Newsletter 01/2023

OSSERVATORIO VECOMP

In Europa violare la privacy è costato 1,6 miliardi in multe
Si è chiuso un 2022 da record per i Garanti della privacy degli Stati europei.
Un anno in cui l'importo complessivo delle sanzioni inflitte per violazioni del GDPR ai big del tech (e non solo) è stato pari a 1,64 miliardi di euro, con un aumento del 50% rispetto all'anno precedente.

In Italia il totale delle sanzioni corrisponde a circa 63 milioni di euro, numeri che mettono il nostro Paese in 6° posizione dopo Irlanda, Lussemburgo, Francia, Spagna e Germania. Lo studio, che somma tutte le multe erogate sotto l'ombrello della normativa del GDPR, è stato stilato da Dla Piper, uno studio legale internazionale che sta registrando anno dopo anno l'andamento crescente delle sanzioni.
La multa più alta è stata data nel 2021 dall'Autorità del Lussemburgo, che ha comminato una sanzione di 746 milioni di euro contro una società che fa vendite online.
Emerge infine un dato rilevante sui data breach: dopo quattro anni consecutivi di crescita, il volume dei data breach notificati ai garanti privacy ha registrato per la prima volta un calo. Dal gennaio 2022 sono state, infatti, notificate alle autorità di regolamentazione circa 109.000 violazioni dei dati personali contro le 120.000 del 2021.
Data: 19 gennaio 2023
Fonte: Dla paper report

HISTORIES

Sanità in Veneto: il Garante avvia un’istruttoria sull’algoritmo RAO
La Regione intende differenziare in modo automatico i tempi di attesa in base a criteri clinici classificati per gradi di priorità. Ecco i punti critici.

Il Garante per la protezione dei dati personali ha inviato alla Regione Veneto una richiesta di informazioni per verificare la conformità alla normativa privacy di una Delibera, in base alla quale non sarebbero più i medici di medicina generale a scegliere la classe di priorità della prestazione richiesta per il paziente, ma un sistema basato sull’intelligenza artificiale. Sarebbe in sostanza un algoritmo a stabilire i tempi di attesa per le prestazioni prescritte.
 
Di fronte ad un possibile trattamento su larga scala di dati particolarmente delicati come quelli sulla salute, il Garante ha deciso di avviare un’istruttoria. Entro fine gennaio la Regione Veneto dovrà comunicare all’Autorità ogni elemento utile alla valutazione del caso, precisando in particolare:
 

• se l’attribuzione della classe di priorità delle prestazioni sanitarie (urgente, breve, differita, programmata) sia realmente effettuata in forma automatizzata, attraverso algoritmi. L’indicazione della classe di priorità non sarebbe, peraltro, modificabile dal medico.
• la norma giuridica alla base del trattamento,
• la tipologia di algoritmo utilizzato, i data base e i tipi di informazioni e documenti clinici che verrebbero trattati
• le modalità utilizzate per informare gli assistiti dell’iniziativa,
• fornire elementi sulla valutazione di impatto effettuata
• indicare il numero di pazienti coinvolti dal trattamento. 

Data: 18 gennaio 2023
Comunicato stampa
 

IL PUNTO SU...

Marketing online: indicazioni del Garante in 2 ingiunzioni
Il Garante è tornato a pronunciarsi sul marketing online con due diverse ingiunzioni, che forniscono importanti indicazioni in merito alla gestione delle campagne pubblicitarie online.

Con le due ingiunzioni n. 348 e 379, rispettivamente del 20 ottobre e del 10 novembre 2022, entrambe a seguito di una segnalazione proveniente da parte di un interessato, i nuclei speciali della Guardia di Finanza hanno segnalato irregolarità in merito alle informative fornite, agli strumenti utilizzati per le campagne di marketing, all’uso dei cookie, alla tracciabilità dei consensi ed alla policy di data retention.
 
Nel primo caso, la sanzione è stata inflitta ad un gruppo societario per aver usato i dati personali dei clienti di due catene acquisite con una fusione.  L’attività istruttoria ha rivelato che i clienti delle società acquisite non sono stati informati del fatto che i loro dati sarebbero stati  incorporati e trasferiti alla società acquirente e nuova controllante, e non venivano richiesti i nuovi consensi.


Nel secondo caso, il Garante ha accertato che la società ispezionata (operante nel settore delle telecomunicazioni) utilizzava i dati raccolti per finalità marketing diverse, senza informative né consensi (ad esempio gli utenti che avevano dato il consenso alla ricezione di SMS ricevevano anche telefonate, e viceversa), ivi comprese le forme di marketing con strumenti automatizzati.
 
Dalle due ordinanze possiamo elencare alcuni importanti principi che vanno rispettati in tema di marketing online e di raccolta e tracciamento dei consensi:
 

• Le informative privacy e cookie devono essere differenziate
• I consensi marketing devono essere specifici e indicare le modalità con cui le attività promozionali vengono effettuate
• Attenzione a dove e come i consensi vengono archiviati
• Retention policy: rimane valida l’indicazione del garante sulla conservazione dei dati per finalità di marketing (24 mesi) e per la profilazione (12 mesi) 

DOMANDE E RISPOSTE

Per quanto tempo può essere conservato un consenso?
Il Garante privacy si è espresso ritenendo che i dati possono essere trattati per 24 mesi per le finalità di marketing e per 12 mesi per quelle di profilazione. In ogni caso, il consumatore può sempre richiederne la cancellazione.
 
Posso condividere le mie credenziali di accesso con il collega che fa il mio stesso lavoro?
No, utilizzare sempre esclusivamente le proprie credenziali di autenticazione. Non condividere la propria password con altre persone e non comunicarle ad altri.
Le credenziali vanno conservate con la dovuta riservatezza (evitare di scrivere le proprie password su foglietti di carta o agende)
 
Si possono usare le telecamere per controllare i dipendenti?
Non si possono usare le telecamere per controllare le attività dei lavoratori, né in tempo reale né visionando le registrazioni in un momento successivo. L’art. 4 dello Statuto dei lavoratori permette la videosorveglianza dei luoghi di lavoro soltanto «per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale».