OSSERVATORIO VECOMP
 

Pass vaccinale: il dibattito sulla Privacy  
Le norme contenute nel Decreto Riaperture non sono sufficienti ad assicurare la tutela dei diritti e delle libertà dei cittadini. Ecco il Provvedimento del Garante.

Il Decreto Riaperture (Decreto-legge n. 52 del 22 aprile 2021) introduce le “certificazioni verdi Covid-19”, da rilasciare quando: 1) l’ospedale o il medico di famiglia certifica che si è guariti dalla Covid-19; 2) si è ricevuta la seconda dose di vaccino; 3) si è in possesso di un test molecolare o antigenico rapido con risultato negativo. Va chiarito che il Pass vaccinale (o green card) - così come è stato definito - non esiste ancora.
Per la sua istituzione si aspettano le disposizioni del Ministero della Salute e della normativa europea, che potrebbe o meno superare la norma nazionale. Nel frattempo, Il Garante con il Provvedimento n. 156 del 23 aprile ha indirizzato al Governo l’elenco delle criticità che ha riscontrato nella definizione di questo “pass vaccinale”. Ecco alcune delle questioni sollevate nel Provvedimento:

• sarebbe stato necessario eseguire una valutazione di impatto preventiva
• manca una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale
• è discutibile la scelta di adottare un sistema nazionale provvisorio prima dell’avvio del certificato europeo. Il rischio è che il sistema nazionale possa trovarsi disallineato rispetto a quello europeo.
• viene meno il principio di minimizzazione dei dati con tre certificazioni diverse che distinguono tra vaccino, pregressa malattia, o test negativo.
• mancano l’indicazione dei tempi di conservazione dei dati e le misure necessarie per garantirne l’integrità e la riservatezza. 

Data: 23 aprile 2021
Fonte: Provvedimento n. 156 del 23 aprile 2021


LinkedIn: furto dei dati di 500 mln di utenti
In vendita un massiccio database di dati rubati: ID, indirizzi e-mail, numeri di telefono, collegamenti ad altri profili Linkedin e di altri social.

Dopo il caso di Facebook, è il turno di Linkedin. I ricercatori di Cyber News hanno identificato sul dark web un imponente database di dati personali provenienti dai profili di LinkedIn. Non è chiaro se provengano da una violazione (odierna o precedente) subita da LinkedIn o da altre aziende. Chi ha messo in vendita questa grande quantità di profili, per dimostrarne la legittimità, consente di scaricarne un campione di 2 milioni al prezzo simbolico di 2 dollari mentre, per l’intero database, ne sono richiesti 1.800.
Come per Facebook, anche nel caso di LinkedIn si tratta di "scraping", cioè di un’estrazione di dati da un sito web per mezzo di un software e quindi non un 'data breach', cioè una violazione delle piattaforme condotta con un cyber-attacco. Il Garante ha avviato un'istruttoria e ha adottato un Provvedimento con il quale avverte chiunque sia entrato in possesso dei dati personali provenienti da questa violazione che il loro utilizzo rappresenta un trattamento illecito e che comporta pesanti sanzioni. 
Il Garante richiama inoltre tutti gli utenti interessati dalla violazione alla necessità di prestare, nelle prossime settimane, particolare attenzione a eventuali anomalie connesse alla propria utenza telefonica e al proprio account. Questi dati infatti potrebbero essere utilizzati per una serie di condotte illecite, che vanno dalle chiamate e dai messaggi indesiderati sino minacce gravi come le truffe on line o il furto di identità o a fenomeni come il cosiddetto "SIM swapping", una tecnica utilizzata per violare determinate tipologie di servizi online che usano il numero di cellulare come sistema di autenticazione.

Data: 8 aprile 2021
Fonte: Comunicato Stampa del Garante e Provvedimento n. 131


Tik Tok: ancora sotto i riflettori del Garante
Ordinato il blocco per vietarne l’uso ai minori.
 
