazione di un modello utile a calcolare l'entità di una sanzione amministrativa ai sensi del GDPR, che sia sistematico, trasparente e comprensibile. Il comunicato dell'Autorità non contiene i criteri su cui si baserà il modello, che verranno probabilmente resi noti al momento della sua definitiva adozione.



UK: il Garante mette a disposizione una guida in caso di hard Brexit

11 Settembre 2019
L'ICO ha pubblicato sul proprio sito una serie di risorse e strumenti pensati per guidare le aziende, sia le piccole-medie imprese che le grandi organizzazioni, nel trattamento dei dati nel caso di una no-deal Brexit. Il Garante fa sapere che il Regno Unito intende mantenere gli standard del GDPR anche dopo l'uscita dall'UE, pertanto le aziende che non hanno scambio di dati con paesi EEA non dovranno apportare grandi modifiche, in caso contrario ICO offre alcuni strumenti per definire le attività da implementare.



UK: clinica per l'identità di genere divulga per errore quasi 2000 indirizzi email

6 Settembre 2019
Una clinica per l'identità di genere vicino Londra ha inviato una email per un concorso d'arte ai propri pazienti, mettendo in CC quasi 2000 indirizzi email. Accortasi dell'errore, la clinica non è più riuscita ad annullare l'invio. La violazione, che verrà notificata al Garante UK, è un esempio di data breach imputabile a un 'errore umano' all'interno all'organizzazione.



Spagna: il Garante pubblica una lista dei trattamenti non soggetti a DPIA

4 Settembre 2019
Il Garante privacy spagnolo ha pubblicato una lista delle tipologie di trattamento che non necessitano di una Valutazione d'Impatto sulla Protezione dei Dati (DPIA), con l'obiettivo di semplificarne l'identificazione da parte dei titolari. Tra i trattamenti esenti compaiono ad esempio i trattamenti effettuati per ottemperare a obblighi di legge e nella gestione interna delle PMI per finalità di gestione della contabilità, buste paga e sicurezza sul lavoro.



Lettonia: il Garante sanziona un rivenditore online

3 Settembre 2019
Il Garante lettone (Data State Inspectorate, DSI) ha imposto una sanzione di 7.000 euro a un rivenditore online per la non conformità al GDPR per quanto riguarda il diritto di cancellazione dei dati del soggetto interessato (l'azienda avrebbe ignorato le ripetute richieste di un utente di cancellare i propri dati), e per la non cooperazione con l'autorità di controllo. Nello stabilire la sanzione, l'Autorità ha tenuto in considerazione anche la gravità della violazione, il numero dei soggetti interessati e il fatturato del precedente anno.



Bulgaria: sanzione di 2,6 milioni all'Agenzia delle Entrate per violazione dei dati di 4 milioni di contribuenti

2 Settembre 2019
Il presidente del Garante bulgaro, Ventsislav Karadjov, ha reso noto che imporrà una sanzione di circa 2,6 milioni di euro all'Agenzia delle Entrate, la quale ha subito un data breach che ha impattato 4,1 milioni di contribuenti. L'Autorità ha tenuto in conto le responsabilità dell'Agenzia nel denunciare la violazione e contattare le persone interessate, oltre all'elevato numero di dati in questione. L'Agenzia si è difesa affermando che l'accesso non autorizzato ai dati e la loro estrazione hanno avuto luogo nonostante le misure di sicurezza adottate e che presenterà ricorso.



USA: YouTube pagherà 170 milioni di dollari per violazione della normativa che tutela la privacy dei bambini

30 Agosto 2019
Google avrebbe accettato di pagare un somma di 200 milioni di dollari per chiudere il procedimento aperto dalla Federal Trade Commission contro YouTube, che ha violato le norme di tutela della privacy dei bambini, avendo raccolto i loro dati senza il consenso dei genitori, al fine di inviargli pubblicità particolarmente mirata. Questa sanzione rappresenta l'importo massimo finora comminato in violazione del Children Online Privacy Protection Act, il quale vieta ai servizi online di raccogliere i dati personali dei bambini sotto 13 anni. 



Bulgaria: multata banca per violazione dei dati di oltre 33.000 clienti

28 Agosto 2019
La banca bulgara DSK Bank ha ricevuto una sanzione di 1 milione di lev (più di 500.000 euro) per una violazione dei dati personali appartenenti a oltre 33.000 clienti. Trattavasi in nomi e cognomi, indirizzi, copie di documenti di identità e altre informazioni personali di persone che avevano richiesto dei prestiti alla banca. La sanzione è arrivata per la mancanza adozione di misure tecniche e organizzative adatte a proteggere la riservatezza dei dati personali dei propri clienti. 



Grecia: è stato approvato il disegno di legge che adeguerà la legislazione nazionale al GDPR

27 Agosto 2019
Lunedì 26 agosto il Parlamento greco ha approvato a grande maggioranza il disegno di legge che adeguerà la legge nazionale al Regolamento 2016/679. Anche se il Regolamento era già diventato applicativo in Grecia, come in tutti gli Stati membri UE a maggio 2018, Atene non aveva ancora prodotto la legislazione necessaria a specificare come alcune disposizioni del GDPR si sarebbero applicate nel paese.



Spagna: secondo la Corte di Cassazione i dati relativi al consumo di energia sono dati personali

26 Agosto 2019
La Corte di Cassazione spagnola ha stabilito che i dati derivanti dalla misurazione dei consumi individuali di energia elettrica, come gli orari di utilizzo della luce, i locali in cui viene utilizzata o gli apparecchi collegati, sono dati personali. Infatti, è possibile da questi risalire alle abitudini di consumo dei singoli individui, agli orari in cui si trovano in casa, se abitano o meno da soli, e possono venire collegati ai dati identificativi dei consumatori, tra cui il loro nome e cognome. Tuttavia, essendo la raccolta di questi dati giustificata dall'esigenza di verificare il rispetto della legge da parte delle aziende e dei consumatori, la Suprema Corte ritiene che la base giuridica sia quella dell'interesse generale, e che non sia pertanto necessario richiedere il consenso ai consumatori.



Lituania: nota azienda di web hosting subisce data breach che impatta su 14 milioni di utenti

25 Agosto 2019
Hostings, una nota azienda lituana di web hosting, ha subito un data breach che ha interessato circa 14 milioni di utenti. La compagnia aveva in realtà in uso un algoritmo di crittografia a protezione del proprio database il quale però non sembra essere stato sufficiente per proteggersi dall'attacco hacker. La società ha resettato le password degli utenti come misura preventiva e ha inviato loro una mail con le indicazioni per la reimpostazione e per informarli sulle tipologie di dati personali che sono stati violati, oltre ad aver comunicato il data breach alle autorità competenti.



Cina: nuovo regolamento privacy per i dati dei bambini in rete

24 Agosto 2019
Un regolamento sulla protezione delle informazioni personali dei bambini in rete è stato pubblicato ieri dalla Cyberspace Administration of China. Nel regolamento si legge che nessuna organizzazione o individuo è autorizzata a produrre, rilasciare o diffondere informazioni che danneggino la privacy dei bambini. Secondo il regolamento, gli operatori di rete devono stabilire norme di protezione e accordi con gli utenti per le informazioni dei minori e devono designare responsabili della protezione delle informazioni personali dei bambini.



Svezia: prima multa del Garante a una scuola che utilizzava il riconoscimento facciale sugli alunni

21 Agosto 2019
La DPA svedese ha emesso la sua prima multa (200,000 SEK) a una scuola superiore che ha utilizzato il riconoscimento facciale per testare la partecipazione degli studenti alle lezioni. Il consiglio del liceo ha affermato di aver chiesto il consenso agli studenti per utilizzare i loro dati biometrici per il riconoscimento facciale, ma l'Autorità ha ritenuto che il consenso non fosse una base giuridica adeguata poiché gli studenti sono in una posizione di dipendenza rispetto al consiglio scolastico, e che inoltre ci fossero modi meno invasivi della privacy per rilevare le presenze scolastiche. 



USA: maxi data breach per una delle maggiori emittenti di carte di credito

30 Luglio 2019
Capital One Financial Corp, una delle più gradi emittenti di carte di credito negli Stati Uniti, ha annunciato di essere stata oggetto di un attacco informatico che ha colpito circa 105 milioni di cittadini americani e 6 milioni di cittadini canadesi. Si tratta di un data breach che ha colpito numeri di previdenza sociale, numeri di conti bancari e molti altri dati personali. Secondo gli investigatori la violazione è stata possibile tramite una falla nel firewall dei servizi cloud di Amazon, sfruttata da un'ex software engineer per sottrarre i dati.



Italia: il provvedimento del Garante sulla notifica delle violazioni dei dati personali

30 Luglio 2019
È stato adottato dal Garante per la protezione dei dati personali uno specifico provvedimento sulla notifica delle violazioni dati con lo scopo di accompagnare imprese, banche e pubbliche amministrazioni negli adempimenti privacy; in un'ottica di semplificazione ha anche predisposto un modello di notifica contenente tutte le informazioni richieste dalla normativa.



Grecia: 150.000 euro di sanzione a un datore di lavoro che trattava i dati dei dipendenti in violazione del GDPR

30 Luglio 2019
L'Autorità ellenica per la Protezione dei dati ha recentemente comminato una sanzione da 150.000 euro a un datore di lavoro che trattava illecitamente i dati dei propri dipendenti. Infatti la scelta della base legale del trattamento (Articolo 5(1)) era inappropriata, e il trattamento stesso si è rivelato essere scorretto e non trasparente, dal momento che ai dipendenti veniva comunicato che i loro dati erano trattati sulla base del consenso, mentre erano trattati in forza di una base legale di cui essi non erano mai stati informati. Il datore di lavoro, inoltre, aveva violato il principio di accountability, trasferendo l'onere di provare la conformità ai soggetti interessati.



Germania: avere un pulsante 'like' sul proprio sito rende contitolari con Facebook

29 Luglio 2019
La Corte di Giustizia dell'Unione Europea, nella decisione Fashion ID GmbH & Co.KG v Verbraucherzentrale NRW eV. ha affermato che i gestori di un sito web contenente un pulsante di "like" che rimanda ad un pagina Facebook sono Contitolari del trattamento dei dati con quest'ultimo. Ciò comporta, di conseguenza, l'obbligo a loro carico di definire un accordo di contitolarità con Facebook e di informare correttamente gli interessati. Il caso riguardava una società tedesca operante nel campo dell'e-commerce, che era stata citata in causa da un'associazione per la tutela dei consumatori. Non ha rilevanza, quindi, che i gestori del sito non possono avere accesso ai dati gestiti da Facebook, in quanto sono i gestori stessi che decidono di inserire il pulsante di "like" per aumentare la visibilità dei propri prodotti sul social network.



Francia: la CNIL ha emanato una sanzione di € 180.000 nei confronti di una società di assicurazioni per non aver protetto adeguatamente i dati degli utenti del proprio sito Web

18 Luglio 2019
Nel giugno 2018, il CNIL ha ricevuto un rapporto da un cliente dell'azienda che indicava che, dal suo account, era stato in grado di accedere ai dati personali di altri clienti.
Un controllo online ha rivelato che gli account dei clienti dell'azienda erano accessibili tramite collegamenti ipertestuali referenziati su un motore di ricerca. I documenti e i dati dei clienti erano accessibili anche modificando i numeri alla fine degli URL visualizzati nel browser. Questi documenti includevano copie di patenti di guida, carte di registrazione, documenti di identità bancari e documenti per determinare se una persona fosse stata oggetto di un ritiro della patente o di un incidente.
Sulla base delle indagini condotte, la CNIL ha ritenuto che la società avesse violato l'obbligo di garantire i dati personali previsto dall'articolo 32 del GDPR, di conseguenza ha imposto una multa di 180.000 euro. In particolare, ha tenuto conto della gravità della violazione, a causa della natura dei dati e dei documenti in questione. Ha inoltre tenuto conto del numero di persone interessate, in quanto la mancanza di sicurezza ha influito sui conti di diverse migliaia di clienti e persone che avevano risolto il contratto con la società. La CNIL, tuttavia, ha tenuto conto della capacità di risposta dell'azienda nella correzione della mancanza di sicurezza e della sua cooperazione con i servizi della CNIL.



EDPB pubblica le Linee Guida sulla videosorveglianza

10 Luglio 2019
L'EDPB ha pubblicato le Linee guida sulla videosorveglianza, che indagano gli effetti della sorveglianza video tradizionale e di quella 'intelligente', e le conseguenze di questo trattamento dati sulle persone. Se questo trattamento invasivo può essere comunque giustificato da motivazioni di sicurezza pubblica che sono maggiori rispetto ai rischi, altre finalità come quella di marketing o di controllo delle presenze può invece essere più insidiosa e inutilmente impattante. L'EDPB infatti raccomanda l'utilizzo della videosorveglianza come 'misura di riserva' quando la finalità non può essere raggiunta con altre modalità meno intrusive.



Belgio: arrivano i primi ammonimenti in ambito sanitario

11 Luglio 2019
Il SPF Santé Publique (Servizio Pubblico Federale della Sanità Pubblica) del Belgio è stato ammonito dall'Autorità belga per la protezione dei dati personali in quanto non ha saputo prendere in carico la richiesta di accesso ai propri dati personali di un interessato. L'Autorità si è limitata ad ammonire il SPF Santé Publique e a pubblicare la propria decisione inserendo il nome delle parti coinvolte, tuttavia è stata ferma nel dichiarare che è fondamentale che il SPF adotti al più presto procedure interne in grado di garantire in modo efficace l'esercizio dei diritti degli interessati, nonché tutti gli altri obblighi in virtù del GDPR.



UK: sanzione da oltre £99 milioni in arrivo per Marriott's per data breach 

9 Luglio 2019
ICO ha notificato l’intenzione di sanzionare l’hotel Marriott £99,200,396 per il data breach notificato a novembre 2018, causato da un'insufficiente due diligence nelle misure di sicurezza a protezione dei dati dei clienti. I dati violati appartenevano a 339 milioni di ospiti provenienti da tutto il mondo, di cui circa 30 milioni appartenenenti a residenti nello spazio economico europeo, e 7 milioni di residenti nel Regno Unito.



UK: maxi multa a British Airways per data breach

8 Luglio 2019
La British Airways è stata sanzionata dall'ICO (Garante britannico) per 138 milioni di sterline (204 milioni di euro) a seguito dell'attacco hacker, subito l'anno scorso, in cui erano state copiate le coordinate delle carte di credito di 380mila passeggeri. La multa rappresenta l'1,5% del fatturato globale della compagnia nel 2017. La società, dal canto suo, si dichiara stupita rispetto alla decisione dell'ICO in quanto ha fatto il possibile per rimediare prontamente all'accaduto.



UK: Il Garante indaga su come TikTok tutela i dati dei minori

1 Luglio 2019
Il Garante ha risposto all'Online Harms White Paper, un documento programmatico contenente i piani del governo per mantenere la sicurezza degli utenti di internet, che è in consultazione. Tra gli altri argomenti, conferma che sta indagando Tiktok poiché l'app non tutelerebbe a sufficienza i bambini e i loro dati. Inoltre, anche se l'app richiede un'età minima di 13 anni, nella pratica non vi è nessun sistema di verifica che impedisca l'accesso.



