Il Garante tedesco blocca Facebook: non potrà usare i dati di Whatsapp per tre mesi. La vicenda arriva nelle mani del Garante europeo di s-mart.biz

Il Garante tedesco è stato chiaro ed estremamente rigido: l’ordinanza emessa qualche giorno fa impone a Facebook Ireland lo stop all’uso dei dati raccolti dalla sua controllata Whatsapp. Motivazione? L’Autorità di Amburgo ravvede, nell’uso da parte di Facebook dei dati personali raccolti da Whatsapp , di “scopi privati”: manca cioè quello che può essere definito come un interesse legittimo a trattare tali dati.

La decisione – spiega il Garante tedesco – ha lo scopo di salvaguardare i diritti e le libertà di quei milioni di utenti tedeschi che hanno rifiutato di approvare i nuovi termini di utilizzo“.

Lo stop di 3 mesi si deve anche al fatto che il Garante tedesco si rivolgerà al Garante Europeo (EDPS) allo scopo di estendere il blocco a questo trattamento in tutti i 27 stati UE. La procedura d’urgenza durerà appunto 3 mesi. Il Garante tedesco ha fatto anche sapere di aver inviato una richiesta “per indagare sulle attuali pratiche di data sharing” alla Commissione per la Protezione dei Dati irlandese, ma questa non è stata presa in considerazione (e così rinfocolano le polemiche sul Garante irlandese, colpevole secondo alcuni di eccessivo lassismo verso le Big Tech).

L’ordinanza del Garante segue la decisione, preannunciata da Whatsapp, di una progressiva restrizione delle funzioni degli account Whatsapp di quegli utenti che hanno rifiutato di rinunciare al controllo dei propri dati decidendo di non condividerli con Facebook a partire dal 15 maggio 2021. La decisione iniziale per coloro che non avranno accettato la nuova policy di Whastsapp era quella di cancellare tali account, ma con l’aggiornamento della policy della scorsa settimana è stato fatto un passo indietro, introducendo la “sanzione” delle funzioni ridotte.

Whatsapp, da parte sua, ha già fatto sapere che il blocco non comporterà alcuna modifica ai piani: le modifiche alla privacy degli utenti sono confermate e la società conferma che gli utenti dovranno scegliere se utilizzare account con funzionalità limitate o condividere i propri dati con Facebook per usare account a pieno regime. Le parole sono piuttosto dure: “visto che le affermazioni dell’Authority di Ambrugo sono sbagliate, l’ordine (di non trattare i dati n.d.r) non avrà alcun impatto sul roll out dell’aggiornamento” ha dichiarato alla Reuters un portavoce di Whatsapp.

Gli aggiornamenti alla policy di Whatsapp: dove sta il problema?
Il Garante Tedesco, in una nota alla stampa, ha sollevato una serie di dubbi rispetto ai cambiamenti che avverranno nella policy di Whtasapp: cambiamenti che ampliano non poco il poteere di elaborazione dei dati dell’azienda in merito a:

  • il trasferimento dei dati di comunicazione degli utenti ad aziende di terze parti con esplicit riferimenti a facebook;
  • il nuovo obiettivo di “garantire l’integrità dei servizi e la verifica interaziendale dell’account” al fine di determinare un uso appropriato del servizio;
  • l’uso dei dati per connettersi ai prodotti delle aziende di Facebook;
  • l’elaborazione delle informazioni sulla posizione.

Insomma il Garante tedesco si schiera dalla parte di chi, da qualche mese, denuncia la scarsa chiarezza, confusione e contraddittorietà della nuova policy Whatsapp. Non solo: il Garante ha anche scoperto come alcuni dei dati degli utenti Whatsapp (compreso numero di telefono e identificativo del dispositivo) sono già condivisi con Facebook per “la sicurezza della rete e per impedire l’invio di spam). Ora non resta che attendere la decisione del Garante Europeo. 

