La rilevazione dell’impronta digitale del lavoratore utilizzata solo per snellire la rilevazione delle presenze non è conforme al GDPR

Come noto il GDPR dopo aver definito il dato biometrico (art. 4, n.14) come il dato personale ottenuto da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici, ha altresì inserito tale tipologia di dati - in ragione della loro delicatezza - derivante dalla stretta (e stabile) relazione con l’individuo e la sua identità- tra i “dati particolari” (art. 9, par. 1 del Regolamento UE 2016/679).

La pubblica disponibilità di dati personali su Internet non implica la legittimità del web scraping

È noto che gli algoritmi di machine learning per migliorare le proprie prestazioni hanno bisogno di un costante e massivo addestramento reso possibile da enormi database che contengono testi, video, fotografie, suoni, ecc. Si tratta di dati che in molti casi sono raccolti dal web attraverso tecniche c.d. di web scraping rese possibili da specifici software denominati crawler. Ma è legittimo raccogliere dati personali dal web anche se postati pubblicamente al fine di alimentare database di addestramento?

Cyber Resilience Act, via libera della Commissione per l'industria del Parlamento UE

In data 19 luglio 2023 la Commissione per l'industria del Parlamento europeo (ITRE) ha dato il via libera al Cyber Resilience Act, una proposta per stabilire i requisiti minimi di sicurezza informatica per i prodotti connessi.

Il consenso nei trattamenti del whistleblowing

Il D.lgs. n. 24/2023 ha previsto alcune operazioni di trattamento in ambito whistleblowing che necessitano del consenso dell’interessato (art. 6 e 7 del GDPR), quale condizione di liceità per specifiche finalità. Tali trattamenti sono previsti dall’art. 12 (obbligo di riservatezza), paragrafi 2 e 5 e dalla art. 14 (conservazione della documentazione), paragrafi 2 e 4, del citato Dlgs. n. 24/2023.

Dalla Commissione UE una proposta di Regolamento per stabilire norme procedurali aggiuntive sui casi transfrontalieri in ambito privacy

Prosegue l’opera di consolidamento del quadro applicativo del GDPR, con una iniziativa della Commissione Europea con la proposta del 4 luglio 2023 per la definizione di Regolamento (in quanto tale direttamente applicabile, come il GDPR, nei Paesi UE) per stabilire norme procedurali aggiuntive per le Autorità Garanti nazionali in ordine al trattamento dei casi transfrontalieri.

Truffe con il riconoscimento facciale: l’importanza della ‘vivezza’ per impedire grossolane falsificazioni delle caratteristiche biometriche

Una recente notizia comparsa sullo stampa internazionale riportava l’arresto in Brasile di una persona che otteneva fraudolentemente prestiti bancari. Fin qui si direbbe nulla di nuovo (purtroppo) ma è la tecnica utilizzata a destare interesse: Il truffatore dopo essersi procurato le fotografie di possessori di conti correnti bancari fruitori dei servizi di app mobile, posizionava le foto su di un manichino e in questo modo attraverso il riconoscimento facciale dell’app mobile della banca accedeva ai loro conti correnti bancari contraendo prestiti.