GARANTE PROTEZIONE DATI PERSONALI – Nota 31 gennaio 2022, n. 486 – Riflettori del Garante privacy su cookies, smart toys, app “rubadati” – Marketing: il Garante privacy sanziona l’utilizzo di liste non verificate – Fisco: Garante privacy, attenzione alla limitazione dei diritti dei contribuenti

Riflettori del Garante privacy su cookies, smart toys, app “rubadati” – Marketing: il Garante privacy sanziona l’utilizzo di liste non verificate – Fisco: Garante privacy, attenzione alla limitazione dei diritti dei contribuenti

Riflettori del Garante privacy su cookies, smart toys, app “rubadati” – Parte il piano ispettivo del Garante privacy per il primo semestre 2022 – Smart toys, cookie, app “rubadati”. Ma anche siti di incontri, monetizzazione dei dati, database. Sono questi i nuovi settori su cui si concentrerà il piano ispettivo per il primo semestre di quest’anno appena approvato dal Garante privacy.

L’attività di accertamento dell’Autorità, svolta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, verificherà la correttezza dei trattamenti di dati personali effettuati dai siti di incontri, dagli operatori della cosiddetta monetizzazione dei dati, dai produttori e distributori di smart toys e quelli trattati mediante algoritmi e sistemi di intelligenza artificiale. Ma le attività ispettive riguarderanno anche i dati trattati da fornitori di database, la  gestione dei cookies da parte delle piattaforme e dei siti web, l’uso dei sistemi di videosorveglianza.

Ulteriori accertamenti faranno luce sulla corretta individuazione dei titolari e dei responsabili del trattamento in ambiti pubblici e privati, anche in relazione all’utilizzo di app e altri applicativi spia.

Attenzione particolare sarà riservata all’acquisizione di dati personali da parte di app istallate sugli smartphone e alla verifica del corretto trattamento dei dati da parte di app diverse da “Verifica C19”.

Il Garante potrà svolgere ulteriori attività ispettive d’ufficio, o sulla base di segnalazioni o reclami.

Marketing: il Garante privacy sanziona l’utilizzo di liste non verificate

Il committente risponde anche per le società di cui si avvale. Grave il fenomeno delle “scatole cinesi”

Chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati. Questa la decisione del Garante per la privacy nel sanzionare due società per l’invio di milioni di sms pubblicitari.

L’Autorità era intervenuta su richiesta di due reclamanti che si lamentavano per la continua ricezione di messaggi indesiderati. Entrambi avevano provato a contattare la società che inviava i messaggi o quella che offriva le promozioni, chiedendo di non essere più disturbati, ma senza successo e senza neppure ottenere riscontri soddisfacenti su dove avessero acquisito i loro dati personali.

Nel corso dell’istruttoria, il Garante ha verificato che la società committente aveva incaricato un’azienda operante nel marketing di inviare sms promozionali a potenziali clienti. La società di marketing si era poi avvalsa di altri fornitori che a loro volta avevano acquisito le banche dati da terzi. In questa successione di passaggi, sul modello delle scatole cinesi, è emerso che i dati delle persone contattate provenivano da liste non verificate – con evidenti profili di illiceità – costituite da soggetti esteri con informazioni in parte derivanti da registrazioni a portali informativi o da concorsi online. Due list editor avevano dichiarato la propria sede in Florida e in Svizzera senza aver neppure nominato un proprio rappresentante in Italia, in violazione del GDPR. Al riguardo l’Autorità ha ricordato che l’ordinato svolgimento delle attività di marketing, con l’utilizzo di dati raccolti lecitamente e aggiornati, oltre ad evitare pericolose derive (quali phishing e truffe), giova al mercato stesso tutelando gli operatori virtuosi e rafforzando la fiducia degli interessati. È pertanto necessario adottare la massima diligenza nella selezione delle banche dati.

Il Garante ha quindi sanzionato la società committente per 400.000 euro, in quanto titolare del trattamento dei dati, per non aver mai verificato che l’azienda incaricata dell’attività promozionale eseguisse correttamente le istruzioni previste nel contratto.

Alla seconda società, in quanto fornitore del servizio di marketing, il Garante ha vietato l’uso di dati provenienti da fonti che non rispettino i requisiti minimi di legittimità e ha imposto una sanzione di 200.000 euro.

Una terza società, coinvolta nell’istruttoria per acquisire informazioni, ha ricevuto una sanzione di 90.000,00 euro per non aver mai dato riscontro alle richieste del Garante, reiterando una condotta omissiva già oggetto di precedente sanzione.

Tutte le sanzioni sono state calcolate sulla base di vari parametri, tra il cui fatturato societario, il grado di collaborazione offerto e la gravità delle violazioni commesse.

Fisco: Garante privacy, attenzione alla limitazione dei diritti dei contribuenti

Il Garante per la privacy ha espresso parere favorevole, con alcune osservazioni, sullo schema di decreto del MEF che individua le categorie e le finalità dei trattamenti di dati, connessi alla lotta all’evasione fiscale, per i quali viene limitato l’esercizio dei diritti dei contribuenti.

Lo schema di decreto, che attua quanto previsto dalla legge di bilancio 2020, prevede che l’Agenzia delle entrate, dopo la pseudonimizzazione di specifici set di dati contenuti nell’archivio dei rapporti finanziari, attraverso processi automatizzati e interconnessioni con le altre banche dati di cui dispone, individui i criteri di rischio utili per far emergere le posizioni da sottoporre al controllo.

Lo schema in esame, tiene già conto di alcune indicazioni fornite durante le interlocuzioni informali intercorse con il MEF e l’Agenzia delle entrate, ma, poiché le limitazioni alla portata dei diritti dei contribuenti incidono in modo rilevante sulla protezione dei dati personali, l’Autorità ha chiesto ulteriori modifiche per assicurare la conformità dei trattamenti alla normativa privacy europea e nazionale.

Considerate le caratteristiche dei trattamenti che si intendono effettuare, il Ministero dovrà introdurre specifiche cautele per quelli automatizzati, in modo da ridurre i rischi per i contribuenti: in particolare per quanto riguarda la rappresentazione della capacità contributiva e poter quindi correggere potenziali errori o distorsioni che potrebbero verificarsi nel processo decisionale.

Il Mef dovrà poi specificare nel dettaglio le categorie di dati oggetto di limitazione e nell’informativa indicare in modo più trasparente le attività di profilazione degli interessati.

Il Garante ha inoltre chiesto di integrare lo schema di decreto prevedendo specifiche garanzie per il differimento del diritto di accesso dei contribuenti che, all’esito degli accertamenti, saranno risultati in regola.

L’adeguatezza delle misure a tutela dei diritti e delle libertà degli interessati sarà verificata dall’Autorità nell’ambito dell’esame delle valutazioni di impatto sulla protezione dei dati che saranno predisposte da Agenzia delle entrate e Guardia di finanza, e del provvedimento del Direttore dell’Agenzia.