Bollettino Legale n. 63 – Settembre 2023.

Brexit: una panoramica sulla protezione dei dati.

Da quando il Regno Unito ha lasciato l'Unione Europea il 31 gennaio 2020, sono emerse differenze sempre più significative tra i quadri normativi in materia di protezione dei dati su entrambe le sponde della Manica.

Il Paese continua ad applicare la legge che ha recepito il GDPR a livello nazionale, denominata "UK GDPR", e dal 28 giugno 2021 il Regno Unito gode di un livello di protezione adeguato, che autorizza lo scambio di dati con l'UE.

La decisione di adeguatezza è valida fino al 27 giugno 2025, ma potrebbe essere rivista prima di tale data qualora il quadro giuridico del Regno Unito subisse modifiche significative.

Tra gli sviluppi che potrebbero destare qualche perplessità presso la Commissione europea vi sono l'ambizione del Regno Unito di diventare un "hub dei dati", facilitando lo scambio internazionale di dati, e l'attuale bozza di revisione del "GDPR britannico", che mira ad alleggerire gli obblighi delle aziende britanniche.

Il 21 settembre, il Regno Unito ha formalizzato il "ponte dati" concluso a giugno con gli Stati Uniti.

L'accordo entrerà in vigore il 12 ottobre.

Il Regno Unito ha inoltre concluso accordi con diversi paesi che l'UE considera già adeguati: Canada, Israele, Giappone, Nuova Zelanda, Svizzera e Uruguay.

Nella sua lista di priorità figurano anche Australia, Colombia, Dubai, Repubblica di Corea e Singapore.

Questa agevolazione degli scambi internazionali solleva la questione dei successivi trasferimenti di dati europei che, dopo essere transitati attraverso il Regno Unito, verrebbero ricevuti in una fase successiva da un paese che l'UE non considera in grado di garantire una protezione dei dati equivalente.

Il Regno Unito si sta effettivamente orientando verso una valutazione più pragmatica delle garanzie offerte dai paesi terzi, basata maggiormente sul rischio.

Parallelamente a queste iniziative riguardanti il trasferimento dei dati, il Regno Unito sta preparando un disegno di legge sulla protezione dei dati e le informazioni digitali ("Data Protection and Digital Information (No. 2) Bill") volto a sostituire l'attuale GDPR britannico.

Questo testo è già stato letto due volte in parlamento la scorsa primavera e deve ancora essere discusso in una terza lettura.

Il progetto mantiene il rispetto del principio di limitazione delle finalità, ma ne modifica la portata: autorizza un ulteriore trattamento dei dati anche quando questi sono stati raccolti senza consenso, ad esempio nei casi di utilizzo basato sull'interesse pubblico.

L'impatto di questa norma sull'utilizzo dei cookie non è ancora chiaro, sebbene il governo affermi di voler limitare i "pop-up" indesiderati che richiedono il consenso dell'utente.

La definizione di ricerca scientifica è stata aggiornata e ampliata, e le condizioni per la sua pratica sono state rese meno rigide.

Ciò potrebbe consentire alle aziende di elaborare più facilmente i dati per scopi commerciali, sostenendo che tali pratiche commerciali consistono in attività di ricerca e sviluppo tecnologico. 

Il progetto riduce inoltre gli obblighi imposti alle aziende in materia di tenuta dei registri e di controllo proattivo delle proprie attività di trattamento dei dati, ad eccezione di quelle attività il cui trattamento comporta rischi elevati per i diritti delle persone fisiche.

Il testo introduce inoltre un quadro di riferimento per l'utilizzo di "servizi di verifica digitale affidabili e sicuri", che sembra rispondere al progetto di identità digitale dell'Unione europea.

Per le aziende che operano in tutta l'UE, alcuni dei vantaggi della riforma volta a ridurre gli oneri amministrativi saranno limitati: dovranno comunque, ad esempio, nominare un responsabile della protezione dei dati e non potranno beneficiare dell'allentamento di alcune norme relative alla conservazione dei dati.

Il piano prevede anche la sostituzione dell'attuale organismo di regolamentazione, l'ICO, con un consiglio, e l'attribuzione al Segretario di Stato del potere di guidare determinate attività dell'istituzione attraverso la definizione di priorità strategiche.

L'esistenza di un'autorità di controllo indipendente per la protezione dei dati sarà uno degli elementi chiave che l'UE prenderà in considerazione quando rivaluterà l'"equivalenza essenziale" del Regno Unito con le sue norme in materia di protezione dei dati.

La questione ha già sollevato interrogativi al Parlamento europeo.

