Decisione WhatsApp: fine dell'impunità per GAFAM in Europa?

Osservatorio Legale n. 38 – Agosto 2021

Decisione WhatsApp: fine dell'impunità per GAFAM in Europa? In un precedente articolo abbiamo parlato delle difficoltà nel raggiungere un accordo a livello europeo in merito all'attuazione del Regolamento generale sulla protezione dei dati. 

La recente decisione dell'autorità di regolamentazione irlandese in merito a WhatsApp dimostra ulteriori progressi nella cooperazione tra le autorità di controllo stabilita dal GDPR.

La sanzione amministrativa da 225 milioni di euro inflitta a WhatsApp il 2 settembre dall'Irlanda segue diverse svolte e cambiamenti all'interno del Comitato europeo per la protezione dei dati (EDPB).

Nell’ambito della procedura di risoluzione delle controversie prevista dall’articolo 65 del GDPR, il Comitato ha costretto l’Irlanda a rivedere le proprie conclusioni : ha dovuto quindi ampliare gli elementi del reato, aumentare significativamente l'importo della sanzione e abbreviare i termini concessi a Whatsapp per conformarsi alla decisione.

Nel calcolo della sanzione, il Comitato ha ritenuto che si dovesse tenere conto non solo del fatturato di WhatsApp, ma anche di quello della sua società madre, Facebook.

Ha inoltre ritenuto che, in caso di violazioni multiple per lo stesso trattamento dei dati, le violazioni debbano essere sommate, pur rimanendo al di sotto del limite di 4% di fatturato previsto dal GDPR.

Va notato che la multa, per quanto possa sembrare consistente, rappresenta solo lo 0,08% del fatturato di Facebook.

Il che fa riflettere se si considera che inizialmente le autorità irlandesi avevano previsto una multa di 50 milioni di euro.

Ricordiamolo All'inizio di agosto, l'autorità lussemburghese per la protezione dei dati ha inflitto ad Amazon una multa di 746 milioni di euro., la sanzione più elevata mai imposta ai sensi del GDPR.

La questione principale dell'indagine era se WhatsApp rispettasse i propri obblighi informativi nei confronti dei propri utenti e dei non utenti, i cui dati vengono anch'essi raccolti.

Le informative sono state ritenute complesse, rendendo impossibile una corretta comprensione degli interessi legittimi perseguiti dalla società.

L'utilizzo della funzionalità "accesso ai contatti" da parte degli utenti è del tutto opaco per i contatti stessi, i cui dati vengono trattati anche se non necessariamente utilizzano l'applicazione.

Oltre alla violazione degli articoli 12, 13 e 14 del GDPR in merito agli obblighi di informazione, il Comitato conclude pertanto che le violazioni sono sufficientemente gravi da costituire una violazione dell'articolo 5(1)(a) del GDPR in merito al principio generale di trasparenza.

La decisione dell'autorità irlandese, rafforzata dal Comitato, costituisce un'utile pietra miliare per i titolari del trattamento dei dati in relazione agli obblighi informativi del GDPR.

Vengono mantenute le seguenti linee guida:

–           Evitare di disperdere le informazioni in pagine diverse che richiedono all'utente di cliccare su più link, così come infiniti menu a discesa e concentrando le informazioni in un unico posto.

–           Descrivere le operazioni di elaborazione, i dati raccolti e la base giuridica per ciascuna finalità individuata.

Specificare inoltre tali informazioni per ogni terza parte che ha accesso ai dati.

Visualizzare questi diversi elementi in forma tabellare può aiutare a comprenderli chiaramente.

–           Rendere disponibili le informazionin riguardanti i “non utenti” in modo separato e facilmente accessibile.

–           Specificare le circostanze in cui i dati saranno conservati / cancellato, con illustrazioni concrete.

–           Indicare la base giuridica consentire il trasferimento dei dati al di fuori dell'Unione Europea, specificando, in assenza di una decisione di adeguatezza, la base giuridica alternativa.

Un riferimento generico a una pagina web della Commissione europea non è sufficiente.

.

E anche

Francia:

La CNIL prosegue le sue azioni di conformità in materia di cookie.

Ha affrontato una seconda serie di avvisi formali durante l'estate, contro diversi operatori del commercio online, importanti piattaforme dell'economia digitale, autorità locali e il settore bancario.

