Bollettino Legale n. 70 – Aprile 2024.

Trasferimento di dati al di fuori dell'UE: situazione attuale.

Il panorama dei trasferimenti internazionali di dati si sta delineando con maggiore chiarezza man mano che le istituzioni prendono decisioni e assumono posizioni più definite. 

Abbiamo quindi preso atto di diverse iniziative recenti, sia a livello europeo che nazionale, volte a facilitare i flussi di dati nel rispetto dei diritti fondamentali.

In una riunione tenutasi il 4 marzo con i rappresentanti dei quindici paesi già riconosciuti come idonei, la Commissione europea ha quindi manifestato la propria volontà di ampliare le forme di cooperazione internazionale dell'UE.

Mentre in passato la Commissione ha privilegiato la collaborazione con il Consiglio d'Europa incentrata sui diritti umani, il Commissario europeo per la Giustizia ha menzionato a marzo anche una più stretta collaborazione con l'OCSE, un'organizzazione il cui approccio è incentrato sullo sviluppo economico.

 I paesi interessati, in America e in Asia, adottano approcci alla protezione della privacy che differiscono significativamente da quelli dell'Unione Europea.

È opportuno ricordare che a gennaio la Commissione europea ha rinnovato le decisioni di adeguatezza di tutti i paesi che avevano già beneficiato di una decisione positiva.

Ciò ha suscitato reazioni anche nell'attuale contesto politico, con una lettera aperta, sostenuta da 11 organizzazioni della società civile, che il 22 aprile ha chiesto al Commissario europeo per la Giustizia di fornire chiarimenti sulla sua decisione di rinnovare la decisione di adeguatezza relativa a Israele.

 La lettera mette in discussione, in particolare, il rispetto dei criteri di adeguatezza in relazione al trattamento dei dati per finalità di sicurezza nazionale, il rispetto dei diritti umani, lo stato di diritto e l'accesso alla giustizia.

I trasferimenti verso paesi che non beneficiano di una decisione di adeguatezza restano ovviamente possibili, a condizione, ad esempio, che siano state adottate clausole contrattuali standard o che siano state stabilite norme vincolanti all'interno del gruppo di società per disciplinare i trasferimenti di dati.

Per supportare i gruppi in questo processo, la CNIL ha appena pubblicato uno strumento di autovalutazione.

Si tratta di un questionario che ci permette di verificare il livello di maturità del progetto in relazione ai requisiti degli standard BCR adottati dal Comitato europeo per la protezione dei dati (EDPB).

La CNIL raccomanda di testare il progetto prima di presentare i BCR per l'approvazione.

Lo strumento consente di verificare l'effettiva attuazione dei seguenti impegni:

• Un regime di responsabilità basato sulla sede centrale europea o sulla filiale europea responsabile per delega della protezione dei dati;
• Una procedura di formazione del personale;
• Una procedura di audit per garantire la conformità alle norme GCR;
• Una procedura interna per la gestione dei reclami;
• Una rete di responsabili della protezione dei dati o di dipendenti qualificati per monitorare il rispetto delle norme;
• Una procedura per determinare l'opportunità di condurre una valutazione d'impatto sulla privacy (PIA);
• Per il "subappaltatore" delle BCR, gli obblighi del subappaltatore nei confronti del titolare del trattamento;
• Misure tecniche e organizzative adeguate per garantire il rispetto dei principi di protezione dei dati.

La CNIL offre una mappa mondiale interattiva per identificare la situazione di ciascun paese in termini di protezione dei dati, e l'elenco dei paesi che hanno beneficiato di una decisione di adeguatezza è disponibile sul sito web della Commissione europea.

 

Il 4 aprile la CNIL ha inflitto una multa di 525.000 euro a HUBSIDE.STORE. per aver condotto campagne di prospezione utilizzando dati personali ottenuti tramite moduli ingannevoli, che non hanno permesso al titolare del trattamento di ottenere un consenso valido.

Il 25 marzo, il Segretario di Stato per gli Affari Digitali ha presentato la tabella di marcia strategica della Francia per il Decennio Digitale. alla presenza del Direttore generale per le reti di comunicazione, i contenuti e le tecnologie (DG Connect) della Commissione europea.

“La tabella di marcia è strutturata attorno a quattro aree di lavoro volte al raggiungimento degli obiettivi del “decennio digitale”:

• Competenze digitali,
• Infrastruttura digitale,
• La trasformazione digitale delle imprese e
• La digitalizzazione dei servizi pubblici.

Il 2 maggio La Quadrature du Net ha presentato un reclamo alla CNIL contro l'implementazione della videosorveglianza algoritmica (VSA). che lei considera illegale.

Il progetto Prevent PCP, che riunisce SNCF e RATP insieme a un gruppo di aziende, tra cui il gruppo Atos e ChapsVision, si configura come un appalto pubblico che consente alle aziende di implementare i propri sistemi VSA nelle principali stazioni ferroviarie europee per individuare i "bagagli abbandonati", attraverso un metodo basato sull'identificazione e il tracciamento dei proprietari dei bagagli.

