Utilizzo di algoritmi valutativi nelle scuole: rating reputazionale sotto la lente del Garante privacy
Con un comunicato del 3 maggio 2022, il Garante per la protezione dei dati personali ha inviato una richiesta di informazioni all’Associazione Crop News Onlus, operante nel settore del rating “reputazionale”, che avrebbe promosso un progetto per sperimentare, nei confronti degli studenti, il rating “reputazionale” elaborato sulla base di algoritmi dalla Piattaforma Mevaluate.
Sul tema dell’utilizzo di piattaforme per l’elaborazione di profili reputazione, peraltro, il Garante Privacy si era espresso con il provvedimento n. 488 del 2016, ritenendo che i trattamenti di dati personali effettuati dal titolare della piattaforma oggetto di verifica da parte dell’Autorità non fossero conformi con gli artt. 2, 3, 11, 13, 23, 24 e 26 dell’ex Codice Privacy.
Il Garante, considerata la delicatezza del progetto che si rivolge a soggetti particolarmente vulnerabili (studenti e minori), ha chiesto all’Associazione di far pervenire entro 30 giorni ogni informazione utile alla valutazione del trattamento di dati effettuato.
Leggi il comunicato
Leggi il provvedimento
Il Garante Privacy chiede maggiori garanzie sulla piattaforma per i referendum online
Il Garante per la protezione dei dati personali ha fornito un parere non favorevole al Ministero per l’innovazione tecnologica sullo schema di Dpcm che fissa le regole della piattaforma per la raccolta delle firme per referendum e progetti di legge.
L’Autorità ritiene che siano troppi i profili critici emersi dall’esame di un provvedimento che incide su istituti di democrazia diretta costituzionalmente garantiti, quali appunto i referendum.
Il testo sottoposto all’Autorità, infatti, risulta attualmente privo di adeguate tutele per il pieno rispetto dei diritti e delle libertà fondamentali dei cittadini e, per tale ragione, ha indicato al Ministero una dettagliata serie di condizioni e osservazioni alle quali attenersi, al fine di scongiurare il rischio che si verifichino trattamenti di dati personali non conformi alla normativa vigente.
Il Garante Privacy sanziona un ente di ricerca pubblico per l’inadeguatezza delle misure di sicurezza a protezione delle password
Con il provvedimento n. 46 del 2022, il Garante per la protezione dei dati personali ha applicato nei confronti di un ente di ricerca pubblico, titolare del trattamento, una sanzione di € 6.000,00, per la violazione dei principi di cui agli artt. 5, par. 1, lett. f e 32 del Regolamento (UE) 2016/679.
Dal provvedimento si evince che se il titolare del trattamento è tenuto ad individuare le migliori misure a protezione delle password, in ossequio al principio di responsabilizzazione, il fatto di non adottare neanche le misure contenute nell’Allegato B del Codice o nella Circolare n. 2/2017 dell’AgID, precedenti al Regolamento UE (2016/679), non può che comportare il rischio, per il titolare del trattamento, di vedersi irrogata una sanzione da parte del Garante Privacy.
Telemarketing: nuovo registro pubblico delle opposizioni
Il 13 aprile 2022 è entrato in vigore il d.p.r. 26/2022, vale a dire il regolamento di riforma del registro pubblico delle opposizioni (RPO), che sarà operativo dal 27 luglio 2022.
Il nuovo RPO amplia il suo originale ambito di iscrizione e modifica, di conseguenza, le modalità con cui società e operatori potranno svolgere attività di telemarketing.
Tra le principali novità si segnalano:
- l’inclusione nella definizione di “contraente” anche delle persone giuridiche, degli enti e delle associazioni;
- estensione dell’ambito di applicazione anche ai numeri telefonici fissi, siano essi presenti in elenchi pubblici o meno, ai numeri telefonici mobili e agli indirizzi postali;
- estensione del diritto di opposizione alle forme di marketing svolte mediante telefonate automatizzate, ossia effettuate in via automatizzata senza l’intervento di un operatore.
Il Garante Privacy sanziona un Responsabile del trattamento per l’inadeguatezza delle misure di sicurezza adottate
L’Autorità ha ingiunto una sanzione pecuniaria di € 10.000,00 esclusivamente nei confronti di un Responsabile del trattamento, una società fornitrice di software, per la violazione dei principi di cui agli artt. 5, par. 1, lett. f) e 32 del Regolamento (UE) 2016/679 (di seguito “GDPR” o “Regolamento”), a seguito di una violazione dei dati personale concernente i dati contenuti in una piattaforma utilizzata per la gestione delle contravvenzioni al Codice della strada.
Secondo l’Autorità, non si ravvisavano i presupposti per adottare un provvedimento nei confronti del titolare del trattamento, un ente pubblico, poiché il responsabile del trattamento era risultato inadempiente all’obbligo di prevedere misure di sicurezza adeguate sulla base del contratto stipulato con il titolare del trattamento. Si deve ricordare, infatti, che l’art. 28 del GDPR consente al titolare del trattamento di affidare un trattamento a terzi soggetti che presentino le competenze per adottare adeguate misure di sicurezza.
Si tratta di una pronuncia dalla portata decisamente innovativa se si considera che, in linea generale, le sanzioni del Garante sono rivolte principalmente a Titolari del trattamento o, al più, in maniera congiunta a Titolari e Responsabili del trattamento.
