Trasferimenti di dati personali verso gli Stati Uniti: rapporto sullo stato di avanzamento

Osservatorio Legale n. 55 – Gennaio 2023

Trasferimenti di dati personali verso gli Stati Uniti: rapporto sullo stato di avanzamentoL'incertezza giuridica che attualmente grava sugli scambi di dati tra Europa e Stati Uniti ha ripercussioni concrete come la lotta alla carenza di alloggi in Francia o l'utilizzo delle biblioteche online in Finlandia.

La società Abritel ha rifiutato di comunicare i dati relativi ai suoi noleggi alla città di Parigi, perché quest'ultima si avvale per questa raccolta di dati di un fornitore di servizi che li trasferisce negli Stati Uniti.

Il tribunale di Parigi si è pronunciato a favore di Abritel nella sentenza del 30 novembre 2022.

Lo scorso dicembre, l'autorità finlandese per la protezione dei dati ha scoperto che quattro città avevano, tra le altre cose, trasferito illegalmente dati personali negli Stati Uniti utilizzando Google Analytics e Google Tag Manager sui servizi online delle loro biblioteche pubbliche.

La complessità dei trasferimenti odierni è principalmente una conseguenza delle sentenze “Schrems I” e “Schrems II” della Corte di giustizia dell’Unione europea, rispettivamente dell’ottobre 2015 e del luglio 2020.

Tali sentenze hanno invalidato i successivi accordi conclusi tra l'UE e gli Stati Uniti sotto il nome di principi di Safe Harbor e Privacy Shield.

Nella sentenza del 2020, la Corte ha stabilito che il Privacy Shield, pur garantendo in linea di principio un livello di protezione sostanzialmente equivalente a quello dell'Unione europea, è stato reso in pratica inefficace da requisiti concreti relativi alla sicurezza nazionale, all'interesse pubblico e al rispetto del diritto statunitense.

Ha rilevato che la portata dei poteri di sorveglianza delle autorità statunitensi era eccessiva rispetto al diritto europeo e che il diritto dei cittadini non statunitensi di ricorrere a tribunali indipendenti non era garantito.

A partire dalla pubblicazione di questa decisione, i titolari del trattamento dei dati soggetti al GDPR devono adottare precauzioni speciali prima di qualsiasi trasferimento negli Stati Uniti.

L'utilizzo di clausole contrattuali che garantiscano la protezione dei dati resta un'opzione, a condizione che vengano effettuati controlli specifici sul contenuto delle clausole, sul contesto del trasferimento e sul regime giuridico applicabile nel paese terzo (in particolare in materia di sicurezza nazionale).

Se la situazione presenta rischi particolari, il titolare del trattamento deve adottare misure supplementari.

Lo scorso anno la Commissione ha adottato delle "clausole contrattuali standard" modernizzate per facilitarne l'uso e ha pubblicato consigli pratici per le imprese.

Il Comitato europeo per la protezione dei dati ha inoltre spiegato nelle sue raccomandazioni del 18 giugno 2021 i controlli da effettuare nell'ambito di un'analisi dell'impatto del trasferimento.

Tuttavia, tali requisiti potrebbero essere difficili da attuare se il destinatario dei dati si trova in una posizione dominante.

In questi casi, una soluzione più semplice è quella di utilizzare soluzioni di elaborazione dati ubicate nell'Unione Europea.

Il 13 dicembre, dopo diversi mesi di negoziati con gli Stati Uniti, la Commissione europea ha pubblicato la tanto attesa bozza di decisione di adeguatezza riguardante il livello di protezione dei dati oltreoceano.

Tra i diritti di cui i cittadini dell'UE potranno beneficiare nell'ambito del nuovo quadro giuridico, la Commissione europea menziona la garanzia di rimedi, tra cui il libero accesso a meccanismi indipendenti di risoluzione delle controversie e a un collegio arbitrale.

Vengono inoltre menzionate una serie di limitazioni e garanzie riguardanti l'accesso ai dati da parte delle autorità pubbliche statunitensi, in particolare per scopi di applicazione della legge e di sicurezza nazionale.