Italia: Garante impone sanzione di 1 milione di euro a Facebook per il caso Cambridge Analytica

28 Giugno 2019
Il Garante italiano ha imposto a Facebook una sanzione di 1 milione di euro per il caso Cambridge Analytica. La sanzione, essendo basata su illeciti del 2016, è stata comminata sulla base del vecchio Codice Privacy e in seguito al provvedimento di gennaio 2019, in cui l’Autorità aveva vietato a Facebook di continuare a trattare illecitamente i dati degli utenti italiani.



Romania: la prima multa a una banca per violazione del principio di minimizzazione

27 Giugno 2019
La prima sanzione imposta dal Garante rumeno ricade su banca Unicredit, per violazione dell'art. 25 (principio di protezione dei dati by design e by default) e del principio di minimizzazione, ed ammonta a 130.000 euro. La violazione riguarda il fatto che i beneficiari dei pagamenti potevano vedere tramite estratto conto alcuni dati dell'ordinante che andavano oltre quanto necessario, come ad esempio il loro indirizzo e il codice fiscale.



Egitto approva la prima legge nazionale sulla protezione dei dati

24 Giugno 2019
Nonostante non si tratti di una notizia strettamente europea, è sicuramente significativa l'approvazione della prima legge sulla protezione dei dati in Egitto, che tutela i cittadini egiziani e i cittadini europei che vivono nel paese. Le aziende avranno l'obbligo di ottenere il consenso dei soggetti prima di raccogliere, trattare o diffondere i loro dati. Ogni compagnia che risulti aver violato la norma rischierà non meno di tre mesi di prigione e sanzioni amministrative comprese tra EGP 100.000 e 1.000.000. La legge è molto stringente anche per quanto riguarda il trasferimento non autorizzato di dati all'estero, che comporterebbe una sanzione compresa tra EGP 300.000 e 3.000.000.



UK: ICO sanziona compagnia che inviava agli utenti SMS commerciali senza il loro consenso

24 Giugno 2019
L'ICO ha imposto una sanzione di £100.000 alla compagnia di telecomunicazioni 'EE Limited', che aveva mandato nel 2018 oltre 2,5 milioni di sms di marketing diretto ai suoi clienti senza avere il loro consenso. La compagnia si è difesa affermando che si trattava di messaggi di servizio, ma l'ICO ha rilevato un chiaro contenuto promozionale di prodotti e servizi offerti dall'azienda, e ha ricordato che le aziende che inviano contenuti promozionali devono agire in conformità alle leggi applicabili, o rischiano multe fino a £500.000.



Francia: azienda riceve 20.000 euro di sanzione per videosorveglianza sproporzionata dei dipendenti

18 Giugno 2019
La Commissione nazionale di informatica e libertà (CNIL) ha imposto una sanzione di 20.000 euro ad una società per aver istituito un sistema di videosorveglianza che poneva i suoi dipendenti sotto costante sorveglianza. L'azienda inoltre non aveva fornito adeguata informatica ai dipendenti, e non aveva implementato adegaute misure di sicurezza informatiche. L'azienda aveva già subito controlli negli anni precedenti, ma le violazioni erano continuate nonostante le raccomandazioni, da cui la decisione della sanzione.



Spagna: pubblicate raccomandazioni sui processi di anonimizzazione

14 Giugno 2019
L'AEPD, il Garante spagnolo, ha pubblicato delle raccomandazioni per coloro che eseguono processi di anonimizzazione. Il documento analizza i limiti dell'efficacia di tali processi, la misura in cui le informazioni sono realmente anonime e le modalità di quantificazione del rischio di ri-identificazione. Viene inoltre analizzata la K-anonymity, una tecnica che permette di analizzare il grado di identificazione che potrebbe presentare un insieme di dati apparentemente anonimi.



Spagna: la Liga riceve sanzione di 250.000 euro

12 Giugno 2019
La lega calcistica spagnola Liga è stata sanzionata con una multa di 250mila euro dal Garante spagnolo perché l'app ufficiale attivava il microfono ed il GPS degli smartphone sui quali era installata senza informare gli utenti. Ciò veniva fatto per verificare se il proprietario del telefono stesse guardando la partita in un locale dotato di abbonamento ufficiale o se utilizzava un canale di streaming pirata. La Liga ha fatto sapere che farà ricorso.



Italia: il 'no' del Garante alle raccolte punti che obbligano a rilasciare il consenso

12 Giugno 2019
Il Garante italiano è intervenuto per limitare l'attività promozionale di Pampers che, attraverso un form online sul proprio sito, di fatto obbligava gli utenti interessati a partecipare alla raccolta punti, a ricevere comunicazioni commerciali sul proprio indirizzo email. I soggetti infatti non potevano esprimere un consenso libero e specifico per le singole finalità di trattamento che la società intendeva svolgere, e non ricevevano adeguate informazioni rispetto alle finalità e alle modalità di trattamento dei loro dati per finalità promozionali.



EDPB pubblica Linee Guida GDPR aggiornate

12 Giugno 2019
L'EDPB ha pubblicato le versioni aggiornate delle sue "Linee Guida 4/2018 sull'accreditamento degli organismi di certificazione ai sensi dell'articolo 43 del Regolamento generale sulla protezione dei dati" e le "Linee Guida 1/2018 sulla certificazione e l'identificazione dei criteri di certificazione in conformità degli articoli 42 e 43 del Regolamento". La nuova versione degli orientamenti 4/2018 contiene orientamenti sulle specifiche per i "requisiti di accreditamento 'supplementari' rispetto alla norma ISO/IEC 17065/2012 e in conformità all'articolo 43(1)(b), e all'articolo 43(3) del GDPR. 



Italia: Garante pubblica Codice di condotta per il trattamento dei dati personali a fini di informazione commerciale

12 Giugno 2019
Il Garante approva il Codice di Condotta per il trattamento dei dati personali in materia di informazioni commerciali presentato da Ancic (Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito). Nel Codice di condotta sono individuate le garanzie e modalità di trattamento dei dati personali a tutela dei diritti degli interessati da porre in essere nel perseguire le finalità di informazione commerciale per garantire, nel rispetto del GDPR, la trasparenza nei rapporti commerciali e l’adeguata conoscenza e circolazione delle informazioni commerciali ed economiche.



Francia: azienda riceve 400.000 euro di sanzione per non aver protetto adeguatamente i dati degli utenti del proprio sito web

6 Giugno 2019
A seguito della denuncia di un individuo, la CNIL ha imposto una sanzione di 400.000 euro nei confronti di una società di gestione immobiliare, che ha protetto in modo insufficiente i dati degli utenti del suo sito web. Infatti, l'utente poteva accedere, dal proprio account personale sul sito, ai documenti salvati da altri utenti modificando leggermente l'URL visualizzato nel browser. Le violazioni contestate sono la non conformità ai requisiti di sicurezza previsti dall'articolo 32 del GDPR, e il fatto che i dati fossero conservati oltre i tempi necessari per l'espletamento delle attività di trattamento.



UK: l'ICO lancia un tool che aiuti le aziende a identificare la base legale

3 Giugno 2019
Il Garante UK ha prodotto uno strumento interattivo per le aziende, utile a identificare la base legale più appropriata per le proprie attività di trattamento. Alla fine del questionario, il tool fornisce una risposta con un rating per ogni base legale, incluse alcune azioni consigliate e link a strumenti utili.



La Francia termina il processo di adeguamento della normativa nazionale al GDPR

1 Giugno 2019
In Francia è entrato in vigore il nuovo decreto n. 2019-536 (il "Decreto di attuazione"), che sancisce l'entrata in vigore della legge francese sulla protezione dei dati. Ciò segna il completamento dell'adeguamento della legislazione francese al regolamento generale dell'UE sulla protezione dei dati ("GDPR") e alla direttiva UE sulla polizia e la giustizia penale (direttiva (UE) 2016/680).



