News #50: la Commissione UE ritiene “adeguati”​ gli USA per il data transfer, ora tocca all’EDPB (e a NOYB); nuovi protocolli rilevanti su 231

Immagine di copertina di Tessa Rampersad grazie a Unsplash.

SEZIONE SPECIALE: USA-UE DATA TRANSFER

BOZZA DECISIONE DI ADEGUATEZZA UE-USA –  Lo scorso 13 dicembre la Commissione europea ha pubblicato la bozza di decisione di adeguatezza che, ex art.46 GDPR, consentirà – qualora approvata – un trasferimento di dati sicuro tra Europa e Stati Uniti. In particolare la bozza, nel recepire le preoccupazioni sollevate dalla Corte di Giustizia nella sentenza #SchremsII, poggia su una seria valutazione del quadro normativo statunitense, incluso l’ordine esecutivo di Biden e i regolamenti che istituiscono un tribunale per la protezione dei dati. Contestualmente alla bozza, la Commissione ha altresì rilasciato una pagina dedicata alle Q&A (domande e risposte più frequenti). Il progetto di decisione è stato ora inoltrato all’EDPB e successivamente verrà sottoposto al vaglio di un comitato composto da rappresentanti dei vari stati membri. Dopo tali passaggi, inclusa la verifica del Parlamento europeo, il documento tornerà alla Commissione alla quale spetterà procedere (eventualmente) alla sua adozione.

IL COMMENTO DI NOYB – Pubblicata la bozza di decisione di adeguatezza, il commento di #NOYB non è tardato ad arrivare. Nella stessa giornata del 13 dicembre, infatti, None Of Your Business (l’organizzazione no profit di Max Schrems, promotore dinanzi alla CGUE delle cause concluse con le famose sentenze Schrems I e Schrems II) ha rilasciato una prima valutazione sul documento segnalando che le modifiche (e, di conseguenza, le  garanzie) introdotte nell’ordinamento giuridico statunitense dall’Executive Order di Biden sono in realtà insufficienti. Rimandando l’attenta valutazione della bozza ai giorni successivi, NOYB ha formulato un pronostico negativo circa le sorti della decisione, laddove portata al cospetto della CGUE.

ACCORDO OCSE SULL’ACCESSO DEL GOVERNO AI DATI PERSONALI – Il 14 dicembre l’Organizzazione per la Cooperazione e lo Sviluppo Economico ha annunciato l’adozione della dichiarazione sull’accesso del governo ai dati personali detenuti da entità del settore privato, alla quale hanno aderito 38 paesi, insieme all’Unione europea. L’accordo chiarisce in che modo le forze dell’ordine e la sicurezza nazionale possono accedere ai dati personali nell’ambito degli ordinamenti giuridici esistenti. Rifiutando qualsiasi approccio da parte dei governi per accedere ai dati personali che sono in contrasto con i valori democratici e lo stato di diritto, la dichiarazione stabilisce una serie di principi in base ai quali i governi possono accedere ai dati personali detenuti dalle organizzazioni. La dichiarazione ha anche notevoli risvolti applicativi concreti, tra i quali il caso in cui nelle TIA (“Transfer Impact Assessment”) si è tenuti a verificare la presenza nell’ordinamento dello Stato di destinazione di norme chiare, che costituiscano garanzie in uno stato democratico almeno equivalenti, sostanzialmente, a quelle dell’Unione europea.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DIRETTIVA PNR – Lo scorso 15 dicembre l’EDPB (European Data Protection Board) ha annunciato di aver adottato una dichiarazione in merito ad una sentenza (C-817/19) pronunciata dalla CGUE in materia di uso dei codici di prenotazione (#PNR) per finalità di prevenzione, accertamento e azione penale nei confronti di terrorismo e di altri reati gravi. L’EDP ha spiegato che, secondo l’interpretazione della Corte, la Direttiva 2016/681 (cd. #DirettivaPNR) prevede importanti specificazioni in relazione al trattamento di dati personali, quali ad esempo (i) l’applicazione del sistema PNR ai soli reati di terrorismo e agli altri reati gravi che hanno, in concreto, un legame con l’uso di aerei e (ii) l’applicazione non indiscriminata del periodo di conservazione di 5 anni ai dati dei passeggeri. Partendo da tale premessa, l’EDPB ha rilevato che la gran parte dei trattamenti effettuati dagli Stati Membri alla luce della Direttiva PNR non è conforme all’interpretazione della Corte europea,provvedendo pertanto a raccomandare l’adozione di tutti i necessari provvedimenti al fine di un allineamento.