In Francia, questi sistemi VSA sono stati implementati per mesi nelle stazioni Gare du Nord e Gare de Lyon di Parigi o, più recentemente, nella Gare de Marseille-Saint-Charles.

 

istituzioni e organismi europei

Il Comitato europeo per la protezione dei dati (EDPB) ha adottato il suo programma di lavoro per il periodo 2024-2027 a metà aprile.

Nei prossimi quattro anni, l'EDPB continuerà a promuovere il rispetto del GDPR sviluppando linee guida e materiali pratici destinati a un pubblico più ampio.

Anche la cooperazione nell'applicazione della legislazione rimane una priorità. 

Un nuovo aspetto della strategia è l'enfasi posta sull'interazione con il nuovo quadro normativo digitale.

Il Comitato europeo per la protezione dei dati (EDPB) continuerà a prestare particolare attenzione alle sfide poste dalle nuove tecnologie, come l'intelligenza artificiale.

Il 17 aprile, l'EDPB si è inoltre pronunciato in merito al modello "paga o accetta i cookie" imposto agli utenti delle principali piattaforme online.

Nel novembre 2023, Meta ha introdotto una tariffa mensile per gli utenti che si rifiutavano di essere tracciati a fini di pubblicità personalizzata.

Le organizzazioni per i diritti civili hanno reagito presentando diverse denunce alle autorità competenti per la protezione dei dati (DPA), le quali hanno chiesto al Comitato europeo per la protezione dei dati (EDPB) un parere vincolante sulla questione.

Questo parere mette in discussione il modello imposto da Meta e piattaforme simili: per il comitato, "nella maggior parte dei casi, per le grandi piattaforme online non sarà possibile rispettare i requisiti di un consenso valido se si limitano a proporre agli utenti una scelta binaria tra acconsentire al trattamento dei dati personali per finalità di pubblicità comportamentale e pagare una commissione".

Il Comitato ribadisce che il consenso deve essere dato liberamente e che un'alternativa che imponga un pagamento dissuasivo impedirebbe il libero consenso.

L'organizzazione esorta le piattaforme ad adottare un modello pubblicitario alternativo basato su una raccolta più limitata di dati personali.

L'iniziativa della Commissione europea volta a incoraggiare le grandi aziende tecnologiche ad aderire volontariamente a un "impegno sui cookie", che ridurrebbe il tracciamento degli utenti di Internet e rafforzerebbe il loro consenso, non ha riscosso il successo sperato.

Secondo quanto dichiarato a Euronews da un portavoce della Commissione, la maggior parte delle aziende riteneva che l'introduzione di un approccio volontario alla pubblicità digitale fosse "prematura, visti i recenti effetti della nuova normativa in materia, come il Regolamento sui servizi digitali (DSA) e il Regolamento sui mercati digitali (DMA)".

L'11 aprile, la Corte di giustizia dell'Unione europea ha stabilito che un titolare del trattamento dei dati non è esente da responsabilità per danni ai sensi del GDPR semplicemente perché una persona che agisce sotto la sua autorità non ha seguito le sue istruzioni.

Ai fini della valutazione dell'ammontare del risarcimento danni dovuto, non si devono prendere in considerazione i criteri stabiliti per la determinazione delle sanzioni amministrative.

Il 25 aprile l'Avvocato generale della Corte di giustizia dell'Unione europea ha emesso il suo parere in una causa riguardante l'utilizzo da parte di Meta di dati resi pubblici dal ricorrente.

Secondo l'Avvocato Generale, l'applicazione del "principio di minimizzazione dei dati" limita l'utilizzo che si può fare dei dati personali a fini pubblicitari, anche se gli utenti hanno acconsentito a ricevere pubblicità.

Questo principio si applica indipendentemente dalla base giuridica utilizzata per il trattamento: anche un utente che acconsente alla pubblicità personalizzata non può vedere i propri dati personali utilizzati a tempo indeterminato.

Inoltre, il principio di “limitazione delle finalità” sancito dall’articolo 5, paragrafo 1, del GDPR rimane applicabile anche nel contesto del “web scraping”: le informazioni pubblicamente disponibili (sensibili in questo caso) non possono essere raccolte e trattate per altre finalità, come la pubblicità mirata.

L'ONG noyb ha presentato un reclamo all'Autorità austriaca per la protezione dei dati (APD) in merito alle "allucinazioni" di ChatGPT, che violerebbero i principi del GDPR.

Max Schrems, direttore di noyb, ha dichiarato che la sua lamentela è stata motivata dal fatto che ChatGPT non ha fornito la sua data di nascita esatta, sostituendola con una stima alquanto improbabile, e che il chatbot non informa gli utenti di non disporre dei dati corretti per rispondere a una richiesta.

Secondo quanto riportato, l'azienda di intelