In Irlanda la prima multa per violazione del Gdpr non colpisce un gigante del web ma l'agenzia per l'infanzia

A distanza di 2 anni dall’introduzione del Gdpr si sveglia l’Autorità per la privacy irlandese, ed infligge finalmente la sua prima sanzione con il Regolamento UE 2016/679. Ma l’agenzia per la protezione dei dati guidata da Helen Dixon, più volte messa in discussione per le sue 19 indagini avviate senza però fino ad oggi irrogare una sola multa per violazione del Gdpr, benché sia autorità capofila competente per diversi colossi della tecnologia americani che hanno la loro sede europea proprio in Irlanda, non sanziona Facebook, Twitter, Amazon o Google, ma colpisce l’agenzia di stato per l’infanzia e la famiglia.

Impiegato di banca usava WhatsApp per farsi inviare documenti dai clienti, violato il Gdpr

Lavorava in modo fin troppo "smart' un impiegato della Banca Comercială Română (BCR) che per cercare di facilitate i clienti nella gestione delle pratiche usava il proprio telefonino personale per farsi inviare tramite WhatsApp le copie di documenti e carte d’identità, anche di minorenni e dei loro rappresentanti legali, contravvenendo però così alle procedure di lavoro interne, motivo per cui l’istituto è stato adesso sanzionato per violazione della normativa sulla privacy.

L’Odv non è né un titolare del trattamento e neppure un responsabile esterno

L’Organismo di vigilanza (Odv) è un organismo dell'ente/società. In quanto tale, l’organismo previsto dall’articolo 6 del d.lgs. 231/2008, non è un titolare del trattamento e neppure un responsabile esterno (articolo 28 Regolamento Ue sulla protezione dei dati n. 2016/679, Gdpr). Inoltre, i componenti dell’Odv devono essere designati autorizzati al trattamento.

Se l'incarico di Dpo è affidato a una società il suo referente non deve essere per forza un dipendente

Quando la funzione di Data Protection Officer è assegnata ad una persona giuridica, il referente dalla stessa designato a svolgere le attività non deve essere necessariamente un suo dipendente. Lo ha specificato il Garante per la protezione dei dati personali con una nota di chiarimenti (protocollo n. 16763 del 6 maggio 2020), rivolta a una azienda sanitaria locale piemontese. Questa Asl ha bandito una gara per l’affidamento della funzione di Dpo e, nel corso del procedimento, ha escluso una società partecipante, la quale ha indicato un avvocato come designato a svolgere le relative funzioni.

L'app 'Immuni' alla prova delle Linee Guida 4-2020 dell'European Data Protection Board

Una tabella per mettere a confronto le cautele/caratteristiche definite per la 'app' “Immuni” dall'art. 6 (“sistema di allerta Covid-19”) del Decreto Legge n. 28 del 30 aprile 2020 con i principali requisiti definiti dall'European Data Protection Board (Comitato europeo per la protezione dei dati) nelle recenti Linee Guida n. 4/2020 (l'adozione è del 21 aprile scorso) sull'uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19.

Le insidie della rete ai tempi del Covid-19

L’emergenza sanitaria da Covid-19, che porta molte più persone e per molto più tempo ad essere connesse online e ad utilizzare dispositivi digitali, sta inevitabilmente esponendo sempre di più gli utenti alle continue insidie della Rete. Quando si parla di attacchi provenienti dal Web non si può fare a meno di pensare ai virus, ma vedremo che non sono gli unici pericoli e tra l’altro non sono tutti uguali.