Archivio per categoria: Newsletter

Immagine di copertina di Justin Luebke grazie a Unsplash.

SPECIALE DATA TRANSFER USA-UE

Per quanto sia ormai cosa nota – che si trascina da tempo senza particolari novità utili – la questione del “trasferimento di dati” tra UE e USA e le sue ricadute sull’utilizzo dei servizi forniti dalle società americane è giunta questa settimana ad un importante punto di #svolta.

Abbiamo quindi preparato un breve focus delle risorse ad oggi disponibili, per capire meglio cosa sta accadendo: seguiranno approfondimenti specifici man mano che la “novità” sarà commentata dagli attori in campo – incluso, e certo non ultimo, Max #Schrems, che ha già manifestato dubbi sul “passo in avanti” compiuto dall’amministrazione Biden e che #vigilerà con occhio attento sulle “svolte” della legislazione in materia di data protection.

Il nuovo E.O. di Biden

Il 7 ottobre il Presidente USA ha firmato un “Executive Order” (E.O.) finalizzato a consentire l’implementazione del nuovo EU-US Data Privacy Framework (“DPF”): in un fact sheet la Casa Bianca ha pubblicato i contenuti cardine di questa importante decisione, che mira a consentire all’Unione Europea (e nello specifico alla Commissione) di pronunciarsi nuovamente sulla #adeguatezza degli Stati Uniti d’America rispetto al libero flusso di dati personali sulle sponde dell’atlantico. L’annullamento del precedente Privacy Shield nel 2020, infatti – ad opera della sentenza #SchremsII – aveva reso complesso, e a tratti impossibile (vedi vicenda Google Analytics), utilizzare strumenti forniti da soggetti americani o comunque collegati a società USA-based.

Q&A pubblicato dalla Commissione UE

Al di qua dell’oceano, l’Unione Europea non si è fatta trovare impreparata. Lo stesso giorno la Commissione UE ha pubblicato una pagina di domande & risposte in cui dettaglia perchè, dopo l’annuncio congiunto del 25 marzo scorso, questo E.O. è un passo nella direzione di un nuovo accordo. In particolare:

• sono previste salvaguardie di legittimità verso l’accesso ai dati personali da parte delle agenzie federali USA, con limiti legati alla necessità e proporzione di tutela di reali e legittimi interessi pubblici;
• è previsto un meccanismo giudiziale di diversi livelli, a tutela di lamentele e situazioni limite (o in violazione della normativa), che include una corte dotata di poteri.

Cosa succede ora?

Al momento, nulla di significativo per l’uso di #GoogleAnalytics o di altri tool a matrice USA: come chiarisce anche il fact sheet della Commissione UE, al momento deve essere valutata l’adeguatezza dell’E.O. di Biden per arrivare ad una nuova decisione sui flussi di dati personali USA-UE, oltre che un nuovo “schema di certificazione” emesso dal Dipartimento del Commercio USA che stabilisca i requisiti per le società USA.

Certamente, l’uso delle clausole contrattuali tipo (“SCC”) e degli altri meccanismi già in vigore resta valido, e andrà rivalutato alla luce della situazione aggiornata: ci si chiede se può considerarsi ora meno rischioso il trasferimento di dati verso gli USA, dopo che l’E.O. ha superato (almeno in parte) i dubbi riguardanti il FISA 702 e l’E.O. 12333 al centro della sentenza Schrems II di annullamento del Privacy Shield.

Commenti a caldo

Non sono mancate le reazioni a questo importante annuncio: forse la più rilevante – e facile da prevedere – è stata quella di Max Schrems che, con la sua no-profit “NOYB” (None Of Your Business) ha pubblicato un primo articolo di revisione in cui propende per la non sufficienza di questo E.O. rispetto alle necessità poste dal diritto UE per una decisione di adeguatezza che sia solida ed effettiva. Segnaliamo anche una revisione “strutturata” del testo dell’E.O. sempre prodotta da NOYB, molto interessante.

A quando la decisione di adeguatezza?

Probabilmente non prima di alcuni mesi, dato che è necessario il parere – non vincolante – dell’EDPB (garanti europei riuniti) e dei singoli Stati Membri: NOYB ipotizza la primavera 2023, mentre l’annuncio di marzo poneva il prossimo autunno come la deadline sperata.

