Conformità al GDPR in tempi di crisi.
Conformità al GDPR in tempi di crisi. Quali sono le priorità? autorità di vigilanza e quali sono i controlli Cosa possono aspettarsi le aziende nell'attuale contesto sanitario ed economico?
Sebbene la CNIL concentri chiaramente le sue attività sul trattamento dei dati sanitari, non ha abbandonato le sue prerogative di vigilanza in senso lato.
Innanzitutto, sono numerose le azioni di sensibilizzazione rivolte ai datori di lavoro (vedi il documento di monitoraggio giuridico di settembre), agli insegnanti e ai ricercatori confrontati con un utilizzo sempre maggiore delle tecnologie informatiche e dell'intelligenza artificiale.
La CNIL ha inoltre concentrato le sue indagini sui sistemi di monitoraggio dell'epidemia e sull'applicazione StopCovid.
Il suo capo del dipartimento di ispezione indica in una recente pubblicazione che il Le piccole imprese, le PMI e le start-up sono quindi meno soggette a controlli.
Tuttavia, le indagini non sono state abbandonate, soprattutto perché i responsabili hanno avuto il tempo di adottare le misure di conformità necessarie dall'entrata in vigore del GDPR.
Tali controlli vengono effettuati prevalentemente tramite questionari e interviste, mentre i controlli a sorpresa sono meno frequenti a causa della crisi.
I controlli in loco danno quindi luogo a un preavviso di 48 ore.
Adattamenti simili sono in atto in molti paesi europei, come dimostra il recente rapporto del Consiglio d'Europa sull'argomento.
Se si potesse osservare una certa flessibilità, ad esempio per quanto riguarda il superamento del termine legale per rispondere al diritto di accesso degli individui ai propri dati, la tolleranza è significativamente inferiore o inesistente quando l'elaborazione dei dati costituisce l'attività principale dell'organismo controllato.
Oltre all'adattamento dei metodi di controllo in tempi di crisi, è cambiata anche la forma di ricorso a disposizione dei singoli in caso di violazione dei loro diritti.
Il GDPR ora consente ai reclamanti di essere rappresentati da enti di interesse pubblico, molte associazioni hanno visto svilupparsi le loro attività dal 2018, come “La Quadrature du Net” in Francia o “None of Your Business” in Austria.
Li abbiamo visti all'opera di recente in azioni legali riguardanti la sorveglianza dei droni su Parigi durante il lockdown e nel contesto delle manifestazioni, e in merito alla questione dei trasferimenti di dati verso gli Stati Uniti (vedere la sentenza Schrems II, di cui si è parlato nel nostro osservatorio legale di agosto).
Queste strutture, sempre meglio organizzate e finanziate, danno nuova visibilità al problema della protezione dei dati.
Considerati i possibili danni e sanzioni previsti dal Regolamento, si evidenziano le problematiche non solo dal punto di vista etico, ma anche da quello finanziario e strategico.
Questi sviluppi saranno al centro di un prossimo webinar organizzato il 18 novembre dalla piattaforma sulla privacy dell'eurodeputata Sophie In't Veld.
E anche
Francia:
- Il Consiglio di Stato rifiuta di sospendere il funzionamento dell'"health data hub", nonostante i rischi associati al trasferimento di questi dati negli Stati Uniti.
La CNIL ha evidenziato i rischi legati all'hosting da parte di Microsoft dei dati sanitari delle persone in cura in Francia e ha ricordato le questioni di legalità sollevate dalla sentenza Schrems II della Corte di giustizia europea.
Pur non sospendendo il funzionamento della piattaforma, il Consiglio di Stato riconosce tuttavia i rischi del trasferimento e chiede che vengano adottate le opportune garanzie, finché non si trovi una soluzione duratura.
La CNIL fornirà consulenza alle autorità pubbliche in merito e garantirà, per le richieste di autorizzazione di progetti di ricerca nel contesto della crisi sanitaria, che l'utilizzo della piattaforma sia tecnicamente necessario.
- La CNIL propone un evento dedicato al diritto alla portabilità lunedì 23 novembre 2020 dalle 14:00 alle 17:30.
Questo nuovo diritto, sancito dal GDPR, consente a chiunque di ricevere i dati personali che ha comunicato a un titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento.
I dibattiti saranno volti in particolare a discutere soluzioni concrete per semplificare il flusso di dati tra i servizi, nel rispetto dei diritti delle persone.
Il GDPR ora consente ai reclamanti di essere rappresentati da enti di interesse pubblico, molte associazioni hanno visto svilupparsi le loro attività dal 2018, come “La Quadrature du Net” in Francia o “None of Your Business” in Austria.
