Numerose sono le prescrizioni di DGA, DMA, DSA e della proposta EHDS che intersecano quelle del GDPR venendo a realizzare su vari temi una disciplina composita, proveniente da più fonti.
In questa tornata ci soffermiamo sulle novità in tema di:
- Minori
- Valutazione del rischio
- Profilazione
- Trattamenti di dati vietati
- Audit e controlli indipendenti
- Autorità e Comitati europei
- Trasferimenti di dati in paesi terzi
- Reclami e ricorsi
- Sanzioni.
Minori
Il DSA riconosce maggiori tutele per i minori obbligando i fornitori di piattaforme online, che sono accessibili ai minori, di adottare misure che siano in grado di garantire un elevato livello di tutela a vita privata, sicurezza e protezione (art. 28, DSA).
I fornitori di piattaforme online sono soggetti al divieto di pubblicità mirata – cioè basata sulla profilazione ai sensi del GDPR – se usano dati personali di un minore, quale destinatario del servizio.
Per il DSA, «(u)na piattaforma online può essere considerata accessibile ai minori quando le sue condizioni generali consentono ai minori di utilizzare il servizio, quando il suo servizio è rivolto o utilizzato prevalentemente da minori, o se il fornitore è altrimenti a conoscenza del fatto che alcuni dei destinatari del suo servizio sono minori, ad esempio perché già tratta i dati personali dei destinatari del suo servizio che rivelano la loro età per altri scopi.». Tuttavia, il DSA «non obbliga i fornitori di piattaforme online a trattare dati personali ulteriori per valutare se il destinatario del servizio sia minore» nel rispetto del principio di minimizzazione del GDPR (art. 28(4), DSA).
In termini di trasparenza, il DSA stabilisce che «(i) prestatori di servizi intermediari destinati principalmente ai minori (… o da questi utilizzati) dovrebbero compiere sforzi particolari per rendere la spiegazione delle loro condizioni generali facilmente comprensibile ai minori» rinforzando quanto dispone al riguardo l’articolo 12 del GDPR [Considerando (46), DSA].
Le misure di mitigazione dei rischi per i diritti dei minori comprendono «strumenti di verifica dell’età e di controllo parentale, o strumenti volti ad aiutare i minori a segnalare abusi o ottenere sostegno» a completamento dell’articolo 32 del GDPR [art. 35(1)(j), DSA].
Va evidenziato che queste prescrizioni del DSA, se non specificato diversamente, si applicano anche laddove il fornitore non utilizza dati personali del minore.
Continua…