Caméras intelligentes et vie privée : le juste équilibre ?

Telecamere intelligenti e privacy: il giusto equilibrio?

Osservatorio Legale n. 33 – Marzo 2021

Telecamere intelligenti e privacy: il giusto equilibrio?Da marzo, telecamere installate nei trasporti pubblici hanno lo scopo di verificare che gli utenti rispettino l'obbligo di indossare la mascherina. Queste misure fanno parte dell'arsenale messo in atto per fermare la diffusione dell'epidemia di Covid-19.

Le numerose misure di sorveglianza adottate negli ultimi mesi (applicazioni anti-Covid, test per i dipendenti, droni, passaporti vaccinali, ecc.) hanno suscitato dibattiti e reazioni, sia da parte della CNIL che all'interno degli organi parlamentari o dinanzi ai tribunali.

Il sistema di controllo qui menzionato, invece, ha superato senza intoppi il giogo della Commissione per la protezione dei dati, e le ragioni sono semplici: A differenza dei sistemi di videosorveglianza sviluppati nel 2020, che raccoglievano molti dati personali e che erano stati interrotti, questi elaborano il minimo indispensabile di dati per verificare che le mascherine vengano indossate.

Più specificamente, il sistema non elabora dati biometrici né implementa il riconoscimento facciale e i dati non vengono utilizzati per perseguire reati.

L'obiettivo principale è produrre informazioni statistiche e sensibilizzare il pubblico.

Tali garanzie sono tanto più importanti in quanto qualsiasi dispositivo di videosorveglianza costituisce una violazione dei diritti fondamentali e le persone interessate difficilmente possono opporsi al trattamento.

A questo proposito, la CNIL ha ritenuto in passato che dire "no" con la testa davanti a una telecamera non potesse essere considerato un mezzo di opposizione realistico e sufficiente.

A causa di queste violazioni, i sistemi di telecamere intelligenti devono essere regolamentati per legge, come è avvenuto con il decreto pubblicato il 10 marzo relativo all'uso delle mascherine nei trasporti pubblici.

Le garanzie previste dal decreto, nonché gli obiettivi di salute pubblica e di tutela delle persone, appaiono alla CNIL sufficienti a giustificare una limitazione del diritto alla privacy e, in particolare, a escludere il diritto di opposizione.

La Commissione sottolinea tuttavia l’ pericolo di dipendenza individui, dato l'aumento delle attuali misure di sorveglianza.

Insiste quindi sullainformazioni dettagliate persone e per un periodo di utilizzo del dispositivo limitato nel tempo e direttamente collegato al contesto dell'epidemia.

E anche

Francia:

  • Distruzione dei dati personali : la CNIL ricorda, in occasione dell'incendio che ha distrutto un data center OVH il 10 marzo, le misure che il titolare del trattamento deve adottare nei confronti delle persone interessate.

Specifica che l'indisponibilità e la distruzione dei dati costituiscono violazioni dei dati ai sensi del GDPR, che devono essere notificate al titolare del trattamento in determinate condizioni.

La CNIL rimanda anche al sito cybermalveillance.gouv.fr, che fornisce consigli su come gestire tali incidenti.

  • La CNIL ha anche pubblicato la sua priorità di controllo per il 2021Tra questi rientrano questioni relative alla sicurezza informatica dei siti web, alla sicurezza dei dati sanitari e all'uso dei cookie, tutti argomenti di grande attualità.

Ricordiamo che la CNIL ha aggiornato le sue linee guida sui cookie e che ad aprile avvierà un audit approfondito delle loro condizioni di raccolta.

  • Trasferimenti di dati al di fuori dell'Unione Europea: Il Consiglio di Stato ha deciso il 12 marzo di non sospendere la collaborazione tra il Ministero della Salute e Doctolib nel contesto dell'attuale campagna vaccinale, nonostante i rischi citati dalle autorità americane in materia di accesso ai dati, Doctolib si è avvalsa parzialmente di una filiale americana di Amazon per l'hosting dei dati.

Il Consiglio di Stato è convinto, in particolare, nel caso di richieste di accesso da parte di un'autorità americana, dell'esistenza di una procedura specifica che prevede la contestazione di qualsiasi richiesta generale o non conforme alla normativa europea.

I dati ospitati sono ulteriormente protetti tramite una procedura di crittografia basata su una terza parte attendibile con sede in Francia, per impedire che i dati vengano letti da terzi.

  • Dati professionali : Il 9 marzo, il tribunale di Parigi ha rifiutato di accogliere la richiesta di un dentista di rimuovere il suo profilo e le sue recensioni da Google My Business.

