Strumenti analitici: l'impatto di una decisione giudiziaria (e dei servizi di intelligence) sui nostri siti web.

Osservatorio Legale n. 44 – Febbraio 2022

Strumenti analitici: l’impatto di una decisione giudiziaria – e dei servizi di intelligence – sui nostri siti webLa sentenza "Schrems II" della Corte di giustizia dell'Unione europea era già considerata, al momento della sua pubblicazione nel luglio 2020, una sentenza importante nel contesto della protezione dei dati personali e, più specificamente, dei trasferimenti verso gli Stati Uniti.

Oggi, le conseguenze sono sempre più vaste, una conseguenza logica delle conclusioni della Corte sui rischi che l'intelligence americana potrebbe avere accesso ai dati europei.

Queste conseguenze ora interessano strumenti di uso comune come le soluzioni di misurazione dell'audience e i font di Google.

Il mese scorso abbiamo già menzionato le decisioni a cascata prese dalle autorità di protezione dei dati di Austria, Paesi Bassi, Norvegia e Germania, a cui si aggiungono quelle di la CNIL e il Liechtenstein.

Queste decisioni fanno seguito ai reclami (101 in totale) presentati alle autorità da Max Schrems e dalla sua associazione NOYB (Centro europeo per i diritti digitali) volti a garantire che il GAFAM si conformi alla sentenza della Corte di giustizia.

Le conclusioni delle autorità sono le seguenti:

• I dati identificativi dei cookie e gli indirizzi IP non anonimizzati, come utilizzati da Google Analytics, sono dati personali.

Possono anche essere combinati con altri dati identificabili detenuti da terze parti (servizi di intelligence).

• Il fatto che i dati siano raccolti tramite un sito web europeo non è rilevante per valutare il rischio di accesso da parte di terzi : cos'è, è il trasferimento di dati negli Stati Uniti

• I trasferimenti verso gli Stati Uniti sono consentiti solo a condizione che siano adottate le opportune misure di salvaguardia. essere adottate, oltre alle clausole contrattuali standard, ad esempio, per eliminare il rischio di accesso ai dati da parte di governi terzi.

• Le autorità per la protezione dei dati hanno ritenuto che l' le garanzie aggiuntive prese da Google non erano sufficienti per escludere la possibilità di accesso ai dati da parte dei servizi segreti americani.

Le sanzioni attualmente consistono principalmente in avvertimenti e ordini di bloccare l'uso degli strumenti incriminati dai gestori dei siti web. La CNIL segnala di aver avviato diverse procedure di diffida a tal proposito.

Sebbene Google Analytics sia ampiamente utilizzato, l'impatto di queste decisioni non si limiterà a questo: le autorità per la protezione dei dati stanno estendendo la loro analisi "a altri strumenti utilizzati dai siti che comportano trasferimenti di dati dagli utenti Internet europei agli Stati Uniti ".

Molti operatori europei, gestori di siti nel settore pubblico o privato, sono quindi preoccupati.

Sappiamo che prevenire è meglio che curare e, in questo caso, dovremmo rivolgerci – se esistono – a strumenti che non raccolgono dati personali né li memorizzano su server locali.

La CNIL raccomanda pertanto che gli strumenti siano utilizzati solo per produrre dati statistici anonimi, il che consente anche di esentare l'utente dal consenso.

Ha avviato una procedura per valutare le soluzioni esistenti e sta pubblicando sul suo sito web soluzioni che soddisfano questi requisiti, tra cui, ad esempio, Matomo, Wysistat, Beyable o Compass.

Precisiamo che anche gli strumenti più virtuosi possono talvolta essere configurati in modi diversi: È responsabilità del gestore del sito verificare che la configurazione predefinita soddisfi i requisiti di legge.

Nel contesto attuale, limitare l'accesso ai dati da parte di terzi è in ogni caso una pratica da incoraggiare, indipendentemente dal fatto che i rischi di accesso provengano da oltre Atlantico o da altre parti.

E anche

Francia:

La CNIL sottoporrà a consultazione pubblica, entro l'11 marzo 2022, una bozza di posizione sulle telecamere "intelligenti". o “aumentati” negli spazi pubblici.

Pubblica anche il nuovo piano strategico 2022-2024, attorno a tre assi prioritari per una società digitale affidabile: “promuovere il rispetto dei diritti, promuovere il GDPR come risorsa e indirizzare la regolamentazione su temi ad alto rischio”.

I temi prioritari di controllo per l'anno 2022 sono la prospezione commerciale, il cloud e il monitoraggio del telelavoro.

La Francia lancia un campagna nazionale di sensibilizzazione sulla criminalità informatica, in collaborazione con i media, finalizzato a orientare il pubblico verso soluzioni di sicurezza informatica. 

Europa:

Nella riunione plenaria del 22 febbraio, il Il Comitato europeo per la protezione dei dati (EDPB) ha adottato una lettera relativa alla Convenzione del Consiglio d'Europa sulla criminalità informatica e al suo 2° Protocollo addizionale, lettera in cui esprime preoccupazione per la possibilità che i governi terzi richiedano direttamente dati ai fornitori di servizi europei.

Ha inoltre pubblicato linee guida sui codici di condotta come strumenti per i trasferimenti internazionali di dati e una lettera sulle questioni di responsabilità nel contesto dell'intelligenza artificiale.

Il 15 febbraio, il Comitato europeo per la protezione dei dati ha inoltre avviato la sua prima azione coordinata di controllo sull'uso del cloud da parte del settore pubblico.

L'utilizzo del cloud, raddoppiato in sei anni nell'UE, ha registrato un'ulteriore crescita durante la pandemia, con implicazioni per la conformità alle norme giuridiche europee. Ventidue autorità per la protezione dei dati, tra cui la CNIL, invieranno questionari a 75 autorità pubbliche per verificare la conformità al GDPR e, se necessario, avviare ispezioni formali.

Il CISPE, l'organizzazione dei fornitori di servizi di infrastrutture cloud, ha annunciato l'approvazione del suo codice di condotta sulla protezione dei dati da parte dell'EDPB..

Diverse aziende hanno già firmato l'accordo, tra cui Aruba, Amazon Web Services, Elogic, Leaseweb, Outscale e OVHCloud.

Il codice prevede in particolare la possibilità per gli utenti di scegliere di archiviare i dati nello Spazio economico europeo.

Anche le ONG possono essere soggette a controlli: L'Autorità belga per la protezione dei dati ha emesso due sanzioni contro la ONG EU DisinfoLab e uno dei suoi ricercatori, a seguito di una segnalazione alla CNIL. Le violazioni del GDPR individuate riguardano la raccolta massiva di dati nell'ambito di uno studio volto a identificare le tendenze politiche delle persone che hanno pubblicato tweet sul "caso Benalla".

In una decisione significativa, l'autorità belga per la protezione dei dati ha inoltre inflitto una multa di 250.000 euro all'European Interactive Advertising Bureau (IAB Europe). per violazione dei principi di legalità, lealtà e trasparenza, mancanza di misure tecniche e organizzative di protezione dei dati, mancanza di un registro, di un'analisi d'impatto e di nomina di un DPO. Dietro questo elenco di reati, c'è il principio del "real time bidding" (la messa all'asta dei dati degli utenti di Internet tramite piattaforme di gestione del consenso - CMP) che viene sanzionato data la sua totale opacità per gli interessati.

Il Garante per la protezione dei dati personali sanziona un club privato fino a 2.000 euro per aver orientato le proprie telecamere di sorveglianza verso la pubblica via, senza una chiara segnaletica, in violazione degli articoli 5(1)(a), 5(1)(c) e 13 del GDPR. 

Nei Paesi Bassi, il tribunale distrettuale dell'Aia ha sanzionato un datore di lavoro che aveva registrato segretamente la conversazione telefonica di un suo dipendente.Per il tribunale, sospettare che un dipendente contatti i propri clienti per avviare un'attività in proprio non è sufficiente a legittimare la registrazione segreta delle chiamate.

Sempre nei Paesi Bassi, l'Autorità per la protezione dei dati ha multato una società di media per 525.000,00 €: Quest'ultimo ha chiesto alle persone che esercitavano il diritto di accesso ai propri dati una copia della loro carta d'identità, richiesta ritenuta ingiustificata e in violazione dell'articolo 12(2) del GDPR.

L'Autorità spagnola per la protezione dei dati ha imposto una sanzione di 200.000 euro contro la Federazione calcistica spagnola per aver condiviso la registrazione di una videoconferenza su Zoom, senza la previa informazione o il consenso dei partecipanti. 

Anche in Spagna, il trasporto su strada di Amazon è stato multato di 2.000.000,00 € per la raccolta illegale di informazioni sui precedenti penali nell'ambito del loro processo di reclutamento.

Internazionale:

Il Comitato Internazionale della Croce Rossa è appena stato vittima di un attacco informatico altamente sofisticato, con conseguenze potenzialmente significative. Data la delicatezza dei dati trattati dall'organizzazione, il sito web fornisce al pubblico informazioni esemplari aggiornate al 16 febbraio, spiegando le circostanze dell'attacco, i potenziali rischi e le azioni intraprese per mitigarli.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.