Belgio: il Garante sanziona un sindaco per trattamento illecito a fini elettorali

29 Maggio 2019
L'autorità per la protezione dei dati del Belgio ha annunciato l'imposizione di una sanzione di 2.000 € ad un singolo per trattamento illecito dei dati. Il sindaco non avrebbe rispettato il principio di limitazione delle finalità di trattamento dei dati, in quanto aveva ottenuto dei dati (in questo caso indirizzi di posta elettronica) nell'ambito di un progetto di pianificazione urbana che aveva poi riutilizzato a fini di campagna elettorale. Nel quantificare la sanzione, il DPA ha tenuto in considerazione il numero limitato di persone colpite, la natura, la gravità e la durata dell'illecito. Si tratta della prima sanzione comminata dal DPA sulla base del GDPR.



EU: la Commissione Europea pubblica le linee guida sulla libera circolazione dei dati non personali

29 Maggio 2019
All'interno della più ampia strategia europea chiamata "Digital Single Market", si inquadra il recente Regolamento sulla libera circolazione dei dati non personali (Free Flow of Data, in breve FFD). La Commissione europea ha pubblicato le Linee Guida sulla libera circolazione dei dati non personali, che ha lo scopo di aiutare le imprese a comprendere le interazioni tra la nuova normativa e il GDPR, e quindi la relazione tra dati personali e dati non personali, compresa l'eventualità di un combinato tra le due tipologie.



EU: gestire i rischi relativi al trattamento dei dati dei bambini

27 Maggio 2019
Nella sua ultima newsletter, l'EDPS mette l'accento sul trattamento dei dati dei bambini e i rischi ad esso connessi, nonchè sulle norme europee e internazionali che sempre di più riconoscono i dati dei minori come categorie di dati su cui attuare specifiche cautele. In ragione della minore consapevolezza che hanno i minori rispetto ai propri diritti e ai rischi legati al trattamento, il GDPR e la norma sulla protezione dei dati riferita alle Istituzioni EU, prevedono alcune limitazioni quali ad esempio il divieto di attuare un processo decisionale automatizzato.



Olanda: il Garante causa una violazione dei dati mandando mail in CC

24 Maggio 2019
L'autorità olandese per la protezione dei dati (AP) ha causato una violazione dei dati. Un portavoce ha infatti inviato un'email inserendo nel campo CC 38 indirizzi tra cui giornalisti, redattori e altre figure. Ciò ha consentito a ciascun destinatario di vedere chi altri aveva ricevuto l'e-mail. Il Garante non ritiene di doversi "autosegnalare", in quanto considera la violazione minima e quindi non sussistente l'obbligo di comunicazione, e afferma che se i destinatari delle mail si conoscono, la mail in CC può essere funzionale alle attività lavorative.



Belgio: implementazione della Direttiva NIS a livello nazionale, evidenti i rapporti con il GDPR

24 Maggio 2019
Il Belgio è il primo paese Europeo ad aver trasposto con legge nazionale (qui il testo in lingua originale) il contenuto della Direttiva NIS (Network and Information Security  Directive - EU 2016/1148 qui il testo della direttiva). Si tratta della prima legislazione a livello europeo relativa alla cybersecurity, che fa parte della più ampia "EU cybersecurity strategy". L'implementazione della NIS introduce una serie di obblighi in capo agli operatori di servizi essenziali e ai digital service providers. Evidenti i rapporti con il GDPR: tra gli obblighi imposti dalla NIS rientrano sia misure di sicurezza tecniche ed organizzative, che obblighi di notifica nel caso di incidenti aventi un impatto negativo sull'accesso, sulla segretezza, sull'integrità e sull'autenticità di reti e di sistema di informazioni utilizzate dal singolo operatore di mercato. Inoltre, viene sancito l'obbligo di nomina di un DPO per tutti gli operatori dei servizi essenziali e i provider di servizi digitali.



UK: l'ICO fornisce uno strumento di self-assessment per capire quando notificare un data breach al Garante

22 Maggio 2019
Il Garante britannico ha creato uno strumento di self-assessment che aiuti le organizzazioni a capire quando notificare un data breach al Garante. L'ICO infatti sottolinea che una violazione non va sempre notificata, ma solo quando, in seguito a una valutazione della probabilità e della gravità dei rischi alla libertà e ai diritti delle persone, si riscontri un'alta probabilità di rischio. Lo strumento si articola su domande a risposta multipla ed è compilabile in due minuti.



Lituania: azienda riceve sanzione per mancata notifica del data breach e trattamento eccedente le finalità

16 Maggio 2019
Sanzione amministrativa di € 61.500 imposta dall'autorità lituana alla società MisterTango per violazioni degli articoli 5, 32 e 33 del GDPR. La società, che fornisce servizi di pagamento a livello internazionale a privati e imprese, ha elaborato dati personali dei propri clienti in maniera eccedente rispetto alle finalità, e non rispettando i tempi di conservazione stabiliti. L'indagine dell'autorità di controllo, in particolare, si è svolta in seguito a una violazione della sicurezza nel servizio di avvio dei pagamenti, che ha portato alla divulgazione sul web di elenchi di pagamenti effettuati dai clienti e non è stata correttamente notificata all'autorità di vigilanza.



Irlanda: Garante mette in guardia contro lo spyware che sta attaccando Whatsapp

14 Maggio 2019
Il Garante Irlandese (Data Protection Commissioner) ha rilasciato un comunicato stampa relativo all'incidente di sicurezza riferitogli il giorno precedente da WhatsApp, secondo il quale uno spyware potrebbe sfruttare una vulnerabilità del programma per carpire dati personali, installandolo attraverso una chiamata vocale. L'Autorità sta ancora cercando di vagliare eventuali danni e consiglia nel frattempo di aggiornare l'app all'ultima versione disponibile. 



UK: azienda riceve multa di £120,000 per aver inviato 3,5 milioni di sms di marketing diretto

7 Maggio 2019
Il Garante UK ha sanzionato un'azienda che, servendosi di terze parti, aveva inviato 3.560.211 sms di marketing diretto senza avere un consenso conforme. Hall and Hanley sostiene di aver ottenuto il consenso tramite la sottoscrizione degli utenti a quattro siti. Tuttavia, L'ICO fa notare che solo su due di questi era nominata la compagnia in questione, e che in ogni caso le persone erano obbligate a lasciare i propri dati per poter effettuare la registrazione ai siti, il che non è conforme alla legge.



Spagna: il Garante pubblica una Guida sul data breach in inglese

30 aprile 2019
Il Garante spagnolo (AEPD) ha rilasciato alcuni giorni fa un documento intitolato "Guide on personal data breach management and notification", una guida alla gestione e alla notifica di episodi di violazione dei dati. Il documento contiene, oltre alle definizioni, alla classificazione degli episodi e a un percorso 'guidato' di gestione del data breach, anche un modulo per la notifica al Garante e i parametri da considerare per capire se è necessaria la notifica agli interessati.



Irlanda: il Garante avvia inchiesta ufficiale su milioni di password conservate da Facebook in formato leggibile

25 aprile 2019
In un comunicato stampa, il Garante Privacy Irlandese afferma di aver aperto un'inchiesta ufficiale dopo che Facebook ha ammesso di aver conservato, per un errore interno, le password relative alle piattaforme di Facebook, Facebook Lite e Instagram di centinaia di milioni di utenti in server sprovvisti di idonee protezioni.



IAPP: le FAQ per la compliance delle aziende al California Consumer Privacy Act

17 aprile 2019
La International Association of Privacy Professionals (IAPP) ha rilasciato una serie di risposte alle principali domande relative all'applicazione del CCPA, il California Consumer Privacy Act. Infatti, la conformità al GDPR, per quanto utile per implementare meccanismi di protezione dei dati, non equivale necessariamente alla conformità a questa normativa che tutela i consumatori californiani. Le aziende potrebbero quindi dover introdurre alcune modifiche per essere conformi al CCPA, come ad esempio una formula specifica per le aziende che 'vendono' i dati degli interessati a terze parti.