Il Garante italiano ancora contro TikTok: le misure adottate a tutela dei minori non sono sufficienti. di GDPRlab

Come più volte accennato, il Garante Italiano ha da tempo puntato i riflettori su Tik Tok, sopratutto sul rapporto tra il social media cinese e i numerosissimi utenti minorenni che lo popolano. Il problema non sta soltanto nelle forme e modalità di trattamento dei dati di utenti minorenni, quanTo anche nei rischi che gli utilizzatori corrono sulla pattaforma: dalle challenge a vario tema, alcune delle quali hanno portato a danni fisici se non addirittura alla morte dei partecipanti, fino al problema della pedopornografia… insomma regolare l’accesso a Tik Tok da parte degli utenti minorenni è un atto dovuto non soltanto in termini della protezione dei dati sensibili di utenti “sensibili”, ma anche in termini di protezione dell’incolumità, fisica e psicologia, dei ragazzi.

Sul tema il Garante è stato chiarissimo, intimando a tik Tok una serie di provvedimenti urgenti da adottare, alcuni dei quali sono già stati implementati:

Tra il 9 febbraio, inizio del blocco imposto dal Garante, e il 21 aprile sono stati più di 12 milioni e mezzo gli utenti italiani ai quali è stato chiesto di confermare di avere più di 13 anni per accedere alla piattaforma e sono stati oltre 500 mila gli utenti rimossi perché probabili infratredicenni: circa 400 mila perché hanno dichiarato un’età inferiore ai 13 anni e 140 mila attraverso una combinazione di moderazione e strumenti di segnalazione implementati all’interno dell’app”.

Risultati buoni, ma non sufficienti, ha dichiarato il Garante, che ha chiesto esplicitamente a Tik Tok di mettere in campo ulteriori interventi per impedire l’accesso alla piattaforma a chi ha meno di 13 anni.

Da parte sua Tik Tok ha preso l’impegno di garantire la cancellazione entro 48 ore degli account segnalati che, all’esito di verifiche interne, risultino facenti capo ad utenti con età inferiore a 13 anni. Non solo: il punto più importante è il fatto che Tik Tok ha ribadito che metterà in campo tutti gli sforzi possibili per rafforzare le verifiche di accesso al social, sfruttando anche l’aiuto dell’intelligenza artificiale. La volontà condivisa è quella di minimizzare i rischi che gli utilizzatori sotto i 13 anni di età possono correre sulla piattaforma.

TikTok sta anche organizzando una serie di iniziative comunicative, interne all’app ma anche sui giornali e radio, per educare e sensibilizzare gli utenti sull’uso sicuro e consapevole del social che, come sappiamo, è stato duramente criticato per i fatti di cronaca nera che lo hanno, suo malgrado, visto protagonista. Anche l‘informativa sul trattamento dati sarà rivista, al fine di renderla molto più semplice e chiara alla lettura: probabilmente avrà anche una modalità di consultazione interattiva dedicata proprio agli utenti minorenni, al fine di semplificare il più possibile la comprensione dell’informativa stessa e, si spera, migliorare la sicurezza dell’esperienza sull’app.

La collaborazione col Garante
Un dettaglio molto importante è la volontà espressa da Tik Tok di collaborare strettamente col Garante: il social metterà in condivisione col Garante dati e informazioni relativi proprio all’efficacia e utilità delle misure adottate, al fine di studiare collegialmente ulteriori miglioramenti e nuove misure che possano essere efficaci. Fatto in parte dovuto: il Garante da parte sua continuerà a vigiliare sull’adempimento da parte di TikTok degli impegni presi, mettendo a verifica quanto fatto e questo avverrà indipendentemente dal grado di collaborazione che ByteDance offrirà.

Arriva il Centro di trasparenza e responsabilità europeo
Per confermare la volontà di cambiare rotta, TikTok ha anche annunciato che, dal 2022, sarà attivo il primo Centro di trasparenza e responsabilità europeo, con sede in Irlanda: il centro sarà aperto ad esperti del settore e autorità, che avranno così modo di verificare le modalità con cui sono gestiti i dati, la privacy e la sicurezza degli utenti.

Nel Luglio 2020 una struttura equivalente è stata aperta negli Stati Uniti: quella irlandese sarà per ByteDance, proprietaria di TikTok, la prima struttura del genere in Europa.

