Protezione dei dati in pieno svolgimento

Legal Watch n. 20 – 10 febbraio 2020

Ecco cosa ricordiamo delle prime settimane di questo nuovo anno, con numerosi dibattiti in occasione di eventi significativi:

• Giornata internazionale della protezione dei dati, il 28 gennaio
• La conferenza internazionale sulla protezione dei dati organizzata la settimana precedente a Bruxelles dal settore accademico, e
• Il Forum internazionale sulla sicurezza informatica a Lille negli ultimi giorni di gennaio.

Non mancherà febbraio, con la conferenza "intensiva sulla protezione dei dati" a Parigi, organizzata dall'Associazione Internazionale dei DPO (IAPP).

Tra i numerosi argomenti trattati, due spiccano: l'intensificarsi dei dibattiti sul riconoscimento facciale e la situazione specifica delle microimprese e delle PMI rispetto al GDPR.

Riconoscimento facciale in questione

Ad accendere la miccia a fine gennaio è stata l’ipotesi, avanzata in un libro bianco dalla Commissione Europea, di un moratoria sul riconoscimento facciale nei luoghi pubblici.

Il documento, nella fase di bozza, non era destinato alla distribuzione e la Commissione ha annunciato che sta abbandonando la possibilità di una moratoria e sta dando priorità ad altre vie di regolamentazione.

Presenterà il suo articolo sull'intelligenza artificiale il 19 febbraio.

L'idea di regolamentare più rigorosamente, o addirittura vietare, il riconoscimento automatico delle persone in determinati luoghi, si sta facendo strada tra gli enti regolatori, nei settori pubblico e privato e persino oltre Europa.

Su questo tema si sono pronunciati, tra gli altri, il Garante europeo della protezione dei dati (GEPD) e il Commissario per la protezione dei dati del Consiglio d'Europa.

Anche il Comitato europeo per la protezione dei dati (EDPB) affronta la questione nelle sue ultime linee guida adottate alla fine di gennaio.

Sempre più città, come San Francisco e Cambridge, hanno vietato questa tecnologia nei loro spazi pubblici.

I potenziali utilizzi dei dati creano una tale incertezza che anche i giganti della tecnologia come Microsoft chiedono maggiore chiarezza.

Tra le argomentazioni addotte, segnaliamo in particolare la rischi di discriminazione sulla base dell'origine etnica e di altri pregiudizi, che portano a troppi "falsi positivi".

La prospettiva di uno spazio pubblico totalmente sorvegliato solleva interrogativi anche alla luce delle attuali possibilità di raccolta dati: pensiamo al database Clearview, l'azienda che archivia i volti accessibili su tutti i social network per venderli alle forze dell'ordine negli Stati Uniti, e che ha fatto notizia all'inizio di quest'anno.

Merita di essere sottolineata anche la dimensione internazionale del problema.

Lo dimostra la recente interrogazione parlamentare a livello europeo riguardante il progetto "Città sicura" sviluppato in Serbia, basato sulla tecnologia cinese di riconoscimento facciale. 

La situazione delle microimprese e delle PMI

I dibattiti che hanno avuto luogo durante i vari eventi di gennaio hanno evidenziato le principali sfide che devono affrontare le (piccole) e medie imprese.

Se rappresentano la parte più grande dell'economia europea, sono i più svantaggiati quando si affrontano questioni di sicurezza della propria piattaforma IT, utilizzo del cloud, outsourcing e utilizzo di strumenti di autovalutazione (audit).

Di fronte a queste domande, diverse iniziative hanno visto la luce del giorno. 

Il 28 gennaio, l'ENISA (Agenzia dell'Unione europea per la sicurezza informatica) ha lanciato una piattaforma online per aiutare le aziende, in particolare le PMI, a proteggere i propri dati.

Esistono anche due iniziative volte ad aiutare gli sviluppatori di siti web: la guida CNIL e quella dell'organizzazione EDRI mirano a supportare lo sviluppo di siti conformi al GDPR.

Sebbene la scelta di un cloud sicuro (e idealmente europeo) rimanga complessa, vale la pena sottolineare gli sforzi delle autorità di regolamentazione europee in questo senso. Microsoft, ad esempio, ha appena modificato le condizioni contrattuali di Office 365 su pressione del Garante europeo della protezione dei dati (GEPD) e dei Paesi Bassi, al fine di renderle conformi al GDPR.

E inoltre:

In Francia:

Come annunciato, la CNIL ha pubblicato il 14 gennaio 2020 un progetto di raccomandazione riguardante lautilizzo di cookie e altri traccianti.

L'obiettivo è chiarire le condizioni per ottenere il consenso e include esempi concreti di avvisi agli utenti di Internet. Il testo è aperto alla consultazione fino al 25 febbraio.

In Europa:

Là L'uscita del Regno Unito dall'Unione Europea avrà conseguenze sui trasferimenti di dati.

Ci saranno comunque nessun cambiamento durante l'anno 2020, un anno di transizione durante il quale la Commissione europea valuterà il livello di protezione offerto dal Regno Unito al fine di adottare un'eventuale decisione di adeguatezza. 

I comunicati stampa dell'ICO (autorità di vigilanza britannica) e della CNIL specificano questi elementi.

Internazionale:

• STATI UNITI : A seguito dell'entrata in vigore all'inizio del 2020 del Legge sulla privacy dei consumatori della California, è il turno dello Stato di Washington di preparare una legge sulla privacy.

• Indonesia : UN legge sulla protezione dei dati è stato depositato in Parlamento il 28 gennaio. La sua ultima versione, datata 6 dicembre 2019, fortemente ispirata al GDPR, si applica ai settori pubblico e privato.

Si ricorda che l'elenco dei Paesi le cui leggi sono considerate adeguate dall'Unione Europea, facilitando così il trasferimento dei dati verso tali Paesi, è disponibile qui.

• Andorra,
• Argentina,
• Canada (organizzazioni commerciali),
• Isole Faroe,
• Guernsey,
• Israele,
• Isola di Man,
• Giappone,
• Maglia,
• Nuova Zelanda,
• Svizzera,
• L'Uruguay e l'
• Stati Uniti d'America (limitatamente al quadro normativo Privacy Shield)

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.