Il Garante era già intervenuto con un precedente Provvedimento nei confronti di Tik Tok (n. 20 del 22 gennaio 2021) perché ne fosse limitato l’uso previa verifica dell’età degli utenti.  Ad oggi le misure adottate dal social network sono risultate inadeguate e pertanto il Garante ha ingiunto a Tik Tok di:

• vietare l’accesso alla piattaforma ai minori di 13 anni;
• vietare l’accesso alla piattaforma ai minori di 14 anni privi del consenso dei genitori;
• vietare l’ulteriore trattamento dei dati già raccolti dei quali Tik Tok non risulti in grado di verificare l’età o, almeno, l’appartenenza alla fascia degli ultra-tredicenni autorizzati dai genitori fino all’età di anni 14. 

Nel medesimo Provvedimento, il Garante ricorda che, in caso di inosservanza, potranno trovare applicazione la sanzione penale di cui all’art. 170 del Codice (reclusione da 3 mesi a 2 anni) e le sanzioni amministrative previste dall’art. 83, par. 5, lett. e) del GDPR (20 Milioni di Euro o fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Data: 25 marzo 2021
Fonte: Provvedimento n. 126 del 25 marzo 2021




HYSTORIES

• Attivando per la propria rete di vendita numerazioni telefoniche censite e iscritte al ROC.
• Dotando la propria infrastruttura di adeguate misure di protezione.
• Vietando l’uso di liste anagrafiche fornite da partner terzi, senza il consenso specifico, libero e informato degli interessati alla comunicazione a terzi dei propri dati. 

DOMANDE E RISPOSTE

Esiste una privacy per chi è deceduto?
Quando si parla di dati personali ci si riferisce a qualsiasi informazione riguardante una persona fisica identificata o identificabile. Quest’ultima viene detta «soggetto interessato»: si tratta cioè del soggetto a cui si riferiscono i dati personali. Il decesso della persona fisica comporta il venir meno della sua qualità di interessato. I suoi diritti però non si estinguono, ma passano ai suoi eredi. Sono questi ultimi ad aver accesso alle informazioni e ai dati personali del soggetto deceduto. Ma anche altri soggetti possono far valere diritti che, nell’ambito della normativa sulla privacy, sono riconosciuti all’interessato stesso come, per esempio, il diritto di accesso agli atti amministrativi (Artt. 15-22 del GDPR).  Quindi, quando i dati  personali si riferiscono a un defunto i diritti dell’interessato possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione come appunto nel caso degli eredi. Ciò che si evince dal GDPR è che agli eredi non spetta un diritto incondizionato all’accesso ai dati del defunto: tale diritto è condizionato a una previa valutazione circa la sussistenza di un interesse meritevole di tutela.

L’appartenenza alle Associazioni è un dato sensibile
Sì, il Garante ha confermato nel suo parere n. 19/2021 emesso il 14 gennaio scorso, secondo cui l’identità degli iscritti alle associazioni è inviolabile e l’appartenenza ad una associazione è un dato sensibile.
 
Videoregistrare un’assemblea di condominio è legale?
Il Garante ha precisato che è consentito videoregistrare la riunione solo con il consenso dell’unanimità dei partecipanti. Il nuovo articolo 66 delle disposizioni di attuazione al Codice civile consente di effettuare una riunione di condominio in videoconferenza se c’è la volontà della maggioranza dei condomini, anche se non previsto dal regolamento condominiale. Da ciò consegue che all’apertura dell’assemblea, laddove la si voglia videoregistrare, occorre raccogliere il consenso unanime dei partecipanti. Il consenso deve essere espresso in modo chiaro e mediante una dichiarazione, agevolmente documentabile in forma scritta.
 
Telemarketing: possono chiamarmi se ho negato il consenso?
La Corte di Cassazione ha recentemente confermato il divieto del Garante della Privacy nei confronti di Tim di portare avanti la campagna marketing “recupero consenso“. Con questa iniziativa l’azienda cercava di recuperare il consenso al trattamento dei dati personali di coloro che lo avevano negato in precedenza. Questa importante pronuncia dovrebbe fare chiarezza per il futuro e mette un paletto alle attività indiscriminate dei call center delle grandi aziende. I giudici confermano che “una comunicazione telefonica finalizzata a ottenere il consenso per fini di marketing, da chi l’abbia precedentemente negato, è essa stessa una comunicazione commerciale".