sanzioni

Francia: sanzione a Google e Amazon per utilizzo di cookie “tracciatori” senza consenso

by

L’utilizzo senza consenso di cookie di tracciamento costa ad Amazon una sanzione di 35 milioni di euro e a Google un totale di 100 milioni di euro. Si tratta di sanzioni comminate il 7 dicembre 2020 dall’autorità di controllo francese, il CNIL, dopo le verifiche effettuate nel corso del 2020.

Tra il dicembre 2019 ed il maggio 2020, il CNIL ha effettuato ripetute indagini online sul funzionamento del sito amazon.fr. Tali verifiche appurarono che quando un utente visitava il sito, i cookies venivano automaticamente archiviati sul suo PC senza che nessuna azione venisse richiesta all’utente. Diversi di questi cookie erano utilizzati per scopi pubblicitari. Il CNIL ricorda come questa tipologia di cookie, non necessaria per la navigazione nel sito richiesta dall’utente, possa essere memorizzata nel PC dell’utente solo dopo avere ricevuto il suo consenso. La memorizzazione di questi cookie nel PC dell’utente nel momento stesso in cui questo apre il sito di destinazione è una pratica incompatibile con la necessità del consenso preventivo.

L’autorità francese ha osservato anche come le informazioni fornite a chi apriva la homepage amazon.fr fossero poco chiare e incomplete. In particolare:

  • il banner obbligatorio mostrato all’apertura della pagina non indicava esplicitamente all’utente che i cookie utilizzati fossero utilizzati principalmente per inviare annunci pubblicitari personalizzati;
  • il banner non spiegava che l’utente poteva rifiutare l’installazione di questi cookie e non spiegava come fare;
  • la mancata informazione risulta ancora più chiara se si pensa che i cookie di tracciamento venivano memorizzati anche quando il visitatore arrivava alla pagina amazon.fr dopo avere cliccato sulla pubblicità presente in altri siti e che nemmeno in quel caso venivano mostrate le necessarie informazioni.

Considerando la gravità della violazione, l’autorità francese ha deciso di sanzionare Amazon e di rendere pubblico il provvedimento.

Una simile indagine è stata effettuata nel marzo 2020 sul sito google.fr rilevando analoghe violazioni, con in aggiunta un parziale fallimento del meccanismo proposto da Google per bloccare l’installazione dei cookies di tracciamento e l’aggravante del gran numero di utenti coinvolti e del fatto che Google beneficia di elevati profitti derivanti dagli introiti pubblicitari generati indirettamente dai dati raccolti dai cookie di tracciamento.

(fonte: CNIL)

Carenze nella gestione degli accessi ai dati sanitari e sanzioni per 3 milioni in Svezia

by

I provvedimenti adottati negli Stati membri UE allargano le casistiche sulle quali i titolari dei trattamenti anche italiani possono prendere le loro decisioni. L’autorità di controllo svedese ha erogato sanzioni per quasi 3 milioni di euro dopo avere trovato carenze in sette su otto strutture sanitarie nelle quali aveva verificato le valutazioni di rischio e di necessità di trattamento condotte dai titolari prima di assegnare le credenziali di accesso ai sistemi informatici contenenti i dati sulla salute.

In Svezia il Data Patient Act (provvedimento complementare al GDPR) le strutture sanitarie devono condurre un’accurata valutazione sulla necessità di accesso ai dati sanitari da parte del personale e del rischio che tale accesso comporta. Secondo il rapporto dell’autorità svedese, senza questa analisi le strutture sanitarie non sono in grado di assegnare le autorizzazioni corrette alle credenziali di accesso del personale e, di conseguenza, non possono garantire il diritto dei pazienti alla protezione della loro privacy. Su otto strutture ispezionate, sette non avevano condotto l’analisi di rischio e di necessità dei trattamenti evidenziando gravi carenze nell’assegnazione degli accessi ai dati, tali da determinare le sanzioni erogate.

Dopo l’attività ispettiva l’autorità svedese ha pubblicato delle linee guida che sintetizzano le conclusioni relative all’obbligo di conduzione della valutazione dei rischi.

(fonte: Datainspektionen)

Controllo di accessi mancante in ospedale: sanzione

by

L’autorità di controllo norvegese ha sanzionato per circa 72.000 euro l’ospedale “Østfold HF Hospital” per avere archiviato nei propri server informazioni sensibili sui propri pazienti in cartelle prive di controllo di accessi senza che ci fossero log di sistema in grado di tracciare le attività su tali cartelle. Le informazioni riguardano circa 14.000 persone suddivise in tre liste contenenti informazioni varie tra cui, in diversi casi, le ragioni del ricovero. L’analisi condotta ha appurato che all’interno dell’ospedale avevano accesso a queste cartelle 118 persone, alcune delle quali senza avere una mansione che giustificasse la consultazione di tali dati.

La Norvegian Data Protection Authority ha considerato che la struttura sanitaria avrebbe dovuto predisporre un sistema di controllo di accesso ed una procedura di verifica periodica sull’efficacia di tale sistema.

(fonte: EDPB)