Lei ha anche sanzionato Il 27 luglio la società Figaro ha versato 50.000 euro per il deposito di cookie pubblicitari senza il consenso degli utenti di Internet.

Coglie l'occasione per ricordare la divisione delle responsabilità tra gli editori dei siti e i loro partner commerciali.

Un difetto del computer ha reso accessibile i dati personali di circa 700.000 persone che si sono sottoposte al test Covid.

Questa violazione della sicurezza evidenzia la diversa affidabilità dei servizi di trasferimento utilizzati dai farmacisti per alimentare la piattaforma SI-DEP del governo.

Sebbene la piattaforma SI-DEP sia di per sé sicura, non tutti i middleware lo sono.

La Direzione Generale della Salute (DGS) ha inviato un'e-mail ai farmacisti per ricordare loro il software approvato e compatibile con SI-DEP.

Quello di Francetest, identificato nel difetto reso pubblico il 31 agosto, non ne faceva parte.

La CNIL Ricordare nell'attuale contesto dell'inizio dell'anno scolastico, i requisiti da soddisfare nell'ambito dell'uso della biometria nelle scuole.

Esamina il riconoscimento del contorno delle mani per l'accesso alle mense scolastiche e delinea i requisiti in materia di informazioni, consenso e sicurezza dei dati.

Aggiunge che il rifiuto di elaborare i dati biometrici e quindi di accedere alla mensa con altri mezzi non deve arrecare danno allo studente interessato.

Europa:

Credito al consumo: il Garante europeo della protezione dei dati (GEPD) ha pubblicato il 26 agosto un parere sulla proposta di direttiva della Commissione europea.

La causa sono i nuovi metodi di valutazione del merito creditizio che utilizzano le tecnologie digitali.

Se tali valutazioni sono essenziali per la concessione del credito al consumatore, il GEPD chiede che determinati dati siano esclusi dalle procedure di valutazione.

Oltre ai dati sanitari e dei social media, il GEPD vuole che il divieto venga esteso a tutti i dati sensibili (ad esempio, relativi alla religione e alle opinioni politiche), nonché ai dati di navigazione degli utenti di Internet.

Il Titolare evidenzia inoltre la necessità di regolamentare meglio il ruolo dei soggetti terzi che forniscono servizi di analisi del credito e la certificazione dei sistemi di intelligenza artificiale in questo settore.

Riconoscimento facciale: il Consiglio d'Europa pubblica linee guida volte a fornire una serie di misure di riferimento per governi, sviluppatori di riconoscimento facciale, produttori, fornitori di servizi ed enti che utilizzano tecnologie di riconoscimento facciale.

L'obiettivo è garantire che, quando vengono impiegati, non violino la dignità umana, i diritti umani e le libertà fondamentali, compreso il diritto alla protezione dei dati personali.

Italia: il Garante per la protezione dei dati personali ha multato Deliveroo per 2,5 milioni di europer l'uso non trasparente di un algoritmo per gestire i propri conducenti di consegna e per la raccolta sproporzionata dei loro dati personali in violazione dei principi di liceità, trasparenza, minimizzazione e limitazione del GDPR.

Internazionale:

La Repubblica Popolare Cinese ha adottato il 20 agosto una legge sulla protezione dei dati personali (PIPL).

La presente legge entrerà in vigore il 1° novembre 2021. 

Il suo scopo non è solo quello di proteggere i dati individuali, ma anche la sicurezza dello Stato e gli interessi economici del Paese per quanto riguarda GAFAM.

La legge prevede obblighi rigorosi in materia di archiviazione locale dei dati e restrizioni sui trasferimenti internazionali.

La presa del potere in Afghanistan da parte dei talebani ha ripercussioni anche nel campo della protezione dei dati.

File multipli, tra cui quello gestito dai Ministeri dell'Interno e della Difesa, conterrebbero informazioni particolarmente sensibili.

Tra i dati in questione rientrano i dati della polizia e dell'esercito di mezzo milione di persone: cognome, nome, ma anche un numero di identificazione collegato a un profilo biometrico, dati sulla carriera e sui rapporti familiari, nonché i dati personali di due "anziani" delle tribù, che fungono da garanti durante il reclutamento.

Tutte queste informazioni, quando cambiano proprietario, possono aiutare a mappare i collegamenti tra comunità locali e gruppi etnici.