Dicembre 2020
Dicembre 2020
OSSERVATORIO VECOMP
Tik Tok, a rischio la privacy dei minori
Il Garante italiano avvia un procedimento.
Il Garante ha contestato importanti violazioni alla tutela dei dati personali a Tik Tok ed ha aperto un procedimento formale. L’istruttoria è stata avviata a marzo 2020 ed ha permesso al Garante di formulare le sue contestazioni:
Le modalità di iscrizione non tutelano adeguatamente i minori. Il divieto di iscrizione al di sotto dei 13 anni risulta facilmente aggirabile una volta che si utilizzi una data di nascita falsa.
Manca un’ informativa specifica per i minori e meccanismi di alert che segnalino i rischi ai quali si espongono.
I tempi di conservazione dei dati sono indefiniti rispetto agli scopi per i quali vengono raccolti né sono evidenti le modalità di anonimizzazione che il social network afferma di applicare.
Manca chiarezza riguardo il trasferimento dei dati nei Paesi extra Ue.
Il profilo dell’utente viene impostato di default come “pubblico”. Tale configurazione non tutela la privacy perché si dovrebbe consentire all’utente la scelta di rendere o meno accessibili i dati personali ad un numero indefinito di persone.La società avrà 30 giorni per inviare memorie difensive e chiedere eventualmente di essere sentita.
Data: 22 dicembre 2020
Approfondisci qui
Cookie: la Francia contro Google e Amazon
I cookies pubblicitari senza esplicito consenso costano 135 mln di €.
La Commission nationale de l'informatique et des libertés (Cnil), l'authority francese Garante della privacy, ha inferto una multa da 100 mln di € a Google e di 35 mln di € ad Amazon per non avere rispettato la norma sui cookies. Il Cnil rimprovera ai due siti l’aver installato cookies senza una precedente autorizzazione da parte dell'utente. Inoltre, i banner di informazione non contenevano “indicazioni sufficientemente chiare per l'utente sulle finalità dei cookies e su come rifiutarli”.
In aggiunta alle multe, la Cnil “ha ingiunto alle due società di modificare i loro banner informativi, entro 3 mesi, con una penale di 100 mila euro al giorno oltre tale scadenza”.
Data: 10 dicembre 2020
Cnil e Amazon
Cnil e Google
Multa a Twitter di 450 mila €
Ritardata la comunicazione di un Data Breach.
Il Garante irlandese per la protezione dei dati ha inflitto alla compagnia statunitense una sanzione di
450 mila € per non aver notificato e documentato in modo appropriato la violazione dei dati subita a fine 2018. L’indagine è iniziata a gennaio 2019, dopo aver ricevuto la notifica di violazione dei dati inviata da Twitter a causa di un bug che ha colpito l’applicazione per Android. Stando ai risultati dell’indagine, la notifica è stata inviata con notevole ritardo e senza una dovuta documentazione violando così l’articolo 33 e 35 del GDPR.
Questa sentenza è importante poiché Twitter è la prima multinazionale del mondo dei social network a essere multata dal Garante irlandese, che è il principale supervisore della privacy dell’Unione europea, dato che in Irlanda hanno sede le principali piattaforme del web.
Data: 15 dicembre 2020
Leggi la decisione
HYSTORIES
Non si può costringere il lavoratore a tenere farmaci e dispositivi medici sulla scrivania
Il Garante ha ordinato al call center Concentrix di conformare il proprio regolamento e di abolire l’obbligo per i propri dipendenti di tenere farmaci e dispositivi medici sulla scrivania della propria postazione lavorativa. Secondo l’analisi condotta dal Garante, la società in questione avrebbe obbligato da regolamento i suoi dipendenti a tenere in vista sulla scrivania eventuali scatole di medicinali e assorbenti, non potendo invece porvi altri oggetti o indumenti. Per effetto di un’ordinanza ingiuntiva il Garante ha obbligato la società ad effettuare le opportune modifiche al regolamento aziendale e ha comminato una sanzione pecuniaria della cifra di 20.000 euro.
Si può geolocalizzare un dipendente in smart working?
No, non si può. Il Garante ha precisato (provv. n. 138/2017 e 362/2018) che gli strumenti di geolocalizzazione non costituiscono strumenti di lavoro ma strumenti di controllo, solo eccezionalmente si possono considerare veri e propri strumenti di lavoro.
Il Jobs Act ha modificato l’articolo 4 dello Statuto dei lavoratori che disciplina i poteri di controllo a distanza da parte del datore di lavoro nei confronti dei lavoratori subordinati. La nuova norma consente di effettuare dei controlli, anche a distanza, sugli strumenti di lavoro utilizzati dal lavoratore per svolgere le sue mansioni anche senza bisogno, per la relativa installazione, di accordo sindacale o dell’autorizzazione dell’Ispettorato del lavoro solo ad una condizione: che il datore di lavoro abbia fornito ai dipendenti un’adeguata informazione sulle modalità di utilizzo degli strumenti e di effettuazione dei controlli. I lavoratori devono insomma essere informati del fatto di essere soggetti a controllo.
Quindi:
- se smartphone e tablet sono strettamente indispensabili per lo svolgimento delle mansioni (senza i quali quindi la prestazione non potrebbe essere resa), essi possono essere oggetto di geolocalizzazione anche senza l’accordo con i sindacati e senza l’autorizzazione dell’Ispettorato del lavoro;
- se smartphone tablet sono necessari per soddisfare esigenze organizzative e produttive del datore di lavoro, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, gli strumenti di geolocalizzaizone possono essere installati ma previo accordo con i sindacati o autorizzazione dell’Ispettorato del Lavoro;
- se smartphone e tablet non rispondono a nessuna di queste finalità ma servono solo per controllare a distanza i dipendenti, essi non possono essere mai installati o autorizzati.
Il datore di lavoro può installare un sistema di videosorveglianza nelle sue sedi?
Sì, esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, nel rispetto delle altre garanzie previste dalla normativa di settore in materia di installazione di impianti audiovisivi e altri strumenti di controllo (art. 4 della l. 300/1970). Il Garante ha anche pubblicato una nuova sezione di FAQ proprio per rispondere a questioni sulla Videosorveglianza.
Possono essere usati i dati che le aziende divulgano pubblicamente, ad esempio reperibili online?
No, questi dati, anche se sono liberamente consultabili, non possono essere utilizzati liberamente per azioni di marketing diretto in assenza di un consenso informato, specifico e formulato in modo non equivoco dall’interessato.
Il double-opt in è ancora raccomandato?
Il double opt-in prevede un doppio step di conferma, da parte dell’utente, circa la volontà di ricevere le comunicazioni. Non è un meccanismo legalmente obbligatorio, ma è certamente un meccanismo virtuoso: assolutamente raccomandato.
Chi definisce la data di scadenza dei dati? E come stabilire se sono diventati obsoleti?
È obbligo del Titolare del trattamento e dei suoi Responsabili stabilire i tempi di conservazione dei dati. Non ci sono al momento indicazioni vincolanti. La normativa si limita a dire che i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento.
Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi.
Cosa fare dei dati scaduti?
Vanno cancellati o in alternativa resi anonimi in modo irreversibile, per essere usati al fine di svolgere analisi aggregate.
Certificazioni di qualità
Verona, Via Dominutti 2
Bolzano, Via Lancia 6/A
Trento, Viale del Commercio 21
Sostenibilità e Rating di Legalità
Via A. Dominutti 2 - 37135 Verona
Tel: 045 8378311
P.Iva: 01336920234