La legge potrebbe essere adottata la prossima primavera.

 

• Il 18 settembre 2023, la CNIL ha multato la compagnia di trasporto aereo merci SAF LOGISTICS per 200.000 euro per aver raccolto troppi dati dai propri dipendenti, inclusi dati sensibili ed estratti di precedenti penali.

È stata inoltre sanzionata per non aver collaborato a sufficienza con i servizi della CNIL.

• Alla fine di settembre si è svolta la Settimana europea dello sviluppo sostenibile, che ha offerto alla CNIL l'opportunità di comunicare il contenuto del suo opuscolo dedicato al tema: esso esplora le intersezioni tra protezione dei dati, libertà e ambiente: "Proteggere i dati significa proteggere il pianeta? Le nostre libertà sono in una fase di transizione? Dovremmo condividere i dati per proteggere l'ambiente?".

Il documento tenta di rispondere a queste domande e propone raccomandazioni per conciliare i due obiettivi.

• Quest'estate la CNIL ha pubblicato una bozza di guida sul riutilizzo dei dati pubblici.

La guida incorpora la posizione della CNIL, delle sue controparti, nonché le decisioni dei tribunali francesi ed europei, arricchita da una serie di consultazioni con diversi attori direttamente coinvolti nello sviluppo di approcci all'apertura, alla condivisione e al riutilizzo dei dati accessibili al pubblico (partner istituzionali, associazioni e imprese, avvocati, ricercatori).

• Il 29 agosto, la CNIL (Autorità francese per la protezione dei dati) ha ordinato a Boursorama di conformarsi alle disposizioni del GDPR, "in particolare cessando il trattamento delle credenziali di accesso al sito web impots.gouv.fr": Boursorama, infatti, richiedeva l'accesso al nome utente e alla password del sito impots.gouv.fr a coloro che desideravano ottenere un prestito o aprire un piano di risparmio azionario.

La CNIL indica che l'azienda ha due mesi di tempo per adeguarsi.

• Mozilla lancia un appello pubblico per raccogliere reazioni alla futura legge SREN, che prevede l'implementazione di un "filtro anti-truffa" su internet.

La fondazione sostiene, nel titolo della sua petizione, che la Francia sta costringendo i browser web "a censurare i siti web".

Un meccanismo obbligatorio imporrebbe agli intermediari di adottare tutte le misure appropriate per impedire agli utenti di Internet di accedere ad indirizzi ritenuti dannosi, per un periodo di almeno sette giorni.

In linea di principio, la fondazione ritiene lodevole l'impegno nella lotta contro le frodi online.

Tuttavia, contesta i metodi scelti per raggiungere tale obiettivo, che creano un precedente, poiché la strategia di filtraggio, una volta implementata, potrebbe essere estesa ad altre questioni.

 

 

istituzioni e organismi europei

• La Commissione europea pubblica le linee guida sulla nuova direttiva europea in materia di sicurezza informatica, NIS2.

Questa direttiva impone obblighi in materia di sicurezza, notifica degli incidenti e governance agli enti operanti in diversi settori critici, tra cui energia, trasporti, finanza, sanità e infrastrutture digitali.

I due documenti guida aiutano a stabilire se si applicano i requisiti NIS2 o i requisiti settoriali e mirano a garantire che i requisiti di registrazione siano uniformi in tutta l'Unione.

• Nel corso del mese di ottobre, la commissione per le libertà civili del Parlamento europeo avvierà l'esame del regolamento sulla "protezione dei minori su Internet" (CSAM).

Questo testo è oggetto di critiche sempre più feroci, in particolare per quanto riguarda la misura volta a obbligare le principali piattaforme a scansionare in modo proattivo i contenuti privati scambiati con i loro servizi al fine di individuare la pedopornografia.

Molti attori della società civile, tutte le autorità europee per la protezione dei dati e anche i giuristi del Consiglio dell'UE ritengono che il regolamento imporrebbe "limitazioni particolarmente significative al diritto alla privacy" e che sussista un "grave rischio" che sia contrario ai testi fondamentali dell'UE.

• Il Mese della sicurezza informatica è un'opportunità per l'ENISA, l'Agenzia dell'Unione europea per la sicurezza dell'informazione, di pubblicare raccomandazioni in materia di ransomware.

Tra i documenti disponibili figurano suggerimenti per gli operatori del settore elettrico, un obiettivo primario per gli hacker.

• Il 7 settembre, il deputato Philippe Latombe, membro della CNIL, ha impugnato dinanzi alla Corte di giustizia dell'Unione europea il Regolamento generale sulla protezione dei dati (GDPR), che ha consentito lo scambio di dati tra l'UE e gli Stati Uniti a partire da quest'estate.
• Latombe ha presentato due ricorsi, uno per la sospensione immediata dell'accordo e l'altro riguardante il contenuto del testo.

Egli chiede alla Corte di sospendere con urgenza l'accordo, invocando un regolamento europeo del 1958 che prevede che i testi europei di portata generale siano redatti nelle quattro lingue ufficiali, mentre dal 10 luglio il DPF esiste solo in inglese.

• L'utilizzo di strumenti di videoconferenza solleva problematiche relative alla protezione dei dati, soprattutto perché i dati vengono molto spesso trasferiti al di fuori dell'UE.

La Corte di giustizia dell'UE ha effettuato una "valutazione d'impatto del trasferimento (TIA)" in relazione all'utilizzo di Cisco Webex e ha sottoposto il trattamento all'autorizzazione del Garante europeo della protezione dei dati (EDPS).

La decisione del Garante europeo della protezione dei dati (EDPS) e la valutazione d'impatto della Corte di giustizia dell'Unione europea (CGUE) sono utili riferimenti per qualsiasi titolare del trattamento che utilizzi questi strumenti in un contesto professionale.

 

Notizie dai paesi membri dell'Unione Europea.

• Il 16 agosto, l'Autorità belga per la protezione dei dati (APD) ha respinto un reclamo, nonostante la presenza di violazioni del GDPR.

Riteneva che le violazioni non avessero avuto un "impatto sociale e/o personale rilevante" e che, pertanto, le risorse necessarie per esaminare il reclamo sarebbero state sproporzionate.

• A seguito della decisione vincolante dell'EDPB in materia di risoluzione delle controversie, la Commissione irlandese per la protezione dei dati ha pubblicato la sua decisione finale il 1° settembre, constatando in particolare che TikTok ha violato il principio di correttezza del GDPR nel trattamento dei dati personali relativi a minori di età compresa tra i 13 e i 17 anni.

Nella finestra pop-up di registrazione, i bambini venivano incoraggiati a scegliere un account pubblico.

La decisione finale dell'APD ritiene che le impostazioni pubbliche predefinite fossero contrarie anche ai principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, minimizzazione dei dati e trasparenza.

Oltre al rimprovero e all'obbligo di conformità, l'autorità irlandese per la protezione dei dati ha imposto una multa di 345 milioni di euro.

• L'Autorità per la protezione dei dati della Bassa Sassonia, in collaborazione con altre sei autorità per la protezione dei dati, ha elaborato una guida sull'utilizzo di Microsoft 365 per scopi professionali.

Le autorità raccomandano la conclusione di un accordo supplementare tra la parte responsabile e Microsoft, che dovrà prevalere su qualsiasi testo contrattuale contrastante.

In particolare, questo accordo dovrebbe disciplinare i periodi di cancellazione adattati alle esigenze del titolare del trattamento, i requisiti informativi relativi all'utilizzo di subappaltatori, nonché il trattamento dei dati da parte di Microsoft per le proprie finalità commerciali.

• Con un provvedimento di metà luglio riguardante il trattamento dei dati per finalità di marketing, il Garante per la protezione dei dati personali (APD) ricorda che non è giustificato, in virtù del principio di limitazione della conservazione dei dati, conservare gli stessi fino alla data di revoca del consenso.

Questo promemoria è già incluso nelle linee guida 5/2020 dell'EDPB, secondo le quali occorre tenere conto del contesto e delle legittime aspettative degli individui: è buona prassi richiedere periodicamente un rinnovo del consenso.

• La Corte di Cassazione italiana ha confermato l'illegittimità del licenziamento di un dipendente da parte di una banca italiana, avvenuto a causa del monitoraggio illegale delle sue email e della sorveglianza a suo carico.

La Corte Suprema ha affermato che è necessario garantire un giusto equilibrio tra le esigenze di tutela degli interessi e della proprietà dell'impresa, connesse alla libertà di iniziativa economica, e la tutela della dignità e della privacy del lavoratore, a seconda delle circostanze.

Il monitoraggio di tutte le comunicazioni sul computer portatile aziendale del convenuto era ingiustificato perché indiscriminato, illimitato e perché il ricorrente non aveva informato il convenuto del possibile monitoraggio delle comunicazioni del suo computer portatile, né della natura e dell'estensione di tale monitoraggio.

