Aggiornato nei primi sei mesi del Privacy Act 2020

Benvenuti alla Settimana della privacy della Nuova Zelanda 2021. Il Privacy Act 2020 è in vigore da quasi sei mesi. Per celebrare la Settimana della privacy, siamo stati ancora una volta abbastanza fortunati che il nostro Commissario per la privacy, John Edwards, venga a parlare con il nostro team e con i clienti. Alcuni dei suggerimenti chiave della sessione sono stati:

• Come previsto, da quando la nuova legge ha introdotto un sistema di notifica obbligatoria delle violazioni, si è registrato un aumento del 97% del numero di violazioni segnalate nei sei mesi precedenti. Tuttavia, si tratta di un aumento molto inferiore rispetto all’Australia dopo l’introduzione del sistema di notifica delle violazioni obbligatorio.

• La stragrande maggioranza delle violazioni segnalate non ha raggiunto la soglia di notifica. Il garante della privacy ha riconosciuto che la segnalazione eccessiva è comprensibile in quanto le agenzie agiscono con estrema cautela all’inizio del sistema di notifica delle violazioni. Tuttavia, il Commissario ha incoraggiato le agenzie a valutare attentamente le violazioni per evitare ansie e pressioni inutili delle persone colpite.

• Non sarebbe una sorpresa per chi lavora in un ufficio che una grande percentuale delle violazioni sia il risultato di un errore di posta elettronica. Altre cause comuni includono partecipazione, accesso non autorizzato ed errori del sito Web / IT. Il Commissario per la privacy ha supportato le agenzie che comunicano, ove possibile, con destinatari accidentali di e-mail e chiedono loro di eliminare l’e-mail e tutte le informazioni personali ricevute per errore. In tal modo, e l’agenzia è sicura che ci si possa fidare del destinatario non autorizzato per lo smaltimento delle informazioni, si può affermare che le agenzie sono riuscite a mitigare il rischio di danni derivanti dalla violazione della privacy.

• La maggior parte delle violazioni della privacy da segnalare (65%) ha provocato danni emotivi, 30% danni finanziari e 30% danni alla reputazione.

• Le principali aree di preoccupazione rimangono nello spazio per la privacy di COVID-19 e nel settore degli affitti.

Raccolta fuorviante di dati sulla posizione: non solo un problema di privacy

A riprova di ciò che probabilmente vedremo in Nuova Zelanda, la Corte Federale Australiana ha recentemente emesso una decisione riguardante l’uso dei dati di localizzazione personali raccolti tramite dispositivi mobili poiché i consumatori sono stati indotti in errore. Questa è una delle prime decisioni di attuazione di questo tipo in tutto il mondo ed è un altro importante promemoria di come la raccolta dei dati personali deve essere comunicata in modo trasparente ai consumatori.

Il contesto della decisione australiana era che l’Australian Competition and Consumer Commission (ACCC) ha intrapreso un’azione di contrasto contro Google, accusandola di fuorviare i clienti non spiegando come Google raccoglie i dati personali sulla posizione dai dispositivi mobili Android. Il tribunale ha stabilito che Google ha interpretato erroneamente l’impostazione “log della posizione” che era l’unica impostazione che influiva sulla raccolta, l’archiviazione o l’utilizzo dei dati personali sulla posizione. Tuttavia, un’impostazione aggiuntiva, “Attività web e applicazioni”, consentiva la raccolta e l’utilizzo dei dati sulla posizione. Questa impostazione è attiva per impostazione predefinita e Google non ha sufficientemente avvisato i consumatori della necessità di disattivare questa impostazione per impedire la raccolta dei dati sulla loro posizione.

In Nuova Zelanda, i problemi di privacy e l’uso improprio dei dati vengono solitamente presi in considerazione solo dall’Ufficio del Commissario per la privacy. Tuttavia, è probabile che questa nuova decisione australiana incoraggi la Commissione commerciale della Nuova Zelanda a considerare se le politiche sulla privacy, le interfacce utente oi termini e le condizioni fuorviano i consumatori su come vengono utilizzati i loro dati. Le implicazioni di questo sono maggiori rischi di indagini normative, potenziali azioni penali e sanzioni finanziarie, anche ai sensi del Fair Trade Act del 1986.

Alla luce della decisione australiana, le aziende (e le “agenzie”) in Nuova Zelanda vorranno riflettere attentamente su come garantire che i consumatori siano istruiti su come vengono raccolti i loro dati – questo potrebbe andare oltre la semplice revisione della politica sulla privacy standard. Google ha attirato l’attenzione sui suoi metodi di raccolta nei suoi termini e condizioni, tuttavia, il tribunale non era convinto che ciò fosse sufficiente per spiegare come funzionava l’impostazione Attività web e app e per garantire che i consumatori comprendessero come venivano raccolti i loro dati. Qualsiasi decisione presa dai tribunali neozelandesi sarà in gran parte specifica al contesto, ma sarà interessante sapere quale approccio adottano i tribunali neozelandesi quando affrontano gli stessi casi, in particolare nel contesto del contenzioso normativo e del maggiore onere della prova.