VIOLAZIONE RISERVATEZZA – Il Garante per la protezione dei dati personali ha di recente irrogato una sanzione all’Istituto per lo Studio, la Prevenzione e la Rete Oncologica (ISPRO) per violazione di dati personali sanitari (dunque, un #databreach). Dal reclamo proposto da un paziente è infatti emerso che l’Azienda Ospedaliero-Universitaria Careggi di Firenze – nominata responsabile del trattamento da ISPRO – aveva per errore inoltrato via e-mail il referto medico di un altro paziente. Tale comunicazione, essendo priva di idonea base giuridica, era stata pertanto effettuata in violazione del GDPR. Nel comminare la sanzione (7mila euro) il Garante ha inoltre colto l’occasione per ribadire la necessità che i dati sanitari – data la loro particolare delicatezza e “sensibilità” – siano trattati con le adeguate tutele.

CONSULTAZIONE PUBBLICA/DMA – Il Digital Markets Act (DMA) conferisce alla Commissione europea il potere di adottare atti che stabiliscono disposizioni dettagliate per alcune delle questioni indicate all’art. 46. Lo scorso 9 dicembre la Commissione ha pertanto aperto una consultazione pubblica al fine di stabilire con maggiore precisione gli aspetti pratici inerenti a (i) la forma e il contenuto delle notifiche e/o comunicazioni da inoltrare su richiesta della Commissione, (ii) l’avvio di un procedimento ai sensi del DMA, (iii) l’esercizio del diritto ad essere ascoltati e ai termini di divulgazione ex art. 34. e, più in generale, (iv) ai termini previsti dall’atto. Sarà possibile inoltrare le proprie osservazioni fino al prossimo 6 gennaio, accendendo a questo link.

CITTADINANZA A PUNTI E DIALOGO SULL’AI – E’ stata vietata l’intelligenza artificiale pensata per istituire una “cittadinanza a punti”, attraverso sistemi di valutazione delle persone che vivono in un Paese in base al loro comportamento sociale, alle loro scelte in vari contesti e alle caratteristiche personali. Ora che il Consiglio europeo ha adottato la sua posizione comune, concordata dai 27 Stati membri, relativa alla normativa sull’intelligenza artificiale, il prossimo obiettivo è quello di assicurare che i sistemi di intelligenza artificiale presenti sul mercato dell’Unione europea, e utilizzati dalle persone, rispettino appieno la normativa vigente in materia di diritti fondamentali. Per sfruttare il potenziale dell’Intelligenza Artificiale bisognerà implementare politiche coordinate a livello internazionale e individuare pratiche comuni, ed è proprio con questo spirito che si terrà il 14 e il 15 dicembre a Gran Canaria la relativa riunione ministeriale del Comitato per la politica dell’economia digitale.

REPORT ENISA SU CYBERSICUREZZA NELLA SANITA’ – L’Agenzia dell’Unione europea per la cybersicurezza (“ENISA”) ha pubblicato, il 13 dicembre un report sulla resilienza del settore sanitario europeo, con lo scopo di identificare potenziali sfide e di suggerire raccomandazioni. Il report illustra che, durante il 2022, l’allocazione di budget e risorse per promuovere la costituzione di team di sicurezza informatica all’interno delle organizzazioni sanitarie è stato fondamentale per garantire la resilienza della sicurezza informatica, fondamentale nel settore sanitario, e che anche i test regolari a livello locale sono emersi come una buona prassi di sicurezza.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

PROTOCOLLO 231 (POTENZA) –  La Procura Generale della Repubblica presso la Corte d’Appello di Potenza ha adottato un Protocollo organizzativo e di coordinamento in tema di indagini sui reati 231, con il quale ha pubblicato delle linee guida applicative del Decreto 231, al fine di meglio coordinare le indagini nel settore della responsabilità da reato degli enti. La Procura Generale ha integrato il Protocollo con una Relazione illustrativa, allo scopo di (i) soddisfare la necessità di approfondire alcune questioni che investono Decreto 231 e i dubbi interpretativi che lo riguardano e (ii) far fronte all’esigenza derivante dall’estensione della portata normativa di alcuni reati 231 anche ai casi di sovvenzioni pubbliche a danno dello Stato, di altri enti pubblici o dell’Unione europea, ricomprendendo così le risorse del PNRR. 

PROTOCOLLI REATI SUL LAVORO (NAZIONALE) – Dall’intesa raggiunta tra Ispettorato Nazionale del Lavoro e Procura Generale presso la Corte di Cassazione sono stati emanati due nuovi #Protocolli (nn. 474 e 483) che conferiscono – con specifico riferimento alla responsabilità degli enti – particolari compiti e deleghe agli ispettori al fine di indagare sulla commissione di determinati reati. Più in particolare, i nuovi protocolli attribuiscono agli ispettori funzioni di veri e propri “agenti di polizia” in riferimento a particolari tipologie di reati, come infortuni gravi o mortali, caporalato, mobbing e molestie.

PROTOCOLLO ANTI-COVID (NAZIONALE) –  Il Ministero del Lavoro e le Parti Sociali hanno recentemente reso nota la loro decisione di non apportare alcuna revisione al “Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2/COVID-19 negli ambienti di lavoro”, il cd. #ProtocolloAntiCovid, che di fatto rimane dunque in vigore. La scelta concreta circa il protrarre o meno l’applicazione del Protocollo è pertanto rimessa ai singoli datori di lavoro (che fino al prossimo 31 dicembre dovranno comunque rispettare le Linee Guida e le regole dettate in materia di uso dei dispositivi di protezione delle vie respiratorie nelle strutture sanitarie, socio-sanitarie e socio-assistenziali).

GERMANIA E WHISTLEBLOWING – Il Parlamento tedesco (“Bundestag”) ha annunciato l’adozione del progetto di legge c.d. Whistleblowing Protection Act (in tedesco c.d. (“HinSchG”), con alcuni emendamenti, che comprendono (i) l’estensione dell’ambito di applicazione del progetto HinSchG alle segnalazioni di dichiarazioni di funzionari pubblici che costituiscono una violazione del dovere di lealtà alla Costituzione tedesca; e (ii) il trattamento delle segnalazioni anonime, il cui trattamento diventa obbligatorio, anziché facoltativo, per gli uffici segnalanti.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TWITTER SOSPENDE I GIORNALISTI (E NON SOLO) – Negli ultimi giorni la piattaforma da poche settimane di proprietà di Elon Musk ha sospeso gli accounti di diversi importanti giornalisti USA, alcuni dei quali sono stati in passato molto critici nei confronti dell’attuale – vulcanico e lunatico, quantomeno – “CEO ad interim”. Allo stesso modo, la nuova era “libera e aggressiva” di Twitter sta vedendo la sospensione di molti account sgraditi, come quello (denominato “ElonJet”) che forniva dati in tempo reale sulla posizione dell’aereo privato di Musk, e come quelli che implementano link diretti ad altre piattaforme social, tra cui Mastodon che pare essere un approdo molto diffuso per i transfughi di Twitter. In molti non vedono l’ora della prossima puntata della #Muskeide.

DICHIARAZIONE EUROPEA PER IL DECENNIO DIGITALE – Le istituzioni dell’Unione europea hanno reso in data 15 dicembre una dichiarazione per una trasformazione digitale inclusiva, equa, sicura e sostenibile che metta le persone al centro, con l’obiettivo di preservare i valori fondamentali dell’Unione europea nel mondo digitale e online. La dichiarazione – che illustra l’impegno dell’Unione europea a favore di una trasformazione digitale sicura, sostenibile e sicura che ponga le persone al centro, in linea con i valori fondamentali e i diritti fondamentali dell’Unione europea – costituirà un punto di riferimento per i responsabili politici, le imprese e altri attori pertinenti nello sviluppo e nella diffusione di nuove tecnologie. 