Il tribunale conferma la natura personale di tali dati ma ritiene che l'art. equilibrio dei diritti si schiera a favore della libertà di espressione e di informazione di Google e degli utenti di Internet, fornendo informazioni relative all'esercizio della professione odontoiatrica e alle esperienze dei pazienti interessati.

  • In un contesto analogo, la Corte di Cassazione, con sentenza del 17 febbraio, ha insistito sulla necessità di tale bilanciamento dei diritti e degli interessi in gioco, in ordine alla pubblicazione su Internet di una condanna penale collegato all'attività professionale del ricorrente.

Il fatto che tali informazioni siano pubbliche e di natura professionale non implica che possano essere pubblicate su Internet senza la previa verifica dell'invasione della privacy del denunciante.

Il bilanciamento dei diritti e degli interessi in gioco deve tenere conto del possibile "contributo della pubblicazione incriminata a un dibattito di interesse generale, della notorietà della persona interessata, dell'oggetto della segnalazione, della condotta precedente della persona interessata, del contenuto, della forma e delle ripercussioni di detta pubblicazione".

Nel caso di specie, la Corte ritiene che questo bilanciamento non è stato effettuato e rinvia le parti alla Corte d'appello.

Europa:

  • Il GDPR, due anni dopo: 

Il 25 marzo il Parlamento europeo ha adottato una risoluzione sulla relazione di valutazione della Commissione europea sull'attuazione del GDPR.

Sostiene la necessità di perseguire tale attuazione in modo più efficace, in particolare nel contesto di azioni coordinate da parte delle autorità di vigilanza europee.

A questo proposito, segnaliamo i recenti scontri tra l'autorità tedesca e l'autorità irlandese per la protezione dei dati, quest'ultima accusata di non controllare a sufficienza le "big tech" insediate sul suo territorio.

Il Parlamento europeo individua come prioritarie le problematiche relative al trattamento dei dati effettuato dalle principali piattaforme e servizi digitali, in particolare nell'ambito della pubblicità online, del micro-targeting, della profilazione basata su algoritmi e dei rischi connessi alla diffusione e all'amplificazione delle informazioni sulle reti.

Appare inoltre essenziale sviluppare strumenti per un pubblico più ampio, in particolare per le piccole e medie imprese (PMI), come sottolineato dal Comitato europeo per la protezione dei dati (EDPB) nel suo programma di lavoro 2021-2022. A tal fine, è opportuno segnalare che il Belgio ha appena pubblicato una serie di strumenti pratici per le piccole e medie imprese.

  • Europa: Adozione di due documenti da parte del Comitato europeo per la protezione dei dati:

Per quanto riguarda da un lato le questioni di protezione dei dati concernenti l' auto connesse, e d'altra parte il assistenti vocali.

  • Belgio:  

Nell'ambito di una nuova pubblicazione, la Libera Università di Bruxelles organizza un evento online il 22 aprile su " la società degli algoritmi : tecnologia, potere e conoscenza”. Le iscrizioni sono aperte sul sito dell’università.

Internazionale:

  • STATI UNITI:

Oltre ai progetti di legge attualmente in fase di adozione in diversi stati, è stato appena presentato al parlamento americano un testo a livello federale, denominato "Information Transparency and Personal Data Control Act (ITPDCA)".

Questa legge stabilisce in particolare le condizioni in base alle quali i consumatori devono poter acconsentire o opporsi al trattamento dei propri dati, la trasparenza dei trasferimenti a terzi e l'obbligo di sottoporre il trattamento a controlli periodici.

La Federal Trade Commission sarebbe responsabile della supervisione del rispetto della legge.

  • Corea:

È in fase di conclusione una procedura di adeguatezza della protezione dei dati, che faciliterà lo scambio di dati tra la Corea e l'Unione Europea. Le conclusioni della Commissione saranno presto sottoposte al parere del Comitato europeo per la protezione dei dati.

  • ONU:

Il relatore speciale delle Nazioni Unite sulla privacy, Joseph Cannataci, il cui mandato sta per scadere, ha appena pubblicato un rapporto sull'intelligenza artificiale e la privacy dei minori.

  • GAFA:

Google annuncia che interromperà l'uso dei cookie per un nuovo modello di raccolta dati, il Federated Learning of Cohorts (FLoC), che si rivolge a gruppi anziché a singoli individui, in base a interessi comuni.

Questo annuncio ha suscitato diverse reazioni, alcuni hanno sottolineato che il nuovo sistema di raccolta, pur modificando le tecniche utilizzate, non impedirà la pubblicità rivolta agli utenti di Internet.

Dati su oltre 500 milioni di account Facebook, inclusi i numeri di telefono di molti utenti, sono stati messi in vendita online durante il fine settimana di Pasqua. Si ritiene che i dati provengano da una falla di sicurezza scoperta e corretta nel 2019. 

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT