Nuovo anno, bilancio e prospettive.

Nuovo anno, revisione e prospettiveDopo un anno che alcuni definiscono un annus horribilis, il 2021 è accolto da molti come una speranza di cambiamento. 

È vero che gli ultimi mesi hanno messo a dura prova la resilienza delle nostre società in modi senza precedenti.

L'impatto della pandemia sulla nostra salute, ma anche sui nostri sistemi politici e sui nostri diritti fondamentali, è tutt'altro che banale.

Le autorità competenti per la protezione dei dati hanno dedicato gran parte del loro tempo al supporto e al monitoraggio in ambiti chiave e molto diversificati legati al virus:

• Ricerca medica,
• Sorveglianza della popolazione tramite droni,
• Telelavoro,
• Apprendimento a distanza,
• Tracciamento delle app anti-covid,
• Dati sulla vaccinazione,

E la questione più ampia del trattamento dei dati sanitari da parte delle autorità pubbliche al di fuori dell'ambito medico.

Questa particolare attenzione alle problematiche sollevate dalla gestione della pandemia non ha tuttavia impedito alla CNIL di adottare diverse sanzioni di rilievo, tra cui due riguardanti i giganti del web Google e Amazon, per importi di diverse decine di milioni di euro.

Altri operatori sono stati sanzionati con multe di importo inferiore, adeguate al loro fatturato, e queste sanzioni hanno colpito sia i grandi operatori commerciali (vedere l'editoriale di dicembre riguardante Carrefour) sia le piccolissime imprese: un'azienda con due dipendenti specializzata nell'invio di email di prospezione commerciale è stata appena multata di 7.300 euro, in particolare per il mancato rispetto dell'obbligo di ottenere il consenso, con una penale di 1.000 euro per ogni giorno di ritardo se l'adempimento non avviene entro due mesi.

Non oseremo prevedere cosa ci riserverà il nuovo anno. Tuttavia, è ancora possibile individuare le principali aree e priorità degli stakeholder della protezione dei dati per i prossimi mesi.

COSÌ, Oltre al trattamento dei dati sanitari e alle relative misure di sorveglianza, si sottolinea che la questione etica, lo sviluppo dell'intelligenza artificiale e delle nuove tecnologie restano prioritari..

È quanto sottolinea il Comitato europeo per la protezione dei dati (EDPB) nella sua strategia 2021-2023, che si rivolge in particolare

• Biometria,
• Profilazione,
• Tecnologie pubblicitarie,
• Servizi cloud e
• La blockchain.

Il Comitato afferma inoltre di volersi rivolgere non solo agli specialisti della protezione dei dati, ma direttamente e in modo più concreto anche ai titolari del trattamento dei dati, con linee guida volte a supportare le microimprese e le PMI.

Anche la concentrazione delle aziende nel settore dei servizi digitali è nel mirino delle autorità europee (vedi sotto, "Europa"), così come i trasferimenti di dati tra l'Europa e il resto del mondo.

A seguito della sentenza Schrems II della Corte di giustizia europea, si sta prestando maggiore attenzione, da un lato, ai regimi di sorveglianza e alle leggi vigenti nei paesi terzi e, dall'altro, alle precauzioni da adottare nell'ambito dei trasferimenti, tra cui la crittografia dei dati.

Sempre nell'ambito dei trasferimenti di dati, aggiungiamo che, Anche se il Regno Unito ha ormai lasciato l'Unione Europea, i dati potranno comunque circolare liberamente tra il Regno Unito e l'UE per i prossimi sei mesi, il GDPR è ancora applicabile in via transitoria.

Il regime di trasferimento dipenderà quindi dall'adozione di una decisione di adeguatezza da parte della Commissione europea.

In caso contrario, prima di prendere in considerazione qualsiasi trasferimento, sarà necessario stipulare delle garanzie (ad esempio clausole contrattuali).

Nonostante gli sconvolgimenti verificatisi negli ultimi mesi, e forse anche a causa di questi sconvolgimenti che hanno ulteriormente incrementato il nostro utilizzo delle nuove tecnologie e lo sviluppo del virtuale, la salvaguardia dei diritti fondamentali è più attuale che mai.