CRIPTOVALUTE E SEGNALAZIONI UIF – Sono sempre più numerosi gli utenti c.d. Virtual asset service provider (“VASP”) che intercettano e segnalano alla Unità di Informazione Finanziaria (“UIF”) presso la Banca d’Italia, una serie di flussi finanziari in criptovalute che si inseriscono in uno schema volto a frodare il fisco. Il meccanismo prevede la cessione di finti crediti fiscali, i cui proventi sono impiegati per acquisti di criptovalute. La UIF ha predisposto nel mese di dicembre una newsletter dedicata al tema. Le informazioni nella disponibilità degli operatori offrono così delle prospettive per l’analisi finanziaria e la lotta alla frode fiscale mediante strumenti digitali. 

TELEPASS NEL METAVERSO – La società Telepass, dedicata al pagamento del pedaggio autostradale, è entrata nella virtualità del Metaverso, creando un collegamento tra il modo di muoversi della vita reale e le opportunità offerte dal nuovo mondo virtuale. L’azienda si è impegnata a creare un ecosistema di servizi per una mobilità sicura e sostenibile, e si è proiettata nel futuro lanciando per prima in Italia gli NFT ispirati al mondo della mobilità. Il lancio è previsto a partire dal 12 dicembre 2022. e la particolarità è che chi possiede tali NFT, associando il proprio contratto Telepass, potrà accedere a scontistiche dedicate e usufruibili attraverso l’app Telepass. Laddove l’utente non associ il contratto Telepass, sarà comunque proprietario dell’NFT Telepass e potrà decidere anche successivamente e liberamente di attivare il contratto con Telepass per accedere al Club di Membership.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

AUSTRALIA – La Australian Competition and Consumer Commission (ACCC) ha annunciato che la Corte locale federale ha rigettato il proprio ricorso contro Google LLC, che non ha posto in essere un comportamento ingannevole quando ha segnalato l’avvenuta modifica alla propria privacy policy attraverso una notifica sugli schermi dei consumatori. Mentre per la ACCC tale notifica era fuorviante in quanto non consentiva ai consumatori di “accettare” (selezionando il relativo comando sulla notifica) in maniera informata e consapevole le modifiche apportate, la Corte ha invece ritenuto adeguato il comportamento di Google, che (i) ha apportato le modifiche solo dietro espresso consenso e (ii) non ha ridotto i diritti degli interessati. 

POLONIA – UODO, autorità garante locale, ha recentemente annunciato di aver approvato il “Codice di condotta sulla protezione dei dati personali nelle piccole strutture mediche”. Scopo del documento è garantire la protezione dei dati personali dei pazienti e di tutti gli altri soggetti delle strutture sanitarie.

USA – L’Agenzia americana per la sicurezza informatica e delle infrastrutture (CISA) ha pubblicato sulle proprie pagine un’infografica in materia di #phishing al fine di mettere in guardia persone fisiche e organizzazioni da possibili attacchi di truffa informatica. L’infografica riassume i principali metodi con cui i cyber-malintenzionati “buttano l’esca”e suggerisce azioni concrete per prevenire tali attacchi. 

SPAGNA/1 – L’AEPD, Garante spagnolo, ha sanzionato la società Orange Espagne S.A.U. per violazione del GDPR. A seguito del reclamo proposto da un individuo – i cui dati personali erano stati inseriti all’interno di sistemi di informazioni creditizie come conseguenza del mancato pagamento di servizi che, in realtà, l’individuo non aveva mai sottoscritto – l’Autorità ha infatti scoperto che il contratto era stato fraudolentemente concluso a nome dell’interessato da un soggetto terzo. La sanzione di 70 mila euro deriva dal fatto che la società non è stata in grado di fornire adeguata prova (i) di aver lecitamente stipulato il contratto col ricorrente, (ii) di aver ottenuto consenso alla raccolta e al trattamento dei relativi dati personali e (iii) di aver trattato i dati alla luce di una valida base giuridica.

SPAGNA/2 – L’AEPD ha di recente sanzionato anche Vodafone Espana. Un cliente ha infatti segnalato all’Autorità che un duplicato della propria SIM era stato fornito, senza consenso, ad un soggetto terzo (il quale aveva in tal modo ottenuto l’accesso a Google nonché ai dati bancari del ricorrente, effettuando altresì diverse operazioni fraudolente tramite l’online banking). A seguito delle indagini compiute dall’Autorità è emerso che Vodafone non aveva adottato le adeguate (e necessarie) misure precauzionali per scongiurare la duplicazione di una SIM in mancanza del consenso dell’interessato.