• PRIVACY & CYBERSECURITY

MESE EUROPEO DELLA CYBERSECURITY – La ricorrenza rappresenta un’occasione per affinare la percezione dei #rischi connessi agli attacchi informatici, migliorando gli strumenti per difendersi. Gli esperti sottolineano ormai costantemente l’importanza di disporre di #backup dei propri dispositivi (“business continuity”, “disaster recovery”), e la sicurezza delle credenziali di autenticazione usate; ancora, il mese della cybersecurity è un buon momento per dare un’occhiata a #report come il Rapporto Clusit 2022, che mostra come phishing e ransomware siano fra le tecniche più utilizzate per gli attacchi.

CORTE DI GIUSTIZIA E DANNI PRIVACY NON MATERIALI – E’ stata di recente pubblicata l’opinione dell’Avvocato Generale della CGUE riguardo al caso (austriaco) C-300/21 di valutazione dell’automatismo, o meno, dei danni immateriali generati da una violazione del GDPR, di cui all’art. 82. In estrema sintesi, il parere propende per un diniego di ogni automatismo e una necessità di provare in concreto un effettivo danno per la persona, evitando qualunque presunzione o impostazione predefinita che superi il caso di volta in volta all’attenzione del giudice.

• 231

WHISTLEBLOWING – Il prossimo 10 dicembre è una #data da tenere a mente per la compliance 231: il Governo sarà tenuto entro quel termine a rivedere la normativa in materia di #whistleblowing per adeguarla a quanto previsto dalla Direttiva UE 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell’Unione. Tra le novità che il Governo potrebbe introdurre nel recepire la normativa europea è compresa la #estensione dell’ambito applicativo del whistleblowing ad altri settori, quali la protezione dei dati personali, la sicurezza informatica e la sicurezza dei prodotti e dei trasporti.

• MERCATI DIGITALI

TAR DEL LAZIO ANNULLA SANZIONE ANTITRUST – Con la sentenza n. 12507/2022 il TAR del Lazio (Sezione Prima) ha annullato le sanzioni comminate ad Amazon e ad Apple dall’Autorità Garante della Concorrenza e del Mercato (“AGCM”). All’esito del procedimento I842 (“VENDITA PRODOTTI APPLE E BEATS SU AMAZON MARKETPLACE”), le società avevano ricevuto, rispettivamente, sanzioni per 114.681.657 Euro e 58.592.754 Euro, per aver stipulato un’intesa ritenuta anticoncorrenziale e contestata in violazione dell’art. 101 TFUE. L’intesa era volta a riservare la vendita di prodotti Apple/Beats (prodotti Apple), tramite il #marketplace di Amazon agli Apple Premium Resellers, e riguardava una clausola del contratto stipulato tra Apple e Amazon nel 2018 che aveva l’obiettivo di contrastare la contraffazione presente nel marketplace online e, in particolare, in quello di Amazon. Le #censure proposte dalle ricorrenti – (1) tardività dell’avvio del procedimento; (2) violazione del contraddittorio in relazione alle informazioni rilevanti per la sua difesa; (3) irragionevolezza del termine a difesa – sono state accolte dal TAR del Lazio, che ha annullato i provvedimenti sanzionatori dell’AGCM.

DOCUMENTO CONTRO LA CONTRAFFAZIONE ONLINE – In occasione della settimana Anticontraffazione 2022, il 4 ottobre il Ministero dello Sviluppo economico ha presentato un documento programmatico condiviso, oltre che con società quali Amazon, Alibaba, Ebay, Meta, Google Italy, Yoox, Tik Tok, anche con il Movimento italiano genitori (“MOIGE”) e con l’Associazione per la tutela della proprietà intellettuale INDICAM. La finalità del programma è quella di tutelare i consumatori e le imprese dalla #contraffazione sul mercato online, notevolmente cresciuta durante il periodo Covid.

OPEN TERMS ARCHIVE – Un software gratuito e open source realizzato dal team dell’Ufficio dell’Ambasciatore francese per gli affari digitali. Il suo codice sorgente può essere liberamente riutilizzato e costruito, a condizione che i miglioramenti siano resi disponibili alla comunità alle stesse condizioni. Il suo funzionamento prevede che i #testilegali di un servizio online vengano riportati e poi tracciati da parte di collaboratori volontari che, più volte al giorno, li scaricano e archiviano e, quando sono individuati cambiamenti, li registrano e li espongono.

TWITTER-MUSK SAGA – Continuiamo con gli aggiornamenti sulla vicenda: il processo al momento è stato #sospeso per tre settimane, durante le quali saranno svolti dei negoziati volti a trovare un accordo transattivo e a consentire di concludere l’acquisto di Twitter da parte del magnate sudafricano. Entro il prossimo 28 ottobre sapremo di più.