Tali garanzie scaturiscono dalle nuove norme introdotte da un decreto statunitense del 7 ottobre 2022, che risponderebbe alle questioni sollevate dalla Corte di giustizia dell'UE nella sentenza Schrems II.

Prima che possa essere adottata una decisione definitiva, la bozza deve essere esaminata dal Comitato europeo per la protezione dei dati (EDPB).

Questa revisione potrebbe portare a una decisione entro circa due mesi.

Il progetto di decisione dovrà poi essere approvato dal comitato dei rappresentanti degli Stati membri dell'UE.

Anche il Parlamento europeo ha il diritto di esaminare le decisioni di adeguatezza.

La decisione finale, prevista per la prossima primavera, fornirà le garanzie sperate in materia di protezione dei dati, laddove i precedenti accordi non sono riusciti a concretizzarsi?

Il Garante europeo della protezione dei dati (GEPD) ha recentemente commentato il progetto in termini ottimistici: "Questo è diverso da quanto visto con Safe Harbor. Non è ciò che abbiamo visto con Privacy Shield. Si tratta di qualcosa di nuovo e molto promettente".

Max Schrems, da parte sua, ha già annunciato di essere pronto a intraprendere una terza azione legale se il testo non proteggerà efficacemente i diritti fondamentali degli europei.

E anche

Francia:

La startup Lusha, accusata di aver sottratto i numeri di telefono professionali e gli indirizzi e-mail di 1,5 milioni di francesi, non è soggetta al GDPR, secondo la commissione ristretta della CNIL incaricata di imporre sanzioni.

Il dibattito si è concentrato sull'interpretazione dell'articolo 3(2)(b) del Regolamento, che prevede l'applicazione del diritto europeo alle società non basate nell'UE quando effettuano un "monitoraggio del comportamento" degli interessati: nella sua deliberazione del 20 dicembre 2022, la CNIL, prendendo le distanze dalle conclusioni del suo relatore, "non ritiene che la raccolta o l'analisi online di dati personali relativi a persone fisiche nell'Unione sarebbero automaticamente considerate come "monitoraggio"", e ritiene necessario tenere conto della finalità del trattamento dei dati e, in particolare, di eventuali successive tecniche di analisi comportamentale o di profilazione che coinvolgano tali dati.

Il 29 dicembre la CNIL ha imposto a TikTok una multa di 5.000.000 di euro. per impiantare identificatori pubblicitari sui dispositivi degli utenti senza il loro previo consenso.

Anche il banner dei cookie di TikTok è stato ritenuto non sufficientemente informativo.

Lo stesso giorno è stata sanzionata anche la società VOODOO, un editore di giochi per smartphone, è stato multato di 3 milioni di euro per aver utilizzato un identificatore principalmente tecnico per scopi pubblicitari senza il consenso degli utenti.

Contrariamente alla tendenza attuale, il Consiglio comunale di Montpellier ha deciso il 16 dicembre, al termine di una presentazione riguardante il riconoscimento facciale nel contesto della videosorveglianza e delle libertà pubbliche, di vietare "l'uso di trattamenti automatizzati di analisi delle immagini basati su dati personali o individuali" nel suo spazio pubblico.

Il disegno di legge riguardante l'uso dell'intelligenza artificiale nel contesto dei Giochi Olimpici del 2024 è stato approvato dal Senato il 24 gennaio.

La CNIL aveva formulato osservazioni su questo testo, pur rilevando che diverse misure erano in linea con le sue raccomandazioni: impiego sperimentale, limitato nel tempo e nello spazio, per determinate finalità specifiche e corrispondenti a gravi rischi per le persone, assenza di trattamento dei dati biometrici e di riconciliazione con altri fascicoli, decisioni soggette a previo intervento umano.

La CNIL ha inoltre sottolineato il carattere invasivo delle disposizioni che prevedono il trattamento dei dati genetici per le analisi antidoping.

Europa:

A seguito del reclamo dell'Irish Council for Civil Liberties (ICCL) e della decisione del Mediatore europeo del 19 dicembre 2022, la Commissione europea si è impegnata a rivedere la gestione delle violazioni del GDPR che coinvolgono le Big Tech da parte delle autorità per la protezione dei dati.