Scommettiamo che saremo all'altezza delle sfide tecnologiche e umane che ci attendono.

E anche

Francia:

• Il Consiglio di Stato ha confermato nell'ordinanza del 22 dicembre la sospensione immediata della decisione del prefetto di polizia relativa l'uso dei droni nel contesto di manifestazioni o assembramenti su strade pubbliche.

Il Consiglio di Stato ordina la cessazione delle misure di sorveglianza tramite droni per queste manifestazioni o assembramenti, fino all'adozione di un testo che autorizzi la creazione di un sistema di trattamento dei dati personali.

Resta da vedere se la proposta di legge sulla sicurezza globale sarà in grado di giustificare tale utilizzo dei droni.

Nella sua valutazione dell'urgenza, la CE menziona a questo proposito "il numero significativo di persone che potrebbero essere soggette alle misure di sorveglianza contestate e la violazione che queste potrebbero causare alla libertà di manifestazione", nonché il fatto che "il ministro non fornisce alcuna prova per stabilire che l'obiettivo di garantire la sicurezza pubblica durante gli assembramenti di persone sulle strade pubbliche non potrebbe essere pienamente raggiunto, nelle attuali circostanze, senza l'uso di droni".

• In termini di riconoscimento facciale, il Consiglio di Stato, invece, con sentenza del 4 novembre, ha convalidato l'autenticazione online basata su dati biometrici che consente l'accesso ad alcuni servizi telematici della pubblica amministrazione (Alicem).

La CE ritiene in particolare che i dati raccolti siano necessari e proporzionati alla finalità del trattamento (i dati biometrici vengono distrutti dopo la creazione degli identificatori elettronici) e che gli utenti mantengano la possibilità di accedere ai servizi tramite un identificatore separato.

• Il 7 dicembre la CNIL ha multato Amazon Europe Core di 35 milioni di euro per deposito di biscotti sui computer dei visitatori del suo sito senza previo consenso o informazioni soddisfacenti.

Europa:

• La stampa ha ampiamente commentato la pubblicazione da parte della Commissione Europea della sua proposta di regolamentazione dei servizi digitali.

Questo nuovo quadro giuridico, se approvato dal Parlamento europeo e dal Consiglio, comporterà un importante aggiornamento della direttiva europea sul commercio elettronico, con l'obiettivo di tutelare meglio i consumatori e promuovere un mercato digitale più equilibrato.

Il testo crea obblighi significativi per gli operatori del settore "tecnologico", in particolare per le piattaforme di accesso come Google o Facebook.

Questi dovranno mettere in atto misure di informazione, rendicontazione, audit, gestione del rischio e cooperazione.

Sarà creato un Comitato europeo per i servizi digitali, con un ruolo paragonabile e complementare a quello del Comitato europeo per la protezione dei dati.

Tali obblighi non dovrebbero entrare in vigore prima del 2023.

• Un uomo è stato condannato per omicidio in Germania sulla base di una registrazione effettuata dall'assistente vocale Alexa di Amazon.

L'uomo aveva utilizzato l'assistente vocale sulla scena del crimine, il che ha confermato la sua presenza lì.

Amazon ha fornito ai giudici, su loro richiesta, le registrazioni che erano conservate su server all'estero.

Indipendentemente dalla questione dell'utilizzo di tali registrazioni a fini legali, il trattamento dei dati da parte degli assistenti vocali è stato oggetto di un chiarimento da parte della CNIL, disponibile sul suo sito web.

Internazionale:

• Russia Facebook ha pagato una multa di quattro milioni di rubli (cinquantamila dollari) per essersi rifiutata di localizzare i dati dei suoi utenti russi in Russia, un obbligo a cui sono soggette tutte le aziende straniere che operano nel campo delle nuove tecnologie.

Le autorità russe avevano già bloccato il social network LinkedIn per gli stessi motivi.

• Là Cina si sta preparando a regolamentare l'uso della biometria e del riconoscimento facciale nella sua legge sui dati personali.

Secondo il portavoce della Commissione Affari Legislativi, se l'obiettivo è rispettare i principi di proporzionalità e necessità nel trattamento dei dati, "restano aperte molte opzioni".

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.