Li abbiamo visti all'opera di recente in azioni legali riguardanti la sorveglianza dei droni su Parigi durante il lockdown e nel contesto delle manifestazioni, e in merito alla questione dei trasferimenti di dati verso gli Stati Uniti (vedere la sentenza Schrems II, di cui si è parlato nel nostro osservatorio legale di agosto).
Queste strutture, sempre meglio organizzate e finanziate, danno nuova visibilità al problema della protezione dei dati.
Considerati i possibili danni e sanzioni previsti dal Regolamento, si evidenziano le problematiche non solo dal punto di vista etico, ma anche da quello finanziario e strategico.
Questi sviluppi saranno al centro di un prossimo webinar organizzato il 18 novembre dalla piattaforma sulla privacy dell'eurodeputata Sophie In't Veld.
E anche
Francia:
- Il Consiglio di Stato rifiuta di sospendere il funzionamento dell'"health data hub", nonostante i rischi associati al trasferimento di questi dati negli Stati Uniti.
La CNIL ha evidenziato i rischi legati all'hosting da parte di Microsoft dei dati sanitari delle persone in cura in Francia e ha ricordato le questioni di legalità sollevate dalla sentenza Schrems II della Corte di giustizia europea.
Pur non sospendendo il funzionamento della piattaforma, il Consiglio di Stato riconosce tuttavia i rischi del trasferimento e chiede che vengano adottate le opportune garanzie, finché non si trovi una soluzione duratura.
La CNIL fornirà consulenza alle autorità pubbliche in merito e garantirà, per le richieste di autorizzazione di progetti di ricerca nel contesto della crisi sanitaria, che l'utilizzo della piattaforma sia tecnicamente necessario.
- La CNIL propone un evento dedicato al diritto alla portabilità lunedì 23 novembre 2020 dalle 14:00 alle 17:30.
Questo nuovo diritto, sancito dal GDPR, consente a chiunque di ricevere i dati personali che ha comunicato a un titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento.
I dibattiti saranno volti in particolare a discutere soluzioni concrete per semplificare il flusso di dati tra i servizi, nel rispetto dei diritti delle persone.
Europa:
- Regno Unito : Là Mariott International Company è stata multata di 20 milioni di euro il 30 ottobre per una violazione della sicurezza, un importo notevolmente inferiore, seppur comunque consistente, rispetto ai 100 milioni di euro inizialmente annunciati dall'autorità britannica per la protezione dei dati.
- La Corte di giustizia europea ha pronunciato due importanti sentenze il 6 ottobre (La Quadrature du Net e Privacy International) nel settore dell'utilizzo dei dati personali da parte dei servizi di intelligence.
Lei specifica il condizioni rigorose in base alle quali i dati delle comunicazioni possono essere archiviati dagli operatori e conferma l'illegalità delle intercettazioni "di massa" di questi dati da parte dei servizi segreti.
La Corte confuta inoltre l'esistenza di un diritto fondamentale e collettivo alla sicurezza., il che giustificherebbe un bilanciamento con i diritti fondamentali alla privacy e alla protezione dei dati.
- Il Comitato europeo per la protezione dei dati (EDPB) ha adottato linee guida sulla protezione dei dati nella riunione del 21 ottobre “per progettazione e per impostazione predefinita”, che illustrano concretamente come garantire tale protezione fin dalla fase di progettazione di un sistema IT.
Internazionale:
- Brasile è dotato dal 19 ottobre di un Collegio dei Commissari per la Protezione dei Dati per la gestione della sua autorità di vigilanza.
Dei cinque membri nominati dal Presidente della Repubblica e confermati dal Senato, tre hanno esperienza prevalentemente militare, il che rende il collegio piuttosto unico nel suo genere.
- L'Assemblea globale per la privacy ha riunito virtualmente a metà ottobre circa un centinaio di rappresentanti delle autorità preposte alla protezione dei dati.
L'assemblea ha adottato diverse risoluzioni riguardanti laintelligenza artificiale, riconoscimento facciale e aiuti umanitariHa inoltre pubblicato una raccolta di buone pratiche relative alla pandemia di COVID-19.
- UNICEF prepara le linee guida per proteggere diritti dei bambini nel contesto dello sviluppo dell'intelligenza artificiale. Il progetto è disponibile online e la sua versione definitiva sarà pubblicata nel 2021.
Anna Cristina Lacoste
Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.
IT 
FR 
EN 
DE 
ES 
EL 
HR 
PT 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SK 
SL