• NEWS DAL MONDO

UK – Annunciato dal nuovo Segretario di Stato per il Digitale, la Cultura i Media e lo Sport un “nuovo approccio” al trattamento dei dati che vorrebbe prendere una direzione divergente rispetto al GDPR e alla normativa attualmente in vigore, lo “UK GDPR”. #Preoccupante, a detta di molti commentatori, che in una fase così complessa a livello internazionale si decida di modificare nuovamente il framework operativo per un paese così importante, mettendo in pericolo anche la decisione di adeguatezza (provvisoria) emessa dalla Commissione UE.

USA – Il 4 ottobre 2022 la Casa Bianca ha un dato avvio a un progetto per una Carta dei diritti dell’intelligenza artificiale, che ruota intorno a #cinque #principi per la progettazione, l’uso e l’implementazione di sistemi automatizzati volti a proteggere il pubblico americano: (i) Sistemi sicuri ed efficaci; (ii) Protezioni contro la discriminazione algoritmica; (iii) Privacy dei dati; (iv) Avviso e spiegazione; (v) Alternative umane, considerazione e ripiego.

ARIZONA – Google LLC e il Procuratore Generale dell’Arizona hanno raggiunto un #accordo per 85 milioni di dollari a conclusione del processo per pratiche ingannevoli e sleali nei confronti degli utenti. Google LLC raccoglieva, senza consenso, i loro dati sulla posizione personale monitorando gli smartphone, anche quando i consumatori avevano disabilitato la cronologia delle posizioni.

INDIA – Sarà la sessione invernale del parlamento locale a valutare la #nuovanormativa (revisionata) in materia di data protection: lo ha annunciato il governo alla Suprema Corte indiana.

Immagine di copertina di David Köhler grazie a Unsplash.

PRIVACY

DANIMARCA –  Datatilsynet, autorità danese in materia di protezione dei dati personali, si è allineata con una recentissima pronuncia alle posizioni di altre autorità europee (tra le altre quelle di Austria, Francia e Italia) propendendo per la #illegalità di Google Analytics alla luce dei trattamenti effettuati che comportano, costantemente, un trasferimento di dati personali verso paesi non adeguati. Anche le società danesi si trovano dunque al fatidico bivio: implementare misure aggiuntive, allo scopo di rendere “legale” lo strumento (come, ad esempio, la psedunimizzazione), o smettere definitivamente di utilizzarlo. In aggiunta, l’autorità si è soffermata anche sulle misure tecniche previste per GA4, sostenendo che a prima analisi esse siano comunque #inadeguate a garantire trattamenti corretti.

ELEZIONI – Il Garante per la protezione dei dati personali ha inviato una richiesta urgente di chiarimenti a Facebook in merito alle attività da questa intraprese in occasione delle elezioni politiche dello scorso 25 settembre. La piattaforma aveva infatti iniziato una campagna – nei confronti dei soli utenti maggiorenni – volta a disincentivare l’astensionismo ed invogliare i suoi utenti al voto. Tuttavia, memore della sanzione comminata per lo scandalo “Cambridge Analytica” e del progetto “Candidati” avviato per le scorse elezioni politiche del 2018, il Garante preferisce vederci chiaro: le informazioni relative agli  orientamenti politici, infatti, rientrano nel novero dei dati personali “particolari”di cui all’art. 9 GDPR.

PLENARIA EDPB – Durante l’ultima riunione plenaria, il Comitato Europeo per la Protezione dei Dati (EDPB) ha discusso e pubblicato tre interessanti documenti: (1) la lettera aperta sul rifiuto di approvazione del proprio budget 2023 da parte della Commissione (di cui abbiamo già dato conto nella newsletter #37); (2) uno statement sul “EU Police Cooperation Code” (molto critico e che richiede interventi); (3) un parere molto interessante sul “European Privacy Seal”, schema di certificazione inoltrato da un ente tedesco (tra l’altro, uno dei primissimi): l’EDPB non sembra particolarmente positivo sul sistema proposto, sollevando diversi punti critici e individuando numerosi aspetti da migliorare. Al garante locale – tedesco – l’ultima parola.