UK: l'ICO sanziona sito che condivideva i dati personali di neomamme con agenzie di marketing

12 aprile 2019
Il sito per neo- e future mamme 'Bounty' è stato sanzionato dall'ICO per aver condiviso i loro dati personali con 39 organizzazioni, tra cui le agenzie di marketing Acxiom, Equifax, Indicia e Sky, per finalità di marketing diretto. Bounty ha condiviso 34 milioni di dati di natura particolarmente sensibile, appartenenti sia a neomamme, sia ai loro bambini, compresi sesso e data di nascita. Il Garante reputa la violazione particolarmente grave sia per il numero di dati condivisi, sia per il fatto che Bounty non è stato trasparente rispetto all'intenzione di utilizzarli e condividerli con terzi per finalità di marketing. Alla luce del fatto che la violazione si era verificata tra giugno e aprile 2018 quando era ancora in vigore il Data Protection Act, il Garante ha comminato una sanzione di 400.000 sterline, che sarebbe potuta essere molto più alta nel caso in cui si fosse verificata dopo il 25 maggio 2018.



Italia: società di telemarketing riceve sanzione di 2 milioni di euro

11 aprile 2019
Una società che svolge attività di telemarketing e teleselling tramite “call center” per conto di più committenti ha ricevuto una sanzione di € 2.018.000 a seguito della segnalazione di alcuni interessati. La società si avvaleva di un'azienda albanese per contattare telefonicamente i potenziali clienti al fine di far loro sottoscrivere contratto per la fornitura di energia elettrica e gas. Il Garante ha sottolineato la mancata somminsitrazione di debita informativa agli interessati, il fatto che il loro consenso non fosse stato documentato per iscritto, e la non-designazione della società come responsabile del trattamento, che è risultata così essere di fatto titolare autonomo.



Danimarca: il Garante si è pronunciato sull'applicazione del GDPR alle registrazioni vocali

11 aprile 2019
L'autorità per la protezione dei dati della Danimarca si è pronunciata l'11 aprile 2019 sulla necessarietà per le società di ottenere un consenso esplicito quando registrano le telefonate dei clienti. Il caso riguardava la più grande società di telecomunicazioni danese, che aveva comunicato ai clienti di registrare le loro chiamate, ma non aveva fornito alcun meccanismo di opt-in o opt-out con il quale gli interessati potessero decidere di non essere registrati. Infatti ai sensi del GDPR, il consenso al trattamento dei dati deve essere dato liberamente, a meno che questo non venga effettuato sotto basi giuridiche diverse dal consenso, come l'obbligo di legge o l'esistenza di un contratto.



UK: l'ICO sanziona una casa produttrice di documentari per aver ripreso illecitamente le pazienti di una clinica

10 aprile 2019
Il Garante Britannico ha sanzionato con una multa di 120,000 £ la True Vision Products per aver ripreso illegittimamente con telecamere CCTV (provviste di microfono) le pazienti di una clinica che si occupa di maternità. La TVP era autorizzata dalla clinica ad effettuare videoriprese per realizzare un documentario sulle still birth, ossia le morti intrauterine  (ed in quanto tale è stata qualificata dall'ICO come titolare dei dati delle pazienti). L'ICO ha deciso di sanzionare la TVP per non aver informato adeguatamente le pazienti e non aver richiesto loro il consenso ad essere riprese. La TVP aveva infatti solamente affisso dei cartelli e lasciato dei flyer sopra i tavoli posti nella sala d'aspetto della clinica. In più, nel caso in cui una paziente avesse voluto revocare il suo consenso alle riprese, non vi era alcun modo di interrompere le riprese, se non tramite esplicita richieta di essere assistita in una stanza sprovvista di telecamere.



UK: il Regno Unito presenta il White Paper per la sicurezza del web

8 aprile 2019
Il Dipartimento per il Digitale, la Cultura, i Media e lo Sport del Regno Unito ha pubblicato un white paper sui rischi veicolati dai contenuti online. Nello specifico, il documento contiene proposte per la regolamentazione di Internet e la lotta alla diffusione di contenuti estremisti, illegali o in ogni caso dannosi e propone anche l'istituzione di un ente autonomo che analizzi e controlli i grandi operatori del web, potendo anche infliggere multe nell'ordine del miliardo di sterline. L'obiettivo è quello di costringere le grandi aziende dell'online ad essere trasparenti rispetto ai propri contenuti e agli eventuali danni che questi potrebbero causare, a diminuire drasticamente i contenuti disinformativi, soprattutto in periodo di elezioni, e, lato cittadini, di attivare una campagna di alfabetizzazione mediatica per aiutarli a riconoscere fake news e contenuti dannosi.



Italia: il Garante sanziona la piattaforma Rousseau

4 aprile 2019
Il Garante italiano per la protezione dei dati ha emesso un provvedimento sanzionatorio di 50.000 euro nei confronti della c.d. "piattaforma Rousseau", evidenziando ancora significative carenze nei suoi sistemi di sicurezza, nonostante le operazioni di miglioramento del sito intraprese. Il Garante richiede che vengano messe in atto specifiche modifiche tecnico-informatiche, e che venga effettuata una rigorosa valutazione d'impatto sulla protezione dei dati "specificamente riferita alle funzionalità di e-voting attribuite alla piattaforma".



Francia: il CNIL pubblica le norme vincolanti sul trattamento dei dati biometrici sul luogo di lavoro

28 marzo 2019
L'Autorità francese per la protezione dei dati, il CNIL, ha pubblicato un "Model Regulation" che affronta il tema dell'uso dei sistemi biometrici per il controllo degli accessi ai locali, ai dispositivi e alle applicazioni sui luoghi di lavoro. Questo documento definisce le norme vincolanti per i titolari del trattamento che sono soggetti alla legge francese sulla protezione dei dati e che tratta dati biometrici di dipendenti per tali finalità. Nello specifico, viene fornita un lista della tipologia di dati personali che possono essere raccolti e trattati per queste finalità, definisce il periodo di conservazione dei dati e specifica le misure tecniche e organizzative da implementare per garantire la sicurezza dei dati personali.



Polonia: l'Autorità garante ha sanzionato una società per non aver informato gli interessati sul trattamento dei loro dati

26 marzo 2019
L’autorità polacca per la protezione dei dati personali, ha inflitto a una società una sanzione da 943.000 zloty polacchi, pari a 220.000 euro, per aver violato le prescrizioni dell'articolo 14 del Regolamento non informando sei milioni di persone riguardo al trattamento dei propri dati.  Il responsabile del trattamento non aveva infatti informato gli interessati, precludendo loro la possibilità di esercitare i loro diritti previsti dal GDPR, tra cui quello di opposizione. Secondo l’UODO, la società era consapevole dell’obbligo di fornire informazioni direttamente alle persone, da cui l'ammontare della sanzione.



UK: società pensionistica viene multata per aver inviato quasi 2 milioni di email di spam 

26 marzo 2019
Una società pensionistica del Kent ha ricevuto una multa di £ 40.000 per aver inviato (tramite un soggetto terzo) quasi 2 milioni di email di marketing diretto senza il consenso degli interessati, tra il 31 ottobre 2016 e il 31 ottobre 2017. L'azienda avrebbe addirittura richiesto il parere di un consulente privacy e di un legale, che avrebbero dato il loro parere positivo alla campagna. L'ICO sottolinea che nonostante questo, la responsabilità di essere conformi alla legge rimane dell'azienda e che si sarebbero dovuti rivolgere direttamente all'Autorità garante per ricevere chiarimenti (in modo gratuito) sulla fattibilità e i rischi di questo tipo di campagna. In linea generale, ICO ribadisce che per legge non possono essere inviate mail a chi non abbia dato il consenso, e che ciò è vero anche per chi dovesse utilizzare terzi per fare marketing diretto.