I dati illecitamente ottenuti non possono essere utilizzati di Avv. Gianni Dell’Aiuto

Il Garante per la Protezione dei dati personali si è immediatamente attivato di fronte delle notizie di stampa che hanno riferito del data breach di Linkedin, a seguito del quale sono oggi disponibili in rete i dati di circa mezzo miliardo di utenti che sono stati sottratti mediante web Scraping. Si tratta, questa, di una tecnica usata per sottrarre dati mediante programmi software che simulano una normale navigazione mediante i browser più utilizzati quali Mozilla e Firefox.

Il nostro Garante ha preso atto di come, tra i dati così ottenuti dagli hacker, vi possano essere nomi completi e indirizzi email di utenti che possono essere collegati ad altri social nonché le qualifiche professionali degli iscritti ad una piattaforma usata esclusivamente per motivi di lavoro. Non è possibile escludere che siano stati oggetto di sottrazione anche altri dati sensibili.

Se da un lato qualcuno potrebbe pensare che, in teoria, i dati che gli utenti rilasciano su internet siano volutamente esposti in quanto ciò che viene ricercato è una forma di visibilità personale, i rischi di utilizzo illecito sono elevatissimi, in particolare da parte di aziende che, nonostante le ultime, recenti, salate sanzioni dello stesso Garante, continuano attività di telemarketing.

Il Garante ha quindi chiesto informazioni sul Data breach a Linkedin, ma non si è sottratto dal ricordare come ai sensi dell’art. 2-decies del Codice Privacy, così come modificato, i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati ed ogni trattamento sarebbe privo di una valida base giuridica.

Sulla base di queste premesse il Garante ha emesso un avvertimento a chiunque, per qualsiasi ragione, tratti dati personali: l’avvertimento specifica che ogni forma di trattamento dei dati personali oggetto della violazione descritta in premessa si porrebbe in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del GDPR, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali.

Un ammonimento che si spera non resti lettera morta nei confronti di chi pensasse di accedere a questa miniera di informazioni per farne uso.

Dopo regolare denuncia del furto di un hard disk con dati personali, l’ARPAC Campania subisce comunque la sanzione del Garante.. di GPDRlab

Oltre il danno, la beffa si potrebbe dire però il GDPR sul tema è chiaro: in caso di esposizione di dati personali aziende ed enti pubblici hanno il dovere di presentare comunicazione al Garante. Garante che però ha, a sua volta, il dovere di avviare un’istruttoria per verificare l’accaduto e sanzionare eventuali mancanze anche da parte del denunciante. E così è successo ad Arpa Campania (ARPAC), l’Agenzia Regionale per la Protezione dell’Ambiente: un dipendente dell’ente, dopo aver subito il furto di un hard disk contenente dati personali, ha sporto denuncia presso i Carabinieri ma anche, coerentemente con le previsioni del GDPR, il Garante per la protezione dei dati personali.

Tutto corretto e degno di lode, si potrebbe dire: non per il Garante però, che ha deciso comunque di sanzionare ARPAC.

Dopo aver effettuato le dovute verifiche infatti, la nostra Authority ha emesso il provvedimento n. 5/2021 con il quale, alla luce del combinato disposto dagli artt.5 e 32 del GDPR, ha sanzionato l’ARPAC per 8.000 euro circa a titolo di sanzione amministrativa con pubblicazione del provvedimento sul sito dell’Autorità visto che

la violazione è emersa in occasione di una condotta presumibilmente criminosa che potrebbe presentare aspetti di carattere penale, stante peraltro la denuncia presentata dall’Agenzia alle autorità competenti, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del regolamento del Garante n. 1/2019.”

La motivazione? Semplicemente l’hard disk smarrito, contenente dati personali sia provenienti dall’ambito lavorativo che privato dei dipendenti ARPAC, non aveva attivo alcuno strumento di protezione dei dati: in dettaglio il Garante rilevava l’assenza sia di qualsiasi meccanismo di criptazione dei dati che di limite all’accesso agli stessi, consentendo quindi al ladro di poter accedere senza alcuna limitazione al contenuto dell’hard disk rubato.

Ecco perchè il Garante ha ritenuto che, nonostante il furto subito, il titolare del trattamento resti responsabile dei dati, quindi anche della mancata implementazione di misure di sicurezza preventiva: da qui il provvedimento sanzionatorio.