RIFORMA PROCESSO PENALE – Il Garante per la protezione dei dati personali ha recentemente dato il proprio via libera alla riforma del processo penale (cd. #riformaCartabia), fornendo al contempo importanti suggerimenti in materia di protezione dei dati personali. In ragione della natura dei dati coinvolti – trattasi infatti di dati giudiziari, dunque particolari ex art. 9 GDPR – si è resa evidente la necessità di maggiori tutele. Tra i suggerimenti, la sottrazione delle notificazioni avvenute tramite annunci su internet alla indicizzazione sui motori di ricerca (con relativa fissazione del termine massimo di presenza del contenuto online) e due nuove forme di diritto all’oblio: la prima, che agisce in maniera preventiva, finalizzata a garantire la deindicizzazione dei provvedimenti giudiziari in modo tale da impedire – a monte – che nomi di imputati e indagati siano  oggetto di ricerca, e la seconda, che agisce invece ex post, consentirebbe ai soggetti coinvolti di richiedere la deindicizzazione dei propri dati personali dai provvedimenti.  

DATA RETENTION – Lo scorso 20 settembre la Corte di Giustizie dell’Unione Europea (CGUE) ha emesso la propria decisione nelle cause riunite C-793/19 e C-794/19 (rispettivamente SpaceNet e Telekom Deutschland). Con la sentenza la Corte ha ribadito che non è consentita, alla luce della legge dell’Unione, una conservazione generalizzata e indiscriminata dei dei dati relativi al traffico e all’ubicazione delle telecomunicazioni dei clienti, salvo che in caso di grave minaccia alla sicurezza nazionale. La decisione pare dunque mettere il bastone tra le ruote alla #TKG, la legge tedesca in materia di telecomunicazioni, che prescrive proprio tale obbligo agli operatori del settore della comunicazione elettronica.

• 231

INFORTUNISTICA – Con la sentenza n. 33976 (consultabile gratuitamente per gli iscritti all’associazione AODV231) la Corte di Cassazione è tornata a pronunciarsi in materia di morte e lesioni del lavoratore. Nel caso sottoposto all’attenzione della Corte, un lavoratore aveva riportato gravi lesioni in seguito ad una scivolata causata dal pavimento bagnato (cadendo aveva infatti inserito la mano all’interno di una vasca di raccolta dell’uva, priva della prescritta griglia di protezione). Respingendo il ricorso presentato dalla società e dal suo presidente e confermando le condanna nei loro confronti, i giudici di piazza Cavour hanno stabilito che ai fini dell’esclusione del vantaggio non rileva che il risparmio di spesa sia esiguo rispetto alla capacità patrimoniale della società. Infatti, sebbene un esiguo risparmio di spesa può in via generale escludere la responsabilità dell’ente, si richiede che tale risparmio di spesa non  insista su un’area di rischio di rilievo.

INFORTUNISTICA/2 – Con la sentenza n. 34943 dello scorso 21 settembre la Corte di Cassazione ha stabilito che una società non risponde del reato di lesioni colpose commesso dal soggetto responsabile del servizio di prevenzione e protezione aziendale.  La scriminante opera nei confronti dell’ente alla duplice condizione che (i) il fatto sia imputabile ad una figura sottoposta alla direzione dei vertici, e che (ii) l’ente abbia in precedenza adottato un modello di organizzazione, gestione e controllo (cd. MOGC). Infatti, quando una fattispecie criminosa sia ascrivibile ad un soggetto sottoposto, l’adozione di un modello libera la società da ogni responsabilità 231 anche nel caso in cui il reato si sia reso possibile dalla violazione degli obblighi di direzione che gravano sui vertici.

AUTORICICLAGGIO – Affinché possa configurarsi il reato di autoriciclaggio è necessario che la condotta, nell’esatto momento della sua esecuzione, sia concretamente idonea a ostacolare la provenienza illecita dei beni. In tal senso si è pronunciata la Corte di Cassazione con sentenza n. 32571 (consultabile gratuitamente per gli iscritti all’associazione AODV231). Il criterio da seguire, dunque, per una corretta individuazione della condotta dissimulatoria è quella della idoneità ex ante.

• MERCATI DIGITALI

CONCORRENZA E GDPR – Lo scorso 20 settembre l’avvocato generale della Corte di Giustizia dell’Unione, Athanasios Rantos, ha emesso un importantissimo parere circa la possibilità che una Autorità garante della concorrenza possa legittimamente pronunciarsi in merito al rispetto o alla violazione del GDPR. Il parere, che si inserisce in un contesto più ampio – la causa intentata da Meta Platforms Inc. nei confronti della Bundeskartellamt, autorità per la concorrenza tedesca – stabilisce che sebbene non sia compito di un’autorità garante della concorrenza pronunciarsi sul rispetto del GDPR, è sua facoltà (seppur in via meramente incidentale) valutare se le pratiche commerciali poste in essere dagli operatori del settore siano compatibili col Regolamento. Secondo l’avvocato generale, infatti, il fatto che una pratica sia conforme o meno al GDPR è un importante indizio per stabilire se la pratica in questione costituisca una violazione delle regole della concorrenza.

