I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

SCOPRI GLI ABBONAMENTI

Takeaways dal provvedimento Clubhouse

Il provvedimento del Garante privacy su Clubhouse, col quale è stata irrogata una sanzione di € 2 milioni, è ricco di indicazioni utili per l’attuazione operativa degli obblighi del GDPR. Ne riportiamo di seguito una sintesi di quelli che sono sembrati maggiormente rilevanti.

 

Caratteristiche del titolare e del servizio

Clubhouse è un’app di social network, basata esclusivamente su interazioni vocali che si svolgono in stanze di conversazione, gestita da una società statunitense.

La società non risulta stabilita in alcuno Stato membro della UE e inizialmente non era intenzione del vertice aziendale promuovere l’app sul mercato europeo.

 

Takeaways

Giurisdizione euro-unionale e italiana – L’azienda estera priva di stabilimenti nella UE/SEE ma che offre servizi o prodotti oppure che monitora comportamenti di soggetti che si trovano sul territorio UE, dovrà interfacciarsi con ciascuna delle autorità di controllo coinvolte. Ognuna di esse è competente per i trattamenti di dati personali degli interessati presenti nei rispettivi Stati membri.

Rappresentante UE – Quando scatta l’obbligo di designazione del Rappresentante UE occorre indicare i dati di contatto nell’informativa e qualificare lo stesso come interlocutore di interessati e Autorità, per conto del titolare. Il rapporto col Rappresentante deve essere disciplinato da apposito contratto di mandato che ne specifica funzioni e limiti.

Informativa – L’informativa fornita tramite la privacy policy anche per i non utenti del sito web rischia di ridursi in un mero formalismo che disattende la prescrizione dell’articolo 14 del GDPR.

Evidenza dei responsabili – L’elenco aggiornato dei responsabili del trattamento andrebbe reso disponibile agli interessati, eventualmente tramite link ad apposita pagina web che lo contiene.

Periodi di conservazione – Quando la conservazione dei dati soddisfa finalità diverse (es. per la gestione del rapporto o per eventuali contenziosi) occorre specificare sia i corrispondenti termini e criteri sia quali dati siano soggetti ai pertinenti regimi.

Basi giuridiche – Per la finalità di marketing la base giuridica del consenso implicito è inadeguata e quella dell’interesse legittimo è condizionata dall’esito positivo del test di bilanciamento tra interessi del titolare e interessi, diritti e libertà fondamentali dell’interessato, da effettuarsi caso per caso. Per le finalità anti-frode o di controllo delle violazioni, il trattamento basato sull’interesse legittimo ed espletato attraverso monitoraggi preventivi e indiscriminati non supererebbe il test della proporzionalità. La profilazione degli interessati ancorché intesa come propedeutica per fornire agli utenti categorie di soggetti con affinità di interessi personali, non può giustificarsi con la base giuridica della necessità contrattuale.

Misure di sicurezza – La contestazione circa l’inadeguatezza delle misure di sicurezza adottate può anch’essa essere ribaltata in fase istruttoria mediante opportune evidenze.

DPIA – I trattamenti per finalità di profilazione e lo svolgimento di attività predittive relativi a vari aspetti della personalità individuale sono soggetti a DPIA obbligatoria come da elenco pubblicato dal Garante.

Errore scusabile – Non basta la buona fede per sottrarsi alla sanzione, occorre anche che il trasgressore abbia fatto tutto il possibile per conformarsi alla legge.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

ABBONATI ORA

Sei già abbonato?

ACCEDI

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form

Logo_HouseofData_tutto_bianco_home1

CONTATTI

segreteria@imperialida.com

Via Santa Maria Valle, 3, 20123, Milano

Iscriviti al bollettino

Info4