News #40: arriva un nuovo accordo USA-UE sui dati (parte speciale!); norme sul whistleblowing; il TAR annulla la sanzione AGCM ad Amazon e Apple 

Immagine di copertina di Justin Luebke grazie a Unsplash.

SPECIALE DATA TRANSFER USA-UE

Per quanto sia ormai cosa nota – che si trascina da tempo senza particolari novità utili – la questione del “trasferimento di dati” tra UE e USA e le sue ricadute sull’utilizzo dei servizi forniti dalle società americane è giunta questa settimana ad un importante punto di #svolta.

Abbiamo quindi preparato un breve focus delle risorse ad oggi disponibili, per capire meglio cosa sta accadendo: seguiranno approfondimenti specifici man mano che la “novità” sarà commentata dagli attori in campo – incluso, e certo non ultimo, Max #Schrems, che ha già manifestato dubbi sul “passo in avanti” compiuto dall’amministrazione Biden e che #vigilerà con occhio attento sulle “svolte” della legislazione in materia di data protection.

Il nuovo E.O. di Biden

Il 7 ottobre il Presidente USA ha firmato un “Executive Order” (E.O.) finalizzato a consentire l’implementazione del nuovo EU-US Data Privacy Framework (“DPF”): in un fact sheet la Casa Bianca ha pubblicato i contenuti cardine di questa importante decisione, che mira a consentire all’Unione Europea (e nello specifico alla Commissione) di pronunciarsi nuovamente sulla #adeguatezza degli Stati Uniti d’America rispetto al libero flusso di dati personali sulle sponde dell’atlantico. L’annullamento del precedente Privacy Shield nel 2020, infatti – ad opera della sentenza #SchremsII – aveva reso complesso, e a tratti impossibile (vedi vicenda Google Analytics), utilizzare strumenti forniti da soggetti americani o comunque collegati a società USA-based.

Q&A pubblicato dalla Commissione UE

Al di qua dell’oceano, l’Unione Europea non si è fatta trovare impreparata. Lo stesso giorno la Commissione UE ha pubblicato una pagina di domande & risposte in cui dettaglia perchè, dopo l’annuncio congiunto del 25 marzo scorso, questo E.O. è un passo nella direzione di un nuovo accordo. In particolare:

  • sono previste salvaguardie di legittimità verso l’accesso ai dati personali da parte delle agenzie federali USA, con limiti legati alla necessità e proporzione di tutela di reali e legittimi interessi pubblici;
  • è previsto un meccanismo giudiziale di diversi livelli, a tutela di lamentele e situazioni limite (o in violazione della normativa), che include una corte dotata di poteri.

Cosa succede ora?

Al momento, nulla di significativo per l’uso di #GoogleAnalytics o di altri tool a matrice USA: come chiarisce anche il fact sheet della Commissione UE, al momento deve essere valutata l’adeguatezza dell’E.O. di Biden per arrivare ad una nuova decisione sui flussi di dati personali USA-UE, oltre che un nuovo “schema di certificazione” emesso dal Dipartimento del Commercio USA che stabilisca i requisiti per le società USA.

Certamente, l’uso delle clausole contrattuali tipo (“SCC”) e degli altri meccanismi già in vigore resta valido, e andrà rivalutato alla luce della situazione aggiornata: ci si chiede se può considerarsi ora meno rischioso il trasferimento di dati verso gli USA, dopo che l’E.O. ha superato (almeno in parte) i dubbi riguardanti il FISA 702 e l’E.O. 12333 al centro della sentenza Schrems II di annullamento del Privacy Shield.

Commenti a caldo

Non sono mancate le reazioni a questo importante annuncio: forse la più rilevante – e facile da prevedere – è stata quella di Max Schrems che, con la sua no-profit “NOYB” (None Of Your Business) ha pubblicato un primo articolo di revisione in cui propende per la non sufficienza di questo E.O. rispetto alle necessità poste dal diritto UE per una decisione di adeguatezza che sia solida ed effettiva. Segnaliamo anche una revisione “strutturata” del testo dell’E.O. sempre prodotta da NOYB, molto interessante.

A quando la decisione di adeguatezza?

Probabilmente non prima di alcuni mesi, dato che è necessario il parere – non vincolante – dell’EDPB (garanti europei riuniti) e dei singoli Stati Membri: NOYB ipotizza la primavera 2023, mentre l’annuncio di marzo poneva il prossimo autunno come la deadline sperata.

  • PRIVACY & CYBERSECURITY

MESE EUROPEO DELLA CYBERSECURITY – La ricorrenza rappresenta un’occasione per affinare la percezione dei #rischi connessi agli attacchi informatici, migliorando gli strumenti per difendersi. Gli esperti sottolineano ormai costantemente l’importanza di disporre di #backup dei propri dispositivi (“business continuity”, “disaster recovery”), e la sicurezza delle credenziali di autenticazione usate; ancora, il mese della cybersecurity è un buon momento per dare un’occhiata a #report come il Rapporto Clusit 2022, che mostra come phishing e ransomware siano fra le tecniche più utilizzate per gli attacchi.

CORTE DI GIUSTIZIA E DANNI PRIVACY NON MATERIALI – E’ stata di recente pubblicata l’opinione dell’Avvocato Generale della CGUE riguardo al caso (austriaco) C-300/21 di valutazione dell’automatismo, o meno, dei danni immateriali generati da una violazione del GDPR, di cui all’art. 82. In estrema sintesi, il parere propende per un diniego di ogni automatismo e una necessità di provare in concreto un effettivo danno per la persona, evitando qualunque presunzione o impostazione predefinita che superi il caso di volta in volta all’attenzione del giudice.