CYBERSECURITY – Per contrastare il numero sempre in crescita di attacchi hacker – soprattutto nei confronti di istituzioni statali – il D.L. n.115/22 (cd. Decreto Aiuti) ha introdotto  la possibilità di compiere operazioni cibernetiche offensive. La possibilità di ricorrere a tale strumento, previsto come extrema ratio, è attribuita esclusivamente al corpo dei servizi segreti e a due condizioni: che ci si trovi in una situazione di crisi o emergenza (con potenziali risvolti sulla sicurezza nazionale) e che, appunto, non sia possibile fronteggiare diversamente la situazione, ad esempio attraverso azioni di mera resilienza.

• NEWS DAL MONDO

STATE OF PRIVACY ’22 – Ha avuto risonanza mondiale l’evento organizzato dal Garante italiano a Napoli, in cui si sono riuniti i principali stakeholder in materia di protezione dei dati, organizzati in tavoli tematici dedicati alle più importanti sfide del presente e del futuro di questo settore. Si attende ora, dopo gli annunci di comunicazione, la pubblicazione dei lavori e dei risultati di questi incontri, al di là delle immagini dei partecipanti.

FATCA e GDPR – Fabien Lehagre, presidente della Association des Américans Accidentels il cui scopo è difendere i cittadini (americani non) dagli effetti dannosi derivanti dalla extraterritorialità della legge americana, ha recentemente inoltrato una lettera al presidente dell’EDPB con lo scopo sollecitare i Garanti europei ad effettuare una valutazione di compatibilità tra gli accordi sottoscritti dagli stati membri con gli Stati Uniti – c.d. FATCA (Foreign Account Tax Compliance Act) – e il GDPR. Tali accordi, finalizzati a identificare tutte le persone soggette all’imposizione fiscale statunitense che detengono conti in Europa, inevitabilmente comportano un trasferimento di dati. Indispensabile, dunque, valutare caso per caso la compatibilità del FATCA, soprattutto a fronte delle ormai note complicazioni in materia di trasferimenti di dati verso gli USA. Al momento,tuttavia, solamente il garante slovacco ha effettuato una seria valutazione, finendo per dichiarare l’accordo non adeguato alle garanzie richieste dall’art. 46 GDPR. 

GERMANIA – L’ufficio federale tedesco per la sicurezza delle informazioni (“BSI”) ha pubblicato una guida per la gestione della cybersecurity da parte delle piccole e medie imprese, destinato a supportare con un approccio “easy-to-use” il miglioramento delle infrastrutture e l’organizzazione a tutela verso attacchi dall’esterno.

ROMANIA – Il Garante rumeno (ANSPDCP) ha irrogato una sanzione di circa 40mila lei (equivalenti a 8 mila euro) un responsabile del trattamento gestore di una piattaforma immobiliare per divulgazione non autorizzata di dati personali riconducibili a quasi 200mila interessati. Alla base della sanzione, dunque, la mancata implementazione da parte del responsabile delle misure tecniche ed organizzative necessarie per garantire un adeguato livello di sicurezza dei dati personali.

HONG KONG – Il Garante per la protezione dei dati personali di Hong Kong (PCPD) ha recentemente annunciato di aver effettuato un arresto nei confronti di un sospettato del reato di doxxing. Secondo le informazioni attualmente a disposizione, l’imputato – per lungo tempo dipendente e collaboratore del denunciante – avrebbe diffuso illecitamente informazioni personali dell’ex socio, anche a mezzo di manifesti affissi sui muri dell’edificio degli uffici. L’imputato, attualmente in custodia, rischia una multa di 1 milione di HKD (parti a poco più di 120 mila euro) e la reclusione per cinque anni: il reato di doxxing – ossia la diffusione pubblica di dati personali e privati al fine di arrecare un danno all’interessato – è infatti considerato (a buona ragione) particolarmente grave. 

BERLINO – Il Commissario di Berlino, autorità locale in materia privacy, ha inflitto una sanzione di oltre 500 mila euro ad una società per violazione del GDPR, riferisce DataGuidance. La sanzione si ricollega al conflitto di interessi emerso in seguito alla nomina del responsabile della protezione dei dati personali: dalle indagini è infatti emerso che il responsabile della protezione dei dati già ricopriva il ruolo di amministratore di due società del medesimo gruppo – società che, in concreto, aveva il compito di trattare dati personali proprio per conto della società sanzionata, nella quale l’amministratore era chiamato a svolgere le funzioni di DPO.