Misurerà il tempo impiegato per ogni fase di ogni procedura e il suo avanzamento, e questa revisione verrà effettuata sei volte all'anno.

Il Comitato europeo per la protezione dei dati (EDPB) ha istituito un gruppo di lavoro per esaminare in dettaglio le questioni relative ai cookie..

In una bozza di rapporto datata 17 gennaio, l'EDPB chiarisce le pratiche specifiche che sono illegali, tra cui:

• La mancanza di un'opzione di opt-out nella home page
• Caselle preselezionate
• I link all'opzione di opt-out in minuscolo sono stampati in testo separato
• Link all'opzione di opt-out al di fuori del banner dei cookie
• Rivendicazione di un legittimo interesse all'installazione di cookie non essenziali
• L'assenza di un'opzione permanente per revocare il consenso.

Il Comitato europeo per la protezione dei dati (EDPB) chiarisce che queste conclusioni riflettono una soglia minima nella valutazione dei cookie.

Dovrebbero essere combinati con i requisiti della direttiva ePrivacy e letti alla luce degli altri lavori dell'EDPB sui dark pattern.

La commissione speciale del Parlamento europeo (PEGA) indagherà sull'uso di Pegasus e altri software di sorveglianza spyware continuano il loro lavoro conducendo studi, audizioni di esperti e visite di accertamento in Israele, Polonia e Grecia. Le bozze di raccomandazioni saranno presentate al Parlamento il 10 giugno.

La ONG EDRi ha organizzato la sua conferenza annuale, il Privacy Camp, il 25 gennaio. che riunisce difensori dei diritti digitali, attivisti, accademici e responsabili politici attorno alle attuali questioni relative ai diritti umani.

Le presentazioni sono disponibili online sul sito web dell'evento.

In un'importante sentenza del 12 gennaio 2023 (causa C-154/21), la Corte di giustizia dell’Unione europea ha confermato che il titolare del trattamento ha l’obbligo di comunicare a chiunque ne faccia richiesta l’elenco dei destinatari esatti dei propri dati personali quando sono stati condivisi con terze parti, e non solo con categorie di destinatari.

La CGUE precisa in un’altra sentenza del 12 gennaio (causa C-132/21) che i rimedi amministrativi e civili previsti dal GDPR possono essere esercitati contemporaneamente e indipendentemente l'uno dall'altro.

In questo modo è possibile avviare parallelamente procedure di reclamo presso le autorità di protezione dei dati (DPA) e procedimenti legali sullo stesso tema.

Spetta agli Stati membri garantire che l'esercizio parallelo di tali rimedi non comprometta l'applicazione coerente e uniforme del regolamento.

Il disegno di legge sulla sicurezza online del Regno Unito è attualmente in discussione in Parlamento.

Il testo, che mira a proteggere i bambini, individua i contenuti rischiosi, in particolare quelli autolesionistici, i "deep fake" e la condivisione di immagini intime senza consenso, che saranno definiti nuovi reati penali.

I critici sottolineano la mancanza di definizione o precisione nel testo, che consentirebbe eccessive cancellazioni di contenuti e l'istituzione di una sorveglianza diffusa.

Il sito web "enforcementtracker" presenta un inventario delle sanzioni pecuniarie irrogate dalle autorità di controllo in applicazione del GDPR: il 2022 si è chiuso con un totale di oltre 830 milioni di euro per 448 sanzioni, rispetto agli 1,3 miliardi di euro del 2021.

Non sorprende che l'Irlanda, patria delle più grandi aziende tecnologiche, detenga il primo posto con oltre 80.000 multe.

Giovedì 19 gennaio, l'autorità irlandese per la protezione dei dati (DPA) ha annunciato una multa di 5,5 milioni di euro contro WhatsApp, oltre a decisioni simili contro Facebook e Instagram.

La base giuridica utilizzata da WhatsApp per il trattamento dei dati personali (miglioramento del servizio e sicurezza) è stata ritenuta contraria al diritto europeo.

Questa decisione è stata criticata dalla società civile, che ha osservato che la questione centrale dell'uso dei dati per la pubblicità comportamentale, il marketing, la fornitura di dati metrici a terzi e lo scambio di dati con società affiliate non è stata affrontata dall'autorità irlandese, nonostante la decisione dell'EDPB pubblicata il 24 gennaio.