  • 231

WHISTLEBLOWING – Il prossimo 10 dicembre è una #data da tenere a mente per la compliance 231: il Governo sarà tenuto entro quel termine a rivedere la normativa in materia di #whistleblowing per adeguarla a quanto previsto dalla Direttiva UE 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell’Unione. Tra le novità che il Governo potrebbe introdurre nel recepire la normativa europea è compresa la #estensione dell’ambito applicativo del whistleblowing ad altri settori, quali la protezione dei dati personali, la sicurezza informatica e la sicurezza dei prodotti e dei trasporti.

  • MERCATI DIGITALI

TAR DEL LAZIO ANNULLA SANZIONE ANTITRUST  Con la sentenza n. 12507/2022 il TAR del Lazio (Sezione Prima) ha annullato le sanzioni comminate ad Amazon e ad Apple dall’Autorità Garante della Concorrenza e del Mercato (“AGCM”). All’esito del procedimento I842 (“VENDITA PRODOTTI APPLE E BEATS SU AMAZON MARKETPLACE”), le società avevano ricevuto, rispettivamente, sanzioni per 114.681.657 Euro e 58.592.754 Euro, per aver stipulato un’intesa ritenuta anticoncorrenziale e contestata in violazione dell’art. 101 TFUE. L’intesa era volta a riservare la vendita di prodotti Apple/Beats (prodotti Apple), tramite il #marketplace di Amazon agli Apple Premium Resellers, e riguardava una clausola del contratto stipulato tra Apple e Amazon nel 2018 che aveva l’obiettivo di contrastare la contraffazione presente nel marketplace online e, in particolare, in quello di Amazon. Le #censure proposte dalle ricorrenti – (1) tardività dell’avvio del procedimento; (2) violazione del contraddittorio in relazione alle informazioni rilevanti per la sua difesa; (3) irragionevolezza del termine a difesa – sono state accolte dal TAR del Lazio, che ha annullato i provvedimenti sanzionatori dell’AGCM.

DOCUMENTO CONTRO LA CONTRAFFAZIONE ONLINE – In occasione della settimana Anticontraffazione 2022, il 4 ottobre il Ministero dello Sviluppo economico ha presentato un documento programmatico condiviso, oltre che con società quali Amazon, Alibaba, Ebay, Meta, Google Italy, Yoox, Tik Tok, anche con il Movimento italiano genitori (“MOIGE”) e con l’Associazione per la tutela della proprietà intellettuale INDICAM. La finalità del programma è quella di tutelare i consumatori e le imprese dalla #contraffazione sul mercato online, notevolmente cresciuta durante il periodo Covid.

OPEN TERMS ARCHIVE  Un software gratuito e open source realizzato dal team dell’Ufficio dell’Ambasciatore francese per gli affari digitali. Il suo codice sorgente può essere liberamente riutilizzato e costruito, a condizione che i miglioramenti siano resi disponibili alla comunità alle stesse condizioni. Il suo funzionamento prevede che i #testilegali di un servizio online vengano riportati e poi tracciati da parte di collaboratori volontari che, più volte al giorno, li scaricano e archiviano e, quando sono individuati cambiamenti, li registrano e li espongono.

TWITTER-MUSK SAGA – Continuiamo con gli aggiornamenti sulla vicenda: il processo al momento è stato #sospeso per tre settimane, durante le quali saranno svolti dei negoziati volti a trovare un accordo transattivo e a consentire di concludere l’acquisto di Twitter da parte del magnate sudafricano. Entro il prossimo 28 ottobre sapremo di più.

  • NEWS DAL MONDO

UK – Annunciato dal nuovo Segretario di Stato per il Digitale, la Cultura i Media e lo Sport un “nuovo approccio” al trattamento dei dati che vorrebbe prendere una direzione divergente rispetto al GDPR e alla normativa attualmente in vigore, lo “UK GDPR”. #Preoccupante, a detta di molti commentatori, che in una fase così complessa a livello internazionale si decida di modificare nuovamente il framework operativo per un paese così importante, mettendo in pericolo anche la decisione di adeguatezza (provvisoria) emessa dalla Commissione UE.

USA  Il 4 ottobre 2022 la Casa Bianca ha un dato avvio a un progetto per una Carta dei diritti dell’intelligenza artificiale, che ruota intorno a #cinque #principi per la progettazione, l’uso e l’implementazione di sistemi automatizzati volti a proteggere il pubblico americano: (i) Sistemi sicuri ed efficaci; (ii) Protezioni contro la discriminazione algoritmica; (iii) Privacy dei dati; (iv) Avviso e spiegazione; (v) Alternative umane, considerazione e ripiego.

ARIZONA  Google LLC e il Procuratore Generale dell’Arizona hanno raggiunto un #accordo per 85 milioni di dollari a conclusione del processo per pratiche ingannevoli e sleali nei confronti degli utenti. Google LLC raccoglieva, senza consenso, i loro dati sulla posizione personale monitorando gli smartphone, anche quando i consumatori avevano disabilitato la cronologia delle posizioni.

INDIA – Sarà la sessione invernale del parlamento locale a valutare la #nuovanormativa (revisionata) in materia di data protection: lo ha annunciato il governo alla Suprema Corte indiana.