Elenco ispezioni del garante – II 2021

Ispezioni Garante

– calendario secondo semestre 2021

 

A luglio è stato reso disponibile sul sito del Garante Privacy l’elenco delle ispezioni previste nel secondo semestre 2021

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9689657

Come di consueto riportiamo un piccolo riassunto per rendere pubblicità all’argomento ed evidenziare alcune specificità del controllo:

a.1 e a.2 Dati biometrici

La videosorveglianza evolve verso sistemi di riconoscimento facciale, i sistemi di gaming permettono il riconoscimento delle peresone (e la creazione di avatar o “refacement”) e pertanto i sistemi devono essere verificati per rispondere ai diritti di privacy, onde non incorrere in un “Grande Fratello” pubblico.

Le applicazioni disponibili che permettono di uploadare dati personali per motivi ludici sono pericolose perché installandole nessuno (non mentite, neppure voi) legge COSA si potrà fare con i dati caricati e DOVE verranno conservati.

Consideriamo che la maggior parte dei dispositivi e delle app possono costare pochi euro e nella maggior parte dei casi sono appoggiati su server “poco idonei” a conservare dati di così estrema sensibilità.

Quali conseguenze?

Furto di identità, truffe, phishing, tutte attività che possono basarsi su sistemi di ingegneria sociale e portare l’utente a “fidarsi” di sconosciuti.

Ben venga dunque questa prassi di controllo, ma prima che dall’Autorità… da noi stessi!

 

 

a.3, a.4 e a.5 “Dati riservati o pubblici”?

Questi 3 punti riguardano le società che effettuano la cosiddetta “rivendita di dati”, ovvero la raccolta di dati per cederli a clienti sotto forma di database, servizi di marketing, o servizi di “valutazione”.

 

In pratica le Società che effettuano trattamento di dati di massa, che in alcuni casi si verificano essere di provenienza da raccolte con “finalità non chiare” o poco trasparenti, saranno tenute a dimostrare la validità delle informative, delle legittimità dei Trattamenti, delle basi giuridiche su cui si poggiano tali attività.

Dati “particolari” e discriminazioni

Verranno poi controllate le cliniche e, probabilmente per gli scandali dovuti alle “selezioni del personale”, anche le società di food delivery.

 

Ovviamente le prime due tematiche sono quelle più importanti dal punto di vista dell’utente, per tutelare la diffusione illegittima di dati raccolti senza chiarezza o addirittura senza autorizzazione (magari con uno scandaglio in rete su indirizzi mail o telefoni).

 

Resta il fatto che anche le azienda appartenenti agli ultimi due settori sono state oggetto di problematiche recenti:

 

  • per il primo settore ricordiamo ad esempio casi di hacking delle aziende ospedaliere, blocco di servizi indispensabili, criptazione di cartelle, ecc
  • nel secondo settore (food delivery) esemplari sono le sentenze su Foodinho (leggi qui) e Deliveroo (leggi qui). In entrambi questi casi c’è stata una valutazione, predisposta da “algoritmi utilizzati per la gestione dei lavoratori” (privacy by design?) sui rider che venivano assegnati alle consegne, discriminando i lavoratori sulla base di raccolte dati “non dichiarate”.

Queste “leggerezze” sono costate 2,6 milioni di euro di sanzione al primo operatore, 2,5 milioni di euro al secondo.

 

Termini di lavoro

 

In totale saranno pianificate, oltre alle ispezioni derivanti dalle denunce e segnalazioni dirette, altre 60 attività ispettive…

sembrano poche, ma l’impegno per verificare le aziende di una certa dimensione ovviamente comporta tempistiche più lunghe.

 

Comunque sia, i tempi per adeguarsi sono ormai agli sgoccioli, se mai ancora qualcuno sta aspettando che “prima o poi capiti”:

l’atteggiamento degli ispettori, nel caso in cui si venisse sottoposti a controllo, a più di 3 anni dalla partenza, e dopo i continui richiami e chiarimenti, non potrà essere indulgente, tempo per adeguarsi ne è stato dato…

 

 

Conclusioni

 

Concludo dicendo che le attività di controllo sono comunque una buona metodologia per far rispettare il Regolamento, perché alla fine, come leggete sopra, nella gran parte dei casi dalla parte degli interessati… ci siamo noi

 

Perché ricordiamoci sempre che

LA SICUREZZA NON PUÒ ESSERE PER MOLTI,

DEVE ESSERE PER TUTTI!