Violazione di dati personali e giocattoli intelligenti

Violazione di dati personali e giocattoli intelligenti

La commissione federale per il commercio degli Stati Uniti ha applicato per la prima volta una sanzione significativa a un’azienda che produce giocattoli intelligenti e interattivi. I dati acquisiti dai giocattoli non venivano protetti in modo appropriato

Fra le tante violazioni dei dati personali, di cui veniamo a conoscenza ogni giorno, questa senz’altro merita particolare attenzione, sia per gli interessati coinvolti, cioè dei bambini, sia per la relativa novità del campo in cui i dati personali vengono acquisiti.

Una azienda americana da anni commercializza dei giocattoli, in grado di interagire con i bambini. Il giocattolo pone delle domande, cui i bambini rispondono; tutti i dati relativi vengono archiviati nella memoria del giocattolo. Successivamente questi dati vengono trasmessi tramite canali GPRS alla casa madre.

La casa madre è rimasta vittima di una violazione dei suoi archivi e questo fatto ha avviato un’indagine congiunta della commissione federale per il commercio degli Stati Uniti e della sua controparte canadese.

La sanzione applicata è sia di natura economica, per 650.000 $, sia di natura procedurale, imponendo che l’azienda, per i prossimi 20 anni, effettui una verifica, da parte di auditor indipendenti, delle sue procedure di acquisizione e gestione dei dati personali.

Pubblicità

Supporti per formatori - Modello per Corsi GDPR - Protezione Dati Materiale didattico per tenere corsi sul regolamento europeo protezione dati (RIF. NORMA UNI 11697:2017)

Colgo l’occasione per ricordare ai lettori che anche il regolamento generale per la protezione dei dati personali, che entrerà in pieno vigore il 25 maggio 2018, prevede sia sanzioni di natura economica, sia sanzioni di tipo procedurale, che possono andare dal blocco immediato del trattamento, fino alla imposizione di controlli sistematici e audit effettuati da soggetti terzi.

Le violazioni che sono state riscontrate sono numerose, come ad esempio:

• quando il giocattolo veniva venduto, nessuna informazione veniva data gli acquirenti circa il fatto che il giocattolo era in grado di acquisire e memorizzare dati personali, che successivamente vengono trasferiti alla casa madre (violazione dell’obbligo di informativa e raccolta di consenso);
• la casa madre non aveva dato alcuna informazione sul fatto che questi dati venivano poi successivamente utilizzati per trattamenti di tipo commerciale e promozionale;
• infine i dati acquisiti dalla casa madre erano stati protetti in maniera insoddisfacente e quindi erano rimasti vittima di una violazione.

L’attività congiunta dei due enti federali, quello americano e quello canadese, ha permesso di rendere più incisiva e rapida la indagine, suddividendo fra i due enti i compiti di ispezione sull’attività svolta da questa azienda.

È interessante rilevare che, nel determinare la sanzione e le altre misure correttive, la commissione federale per il commercio degli Stati Uniti ha tenuto conto sia del livello di negligenza, sia del comportamento dell’azienda prima della violazione, sia delle risorse economiche disponibili, sia della gravità della violazione in sé stessa.

Sono questi aspetti fondamentali che anche il nuovo regolamento generale europeo prende in considerazione: esso infatti prevede che l’autorità nazionale garante, che deve applicare una sanzione, prenda in considerazione, nel determinare l’importo della sanzione, non solo la violazione in sé stessa, ma anche la natura delle misure supplementari di protezione dei dati attivate dall’azienda.

Il fatto poi che nella fattispecie fossero coinvolti anche dati personali afferenti a minori non fa altro che aggravare la situazione. Anche in questo caso, l’articolo 8 del regolamento generale europeo stabilisce particolari condizioni applicabili alla raccolta di consenso dei minori, in relazione ai servizi della società dell’informazione.

Il caso che ho illustrato dimostra, ancora una volta, la attenzione estrema che bisogna porre nello sviluppare attività di trattamento, che non sono state sottoposte ad una verifica di protezione dei dati fin dalla progettazione e, se del caso, ad una valutazione di impatto.

Le aziende italiane prestino attenzione.

Adalberto Biasiotti

Questo articolo è pubblicato sotto una Licenza Creative Commons.