Danimarca: multa di 160.000 euro a una società per violazione del principio di minimizzazione

25 marzo 2019
Il Garante danese ha raccomandato una multa di 1.2 corone (circa 160.000 euro) nei confronti di una società di taxi che ha conservato alcuni dati dei propri clienti per un tempo superiore ai 2 anni indicati nella propria privacy policy. La società avrebbe infatti cancellato i nomi e gli indirizzi degli interessati, mantenendo tuttavia i loro numeri di telefoni per una presunta difficoltà di cancellare gli stessi dal sistema informatico. Il Garante non ha ritenuto la giustificazione valida e ha inoltre rilevato una anonimizzazione solo parziale dei dati; attraverso il numero di telefono era infatti ancora possibile risalire all'identità degli interessati. La sanzione è significativa in quanto ammonta al 2,8% del fatturato annuale dell'azienda in questione, dimostrando la volontà del Garante di avvicinarsi a quel 4% massimo contemplato dal GDPR.



Italia: l'attività ispettiva svolta dal Garante nel 2018

25 marzo 2019
Nella Newsletter n. 451 del 25 marzo 2019, il Garante ha fatto il punto sul bilancio dell'attività ispettiva svolta dall'Autorità nel 2018, rilevando che nel settore privato le ispezioni si sono rivolte principalmente ai trattamenti effettuati: dagli istituti di credito; da società per attività di rating sul rischio e sulla solvibilità delle imprese; dalle aziende sanitarie locali e poi trasferiti a terzi per il loro utilizzo a fini di ricerca; da società che svolgono attività di telemarketing; da società che offrono servizi di “money transfer”; da società assicuratrici attraverso l’installazione di “scatole nere” a bordo degli autoveicoli; da società che offrono servizi medico-sanitari tramite app.



Italia: l'attività ispettiva del Garante sarà curata anche per mezzo della Guardia di Finanza

25 marzo 2019
Con la Deliberazione del 14/2/2019, il Garante ha approvato il piano ispettivo che si svolgerà, anche per mezzo della Guardia di finanza, nel periodo gennaio-giugno 2019, e che si concentrerà prevalentemente sugli Istituti di credito, sul settore della sanità, sul sistema statistico nazionale (SISTAN), sul sistema per il rilascio dell’identità federata (SPID), sulle società che svolgono attività di marketing e di profilazione degli interessati che aderiscono a carte di fedeltà, sugli Enti pubblici, con riferimento a banche dati di notevoli dimensioni.



Finlandia: il Garante indaga sulla possibilità che Nokia abbia inviato dati personali a server in Cina

21 marzo 2019
Il Garante finlandese per la protezione dei dati ha avviato un'indagine dopo che un utente di uno smartphone Nokia 7 Plus aveva notato che il device, prodotto in Finlandia dall'azienda Hmd Global, sembrava star inviando dati a un server in Cina. Interpellato, Hmd ha dichiarato c'è non c'è stato un effettivo invio di dati dai suoi cellulari a terze parti, ma che un problema nel software di alcuni telefoni ha causato negli stessi un tentativo di inviare dati a un server esterno. Ora il problema sarebbe risolto e non ci sarebbe stato un effettivo data breach.



EU: Facebook ammette di aver conservato 200-600 milioni di password in formato leggibile 

21 marzo 2019
Facebook ha ammesso di aver conservato tra i 200 e i 600 milioni di password di utenti in formato leggibile, quindi non crittografato e potenzialmente accessibile ai dipendenti. Lo avrebbe scoperto durante un controllo interno di routine a gennaio, e starebbe mettendo in atto strategie per avvisare gli utenti interessati e invitarli a cambiare le proprie password. La questione è significativa anche perché molti utenti usano il proprio profilo Facebook per accedere a una moltitudine di servizi online. Sembra che i dati non siano stati diffusi o utilizzati in modo malevolo, ma le Autorità Garanti europee stanno osservando la vicenda. Il Garante tedesco afferma: "la questione sarà motivo di meticolosa indagine da parte delle autorità di protezione dei dati. In primo luogo, deve essere chiarito se Facebook ha violato gli obblighi di notifica derivanti dal Regolamento sulla protezione dei dati. Il problema infatti sembra essere noto già da gennaio. Indipendentemente da ciò, l'Autorità irlandese per la protezione dei dati, responsabile in Europa, esaminerà certamente l'avvio di una procedura sanzionatoria e, infine, discuteremo il caso anche nel Consiglio europeo per la protezione dei dati."



Norvegia: il Garante sanziona un comune per violazione dei requisiti GDPR

18 marzo 2019
Il Comune norvegese di Bergen è stato sanzionato dalla Norwegian Data Protection Authority per 1.600.000 NOK (circa 160.000 euro) per una falla nella piattaforma utilizzata, che ha reso accessibili a studenti e personale di una scuola file contenenti username e password appartenenenti a più di 35.000 studenti, e altri dati personali come indirizzi e numeri di previdenza sociale, violando così i requisiti di sicurezza previsti dal GDPR. Ecco il provvedimento dell'autorità garante (in norvegese).



Olanda: la qualità dei registri delle violazioni dei dati è ancora variabile tra le varie organizzazioni

17 marzo 2019
Un recente studio condotto su incarico dell'Autorità Garante olandese ha esaminato la qualità dei registri delle violazioni dei dati. I risultati mostrano che solo il 60% dei registri analizzati sono compilati in maniera completa, riportando correttamente la descrizione dei fatti, le conseguenze e le misure di sicurezza adottate. Al fine di favorire lo sviluppo di piani e procedure che permettano alle organizzazione di imparare dagli errori e di correggere le proprie strutture di gestione dei dati, il Garante olandese ha quindi pubblicato alcuni suggerimenti pratici per una migliore registrazione delle violazioni dei dati.



Olanda: il Garante olandese ha appena rilasciato la sua politica sanzionatoria GDPR

14 marzo 2019
Il DDPA (Dutch Data Protection Authority) ha suddiviso il valore delle sanzioni in quattro categorie in base alla loro gravità (Cat.1 da 0 a 200,000 euro; Cat.2 da 120,000 a 500,000; Cat.3 da 300,000 a 750,000 euro; Cat. 4 da 450,000 ad 1 milione di euro. Inoltre ha fornito degli esempi sulla quantificazione della sanzione entro queste fasce sulla base della dimensione dell'azienda e di una serie di circostanze aggravanti (numero di interessati coinvolti, il comportamento tenuto dall'azienda, il tipo di dati coinvolti, e altri). Le sanzioni superiori al milione di euro vanno applicate nel caso in cui le precedenti non siano ritenute sufficienti. Di seguito è disponibile in inglese un approfondimento sul tema.



Norvegia: il Garante pubblica una guida per lo sviluppo dei software in conformità ai principi di privacy by design e by default

13 marzo 2019
Il Garante per la protezione dei dati della Norvegia (Stato dello spazio economico europeo in cui il GDPR è diventato applicabile il 20 luglio 2018), ha pubblicato una guida per lo sviluppo di software in conformità ai principi del GDPR. Lo scopo è di aiutare le organizzazioni a comprendere e soddisfare i requisiti di protezione dei dati by design e by default di cui all'articolo 25 del Regolamento. La guida, divisa per moduli, è disponibile in inglese e norvegese e alla sua redazione hanno cooperato tecnici della sicurezza e sviluppatori di software del settore privato e pubblico.