• Con una decisione pubblicata il 21 agosto, l'Autorità spagnola per la protezione dei dati (APD) ha sanzionato un titolare del trattamento per violazione degli articoli 28(2) e 28(3) del GDPR.

Questa sanzione è stata imposta nonostante non esistesse alcun contratto tra il titolare del trattamento e i subappaltatori e il titolare del trattamento non fosse stato informato del coinvolgimento dei subappaltatori nelle attività di trattamento dei dati.

• L'Agenzia spagnola per la protezione dei dati (APD) pubblica un blog sulle valute digitali, in cui affronta i principali rischi posti dalle criptovalute: volatilità, speculazione, falsa percezione di disponibilità, sicurezza e anonimato.
• L'8 agosto la Commissione elettorale del Regno Unito ha annunciato di essere stata vittima di una violazione dei dati.

L'attacco informatico risale all'agosto 2021 ed è stato scoperto nell'ottobre 2022.

Gli hacker, che restano non identificati, hanno avuto accesso ai dati di 40 milioni di elettori registrati tra il 2014 e il 2022.

• Il governo britannico ha sospeso i suoi piani per indebolire la crittografia online attraverso l'attuazione dell'Online Safety Bill.

Questo disegno di legge mirava a obbligare le app di messaggistica come WhatsApp ad analizzare le conversazioni dei propri utenti per individuare la presenza di materiale pedopornografico. Le clausole controverse rimarrebbero nel testo, ma il governo britannico ha dichiarato che non costringerà le aziende tecnologiche ad implementarle.

• Nell'agosto del 2023, un team di ricercatori britannici ha pubblicato un articolo sullo sviluppo di un'intelligenza artificiale (IA) in grado di decifrare una password semplicemente ascoltando i suoni prodotti dai tasti della tastiera.

L'intelligenza artificiale è stata addestrata su un set di dati di oltre 100.000 pressioni di tasti ed è stata testata con successo su una varietà di dispositivi, tra cui laptop, smartphone e altoparlanti intelligenti.

 

• L'Organizzazione internazionale per la standardizzazione ha recentemente pubblicato la norma ISO 22989:2022 – Concetti e terminologia sull'IA, che definisce la terminologia e descrive i concetti nel campo dell'intelligenza artificiale.

Questo documento può essere utilizzato per sviluppare altri standard e per facilitare la comunicazione tra le diverse parti interessate. È applicabile a tutti i tipi di organizzazioni (imprese commerciali, enti governativi, organizzazioni non profit).

• Secondo alcune indiscrezioni, Meta si starebbe preparando a introdurre un abbonamento a pagamento per le sue piattaforme social Instagram e Facebook.

Secondo il Wall Street Journal, gli utenti che non desiderano essere tracciati per scopi di pubblicità personalizzata dovrebbero pagare tra i 10 e i 15 euro al mese, a seconda del dispositivo utilizzato (smartphone, computer).

• La videosorveglianza con riconoscimento biometrico è al centro di uno scandalo in Argentina: errori, un sistema suscettibile di manipolazione, accessi non autorizzati, mancanza di trasparenza…

Il settantacinque per cento della capitale è videosorvegliato, ma il sistema di riconoscimento facciale è oggetto di critiche dopo che almeno 140 errori hanno portato a controlli o arresti da parte della polizia dal 2019.

Gli attivisti hanno deciso di citare in giudizio l'amministrazione comunale e nell'aprile del 2022 hanno ottenuto la disattivazione del sistema.

Da allora, la città di Buenos Aires si sta battendo per rimetterla in servizio.

• Un ricercatore di sicurezza indonesiano ha rivelato su Twitter che un hacker ha messo in vendita per 10.000 dollari un file contenente i dati di quasi 35 milioni di titolari di passaporto.

È già noto che l'hacker abbia rubato e messo in vendita nel 2022 i dati di 1,3 miliardi di schede SIM dai server del Ministero delle Comunicazioni e dell'Informatica indonesiano ed è anche sospettato di essere responsabile del furto di informazioni personali di 17 milioni di clienti della compagnia elettrica indonesiana nel 2022 (tramite AFCDP).

• A metà settembre l'Arabia Saudita ha pubblicato il regolamento di attuazione della legge sulla protezione dei dati personali, nonché le norme relative al trasferimento di dati personali al di fuori del Regno.
• Il 15 ottobre 2021, il governo ruandese ha promulgato una legge sulla protezione dei dati personali e della privacy.

Il governo ha concesso un periodo di transizione di due anni per consentire a individui e organizzazioni di adeguare le proprie attività di trattamento dei dati alla legge. Questo periodo terminerà il 15 ottobre 2023.