APS norvegese ha riscontrato che un'azienda di corriere e logistica aveva violato l'articolo 32 del GDPR a causa di una valutazione del rischio insufficiente e della mancanza di misure di sicurezza adeguate.

L'applicazione utilizzava i numeri di telefono come unico mezzo di autenticazione per accedere al profilo del cliente.

autorità spagnola ha ritenuto che la Commissione nazionale contro la violenza, il razzismo, la xenofobia e l'intolleranza nello sport non potesse invocare l'eccezione di interesse pubblico di cui all'articolo 9(2)(g) del GDPR per elaborare i dati biometrici dei tifosi di calcio che entrano negli stadi.

APS italiano ha multato un club sportivo di 20.000 euro per aver utilizzato illegalmente un sistema di impronte digitali per registrare le presenze dei propri dipendenti sul posto di lavoro.

Ha inoltre multato il fornitore di energia Areti per 1 milione di euro per aver etichettato erroneamente alcuni dei suoi clienti come truffatori, impedendo loro di cambiare fornitore di energia.

APS estone ha ritenuto che l'uso di telecamere a circuito chiuso per sorvegliare i dipendenti non potesse essere basato sul consenso, ma solo su un interesse legittimo ai sensi dell'articolo 6(1)(f) del GDPR, a condizione che fosse stata effettuata una valutazione valida di tale interesse.

Internazionale

La “Privacy by Design” diventa uno standard internazionale: L'8 febbraio l'Organizzazione internazionale per la normazione (ISO) adotterà lo standard ISO 31700.

Include 30 requisiti e linee guida sui principi della privacy by design.

STATI UNITI: Oltre a sviluppare standard tecnici (NIST Risk Management Framework) nell'ambito delle politiche sull'intelligenza artificiale, la Casa Bianca ha pubblicato una bozza di Carta dei diritti sull'intelligenza artificiale.

Anche diversi stati americani stanno lavorando a una legislazione in questo ambito.

Il presidente Biden ha recentemente ripreso queste raccomandazioni in un articolo per il Wall Street Journal, evidenziando gli sforzi della sua amministrazione per combattere la discriminazione algoritmica, promuovere la trasparenza algoritmica e attuare una legislazione per la governance dell'intelligenza artificiale.

Anche nel campo dell’intelligenza artificiale, Il 27 gennaio la Commissione europea e il governo statunitense hanno firmato un "accordo amministrativo sull'intelligenza artificiale per il bene pubblico".

L'accordo è stato firmato nell'ambito del Consiglio per il commercio e la tecnologia (TTC) UE-USA.

Microsoft ha annunciato sul suo blog a metà dicembre che avrebbe trasferito l'archiviazione dei dati dei suoi clienti europei all'interno dell'Unione Europea.

Questo programma, tuttavia, non risolve tutti i problemi legati all'accesso ai dati europei da parte degli Stati Uniti.

Il Cloud Act consente alle autorità penali statunitensi di accedere ai dati dei fornitori di servizi cloud statunitensi, indipendentemente da dove siano archiviati, e senza dover avviare procedimenti tramite assistenza legale reciproca internazionale.

Australia è vittima da diversi mesi di attacchi informatici che hanno preso di mira le sue agenzie governative e il settore privato.

Il Paese sospetta attacchi di origine russa e cinese, che mirano a paralizzare le istituzioni e le imprese del Paese e a colpire direttamente la vita dei cittadini attraverso la diffusione massiccia di dati personali.

Per alcuni, questo è un assaggio di ciò che attende i paesi occidentali: ad esempio, diverse reti ferroviarie tedesche hanno recentemente subito strani malfunzionamenti.

Dopo averlo annunciato lo scorso marzo, il governo russo si ritira formalmente dalla Convenzione 108 del Consiglio d'Europa sulla protezione dei dati nonché tutti gli altri trattati internazionali del Consiglio d'Europa.

In seguito a questo annuncio, il Consiglio, da parte sua, ha attuato un meccanismo formale e ha revocato unilateralmente l'adesione della Russia.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.