PORTOGALLO – La Comissão Nacional de Proteção de Dados (CNPD, Autorità garante portoghese) ha annunciato di aver sanzionato per 4,3 milioni di euro l’Istituto Nazionale di Statistica per violazione di molteplici disposizioni del GDPR. Dalle indagini effettuate dal CNPD è emerso che durante il censimento relativo all’anno 2021 l’Istituto non abbia chiaramente comunicato agli interessati che la risposta a determinate domande – così come il conferimento dei dati relativi alla salute e alle preferenze religiose- aveva natura facoltativa. Tale omissione ha, di fatto, impedito una consapevole e valida formazione della volontà dei cittadini. Tra le altre violazioni riscontrate, l’aver effettuato trasferimenti internazionali di dati verso gli USA in spregio a quanto stabilito dalla CGUE nella sentenza Schrems II e il non aver effettuato una DPIA prima di iniziare le operazioni di trattamento. Se non l’Istituto Nazionale non provvederà a impugnare giudizialmente il provvedimento, la (elevata) sanzione dovrà essere pagata nel termine di 10 giorni da quando la decisione sarà esecutiva.

SLOVENIA – L’uso di #droni dotati di telecamere o altri sistemi di acquisizione e/o elaborazione dei dati può comportare la violazione delle disposizioni dettate in materia di privacy. Per tale ragione il Commissario per l’informazione sloveno ha recentemente pubblicato una infografica (disponibile solo in sloveno) contenente informazioni utili ai fini del rispetto della normativa vigente in materia di protezione dei dati personali in caso di utilizzo di tali strumenti.

BELGIO – Alcune società del settore dei media e della comunicazione hanno raggiunto un accordo con il Garante belga sull’ammontare delle sanzioni irrogate – come in un patteggiamento – senza riconoscimento della loro responsabilità. La tecnica adottata prevede due fasce di sanzioni e i rispettivi massimi edittali, e ha consentito ai Titolari del trattamento di dialogare con l’Autorità Garante per giungere ad un accordo sulla sanzione. L’episodio belga mette sotto i riflettori la diversità del trattamento sanzionatorio tra Stati membri diversi, e costituisce uno spunto di riflessione per le istituzioni europee sulla disarmonia esistente fra gli Stati nell’applicazione del GDPR. 

QUEBEC – La Commissione del Quebec sull’Accesso all’Informazione (“CAI”) ha pubblicato, il 13 dicembre 2022, un report sulla protezione dei minori nell’ambiente digitale, raccomandando una maggiore attenzione e consapevolezza. In particolare, il rapporto esamina i rischi per i minori e i principi internazionali associati alla protezione dei loro dati personali. Inoltre, il rapporto sottolinea l’importanza di ridurre al minimo i rischi in questo settore e discute come rafforzare la protezione delle informazioni personali dei minori. 

UK E DUBAI – Il Governo britannico e Il Centro finanziario internazionale di Dubai (“DIFC”) hanno rilasciato il 15 dicembre una dichiarazione congiunta in cui si impegnano a facilitare maggiormente i flussi e i trasferimenti di dati personali. Le parti considerano questo nuovo accordo come un solido “ponte” per i dati, che apporterà benefici all’economia attraverso un utilizzo affidabile dei dati tra le frontiere. Il Regno Unito e il DIFC hanno concordato, in particolare, sull’importanza della cooperazione normativa esistente e futura come mezzo per migliorare gli obiettivi sulla protezione e la circolazione dei dati personali.

NORVEGIA – L’Autorità norvegese per la protezione dei dati (Datatilsynet) ha annunciato di aver condotto un’ispezione presso l’ufficio del governatore delle Svalbard, avviata in primavera, riguardo il trattamento dei dati personali per le richieste di visto e l’uso del sistema informativo sui visti. Durante l’ispezione sono state scoperte significative distorsioni rispetto all’ elaborazione e al controllo interno; pertanto l’Autorità norvegese ha dato all’ufficio del governatore un termine fino al 31 gennaio 2023 per chiarire e documentare la divisione delle responsabilità tra il governatore e la Direzione dell’Immigrazione per il trattamento dei dati personali nel sistema informativo dei visti.