EDPB: pubblicato il Parere 5/2019 sul rapporto tra la Direttiva ePrivacy e il GDPR

12 marzo 2019
L'EDPB ha pubblicato il Parere 5/2019 sul rapporto tra la Direttiva ePrivacy e il GDPR, anche per quanto riguarda i temi della competenza, dei compiti e dei poteri delle Autorità europee per la protezione dei dati. Soprattutto il documento tratta dei rispettivi ambiti di competenza e di applicazione (anche nei casi in cui le due normative si intersecano), e della loro coesistenza.



Francia: il CNIL lancia la sua formazione online sul GDPR accessibile a tutti

11 marzo 2019
Il Garante francese ha pubblicato online corso di formazione aperto a tutti intitolato "The RGPD Workshop" che offre la possibilità di scoprire o comprendere meglio il GDPR. Il corso, pensato per i professionisti della data protection, ma anche semplicemente per chi vuole imparare di più sul GDPR, può essere utilizzato per verificare la conformità della propria organizazione e sensibilizzare lo staff. L'"Atelier RGPD" si sviluppa su 4 moduli corredati di immagini, test, valutazioni, casi concreti, seguiti da un test finale che dà diritto a un certificato.



EDPB: pubblicato il documento sulla cooperazione tra Autorità privacy nazionali

8 marzo 2019
L'EDPB ha recentemente pubblicato il documento "First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities", che tratta della cooperazione tra le Autorità nazionali per la protezione dei dati, anche per i casi cross-border, come uno dei temi fondamentali per l'implementazione del GDPR (Regolamento europeo) a livello locale. 



Italia: privacy e cybersecurity, come il nuovo protocollo tra Garante Privacy e Intelligence tutela i cittadini

6 marzo 2019
Il Garante Privacy inoltrerà all’Intelligence le notizie di data breach rilevanti ai fini della sicurezza cibernetica, ricevute dai soggetti tenuti alla notifica in caso di violazione dei dati personali. Questo è uno degli effetti positivi del nuovo Protocollo d’intenti sottoscritto tra l’Autorità Garante per la protezione dei dati personali e Servizi segreti per far sì che le attività di sicurezza cibernetica sia in linea con il GDPR e il Decreto Legislativo 18 maggio 2018 n.51, c.d. direttiva “law enforcement”.



EDPB: nota informativa per il trattamento dei dati in caso di "hard Brexit"

27 febbraio 2019
L'EDPB ha elaborato una nota informativa, ripresa anche dal Garante Italiano, relativa a ciò che gli operatori pubblici e privati europei dovranno fare in relazione al trasferimento di dati personali verso l'UK in ipotesi di no-deal brexit o hard brexit, ipotesi che sta diventando sempre più concreta e che si realizzerà qualora non venga trovato un accordo alla mezzanotte del 29/3/2019.



USA: multa di $5,7 mil a TikTok per aver raccolto dati personali di minori sotto i 13 anni senza il consenso dei genitori

27 febbraio 2019
La Federal Trade Commission (Autorità statunitense per la protezione dei consumatori) ha stabilito che TikTok, social network di clip musicali, dovrà pagare una multa di $5,7 milioni per aver raccolto dati personali di minori sotto i 13 anni senza richiedere il consenso dei genitori. Il sito infatti richiedeva di inserire nome e cognome, username, indirizzo email, oltre a una breve biografia e una foto profilo. Oltre alla sanzione, TikTok dovrà anche rimuovere i video di tutti gli utilizzatori con meno di 13 anni d'età.



EDPS: il Garante europeo pubblica il report del 2018

26 febbraio 2019
Il Garante europeo per la protezione dei dati ha pubblicato il report relativo all'anno 2018 che illustra i dati, le statistiche e le azioni portate avanti dall'European Data Protection Supervisor (EDPS) lo scorso anno, come anche gli obiettivi e le attività in progetto per il 2019.



Belgio: l'Autorità per la protezione dei dati pubblica la lista dei trattamenti dati che richiedono la DPIA

25 febbraio 2019
L'Autorità belga per la protezione dei dati ha rilasciato (in francese e danese) la lista delle tipologie di trattamento che richiedono una DPIA, ovvero una Valutazione d'impatto sulla protezione dei dati, come richiesto dall'articolo 35(4) del GDPR per tutte le Autorità nazionali di data protection.



Spagna: il Garante spagnolo realizza un software per creare un registro dei trattamenti

24 febbraio 2019
Il Garante spagnolo per la protezione dei dati ha realizzato e messo a disposizione online "Facilita", un software gratuito e di facile utilizzo, attraverso il quale viene prodotto un registro dei trattamenti in formato Word. Il software è rivolto solo alle PMI per trattamenti di dati semplici ed elementari, ma può essere un'ottimo strumento per l'adeguamento in caso di realtà che non presentano trattamenti che pongano particolari rischi per gli interessati.



Ungheria: prime sanzioni GDPR

15 febbraio 2019
L’Autorità Nazionale per la libertà d'informazione ungherese (NAIH) ha recentemente adottato due decisioni riguardanti la violazione delle regole di protezione dei dati. Le identità delle due compagnie non sono state rese note, ma una di esse sembra aver ricevuto una sanzione di EUR 3,135 (HUF 1.000.000), rappresentante il 6,5% del suo fatturato annuo, per aver violato il principio del diritto di accesso. Il secondo caso riguarda una banca che ha divulgato illecitamente dei dati in seguito a un errato inserimento, la quale non ha tuttavia ricevuto una sanzione.



Italia: il Garante sanziona un medico che utilizzava i dati dei pazienti per fini elettorali

14 febbraio 2019
Il Garante italiano ha ingiunto a un medico di pagare una sanzione di € 16.000 per aver utilizzato i dati di circa 3.500 ex-pazienti al fine di inviare loro comunicazioni scritte in cui li invitava a votare uno dei candidati delle elezioni del 4 marzo 2018. La responsabilità del professionista si configura sotto due aspetti: innanzitutto non aveva reso alcuna informativa nè al momento della registrazione dei dati, nè alla prima comunicazione (come da precedente Codice Privacy), inoltre aveva utilizzato i dati dei pazienti per finalità diverse da quelle di cura, per cui non aveva richiesto specifico consenso. 



L'EDPB pubblica il suo Work Program per gli anni 2019 e 2020

12 febbraio 2019
L’EDPB rilascia il suo programma di lavoro (Work Program) per il 2019 e 2020, incentrato sulle nuove tecnologie e su temi specifici legati alla protezione dei dati. Tra le nuove attività e linee guida in programma, il complesso tema dei trasferimenti internazionali, la ePrivacy e i servizi online, l’applicazione del GDPR (anche fuori dai confini UE), e il tema dei dati finanziari legati a pagamenti digitali e fatture elettroniche.



Spagna: L'AEPD pubblica uno studio su come l'impronta digitale dei dispositivi influenza la privacy dei cittadini

7 febbraio 2019
L'Agenzia Spagnola di Protezione dei Dati (AEPD) ha pubblicato un articolo sulle attività di profilazione online legate all'impronta del dispositivo: i dati estratti da ciascun dispositivo connesso, infatti, consentono di identificare l'utilizzatore e crearne un profilo univoco basato su abitudini di navigazione, geolocalizzazione, configurazione del sistema, applicazioni e programmi installati, movimenti del mouse, ecc. Tra i punti critici evidenziati dall'AEPD in merito a tali attività di monitoraggio, il mancato rispetto dei princìpi di trasparenza e minimizzazione, l'utilizzo di dati particolari senza che ve ne sia consapevolezza da parte degli utenti, la frequente impossibilità per gli utenti di evitare la raccolta dei dati o di esercitare i diritti stabiliti nel GDPR. Il documento indica quindi alcune misure a disposizione degli utenti per contenere il monitoraggio tramite impronta del dispositivo, oltre a una serie di raccomandazioni per produttori e sviluppatori che intendono sfruttare i dati ottenuti con tali informazioni.



Germania: l'Antitrust limita la raccolta dati di Facebook

7 febbraio 2019
L'Autorità Antitrust tedesca condanna l'attività di Facebook in Germania, che essendo in una posizione dominante sul mercato, raccoglierebbe e combinerebbe dati provenienti anche da altre piattaforme del gruppo Facebook, nonché siti web e app ad esso collegate, senza avere ottenuto dagli utenti un consenso chiaro e conforme al GDPR. Il Garante privacy tedesco sostiene la decisione dell'Autorità per la concorrenza e invita Facebook ad agire prontamente per ripensare il proprio trattamento dati.



Italia: Ruolo del consulente del lavoro dopo la piena applicazione del Regolamento (UE) 679/2016

7 febbraio 2019
Il Garante privacy ha risposto ad un quesito sul ruolo del consulente del lavoro rivolto lo scorso settembre dal Consiglio nazionale dei consulenti del lavoro, sancendo che nel momento in cui il consulente del lavoro tratta i dati dei dipendenti del proprio cliente, ovvero nello svolgimento dell’attività tipica della sua professione, assume il ruolo di Responsabile del trattamento.



Italia: Fusione tra le Authority, i vantaggi ai tempi di big data e Gdpr

5 febbraio 2019
Nell'articolo di Claudio Maria Lamberti di Agenda Digitale, si riportano numerose posizioni della più avanzata dottrina sulla opportunità nell'era digitale di una fusione tra AGCM, AGCOM e Garante Privacy, richiamando anche le ordinanze TAR Lazio n. 335 e 336 nelle quali il giudice suggerisce di cominciare a muoversi in quella direzione. Il tema è chiaro: la tutela del cittadino e dei suoi dati ha oggi molteplici sfaccettuature e tenere gli organi di controllo separati abbassa la tutela del cittadino.



Francia: dati, concorrenza e pratiche commerciali

31 gennaio 2019
Processi di avvicinamento tra le Autorità di protezione Privacy e le Autorità di concorrenza. Il primo step arriva dalla Francia dove il CNIL ha siglato un accordo di colaborazione con la DGCCTF (la francesce AGCM).



Infografica recante i dati relativi all'applicazione del GDPR dal 25 maggio 2018 a oggi

29 gennaio 2019
La Commissione Europea ha pubblicato un’infografica recante i dati relativi alla compliance e all’applicazione del GDPR dal 25  Maggio 2018, data in cui è entrato in vigore il Regolamento Europeo. Ecco i dati più rilevanti: in meno di un anno, ci sono state 95.180 mila segnalazioni ai garanti nazionali di presunte violazioni delle norme sul trattamento dei dati; 41.502 segnalazioni di data breach e 3 casi di emissione di sanzioni amministrative in applicazione del GDPR.



Il Consiglio d’Europa adotta il report su AI e Data Protection

25 gennaio 2019
Il Comitato per la Convenzione 108 sulla protezione dei dati personali ha adottato il report su “Artificial Intelligence and Data Protection: Challenges and Possible Remedies”. All'interno vengono trattate le criticità e le sfide che l’Intelligenza Artificiale pone rispetto all’uso dei dati, e le misure che si possono adottare per sviluppare applicazioni di AI che non ledano i diritti umani e le libertà fondamentali, fornendo indicazioni pratiche anche per gli operatori, produttori e sviluppatori.



EDPB: Privacy Shield, Brexit, Q&A studi clinici, DPIA, linee guida sulla certificazione, collaborazione UE e Australia

24 gennaio 2019
Le ultime notizie sulle attività dell’European Data Protection Board riguardano: la pubblicazione della relazione inerente la seconda revisione annuale del Privacy Shield (UE-USA), le possibili conseguenze della Brexit nel settore della protezione dei dati, l’adozione di un parere inerente le GA in materia di studi clinici, l’adozione da parte del EDPB delle Linee Guida sulla certificazione, l’apertura di una collaborazione tra UE e Australia in materia di protezione dei dati.



Francia: Il CNIL impone una sanzione di 50 mln euro a Google

21 gennaio 2019
Il Comitato ristretto della CNIL, Autorità Garante francese, ha imposto una sanzione pecuniaria di 50 milioni di euro nei confronti della società GOOGLE LLC, in conformità al regolamento generale sulla protezione dei dati (GDPR), per mancanza di trasparenza, informazioni inadeguate e mancanza di consenso valido in merito alla personalizzazione degli annunci.



Francia: Utilizzo delle interfacce grafiche e conseguenze sulla capacità di prendere scelte consapevoli

18 gennaio 2019
Il Garante francese pubblica il documento “La forma delle scelte”. Il Laboratorio d’innovazione digitale del Garante francese esplora l’utilizzo del design delle “interfacce grafiche” al fine di comprendere le pratiche positive e le pratiche negative per gli utenti dei siti web. 



Italia: Il Garante italiano verifica la conformità dei Codici deontologici

16 gennaio 2019
Il Garante per la protezione dei dati personali ha verificato la conformità dei Codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive al Regolamento Ue 2016/679 sulla protezione dei dati personali. 



Europa: studio sull'utilizzo di impianti chip per i lavoratori

15 gennaio 2019
Il Parlamento Europeo ha pubblicato uno studio sull'utilizzo degli impianti chip e ne ha esplorato le possibili applicazioni nei luoghi di lavoro, considerando anche le problematiche legali (tra cui quelle legate alla protezione dei dati particolari che verrebbero trattati), etiche, legate alla salute e alla sicurezza che potrebbero sorgere.



Italia: Avvio della consultazione sul provvedimento che individua le prescrizioni contenute nelle autorizzazioni generali

11 gennaio 2019
Il Garante privacy italiano ha individuato le Autorizzazioni generali al trattamento che risultano compatibili con il Reg. UE 679/2016 e con il D.Lgs. 101/2018 di adeguamento del Codice. Al fine di raccogliere osservazioni, commenti o proposte ha avviato una consultazione pubblica; gli interessati possono inviare i propri contributi a consultazione.prescrizioni@gpdp.it.



Francia: Sanzioni per mancata tutela della sicurezza dei dati

27 dicembre 2018
Ingenti sanzioni da € 250.000 per una compagnia telefonica francese che non ha rispettato l’obbligo di assicurare la sicurezza dei dati personali degli utenti del suo sito.



San Marino: Legge sulla protezione dei dati personali

21 dicembre 2018
Anche la Repubblica di San Marino ha pubblicato in data 21 dicembre una Legge (171/2018) sulla Protezione delle persone fisiche con riguardo al trattamento di dati personali, entrata in vigore il 5 gennaio 2019. Tra i contenuti, evidentemente ispirati al GDPR e al Codice Privacy italiano, si trova anche l’istituzione dell’Autorità Garante per la protezione dei dati personali (al Tit. VI).



Regno Unito: Protezione dei dati personali e Brexit

13 dicembre 2018
Brexit: Il Garante Britannico ha pubblicato una guida al trattamento dei dati per società aventi sede nel Regno Unito e che operano nell’area economica europea nel caso in cui non venga raggiunto un accordo sull’uscita. Si tratta di indicazioni importanti, poiché la mancanza di un accordo di recesso potrebbe avere conseguenze gravi sul trasferimento dei dati tra il Regno Unito e gli altri paesi membri. 

Questo sito web utilizza dei cookies tecnici e cookies di terze parti, al fine di raccogliere informazioni statistiche sugli utenti. Per saperne di più e per la gestione di tali cookies, clicca qui. Se prosegui la navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un'immagine o di un link) manifesti il tuo consenso all'uso dei cookies e delle altre tecnologie di profilazione impiegate dal sito. Per nascondere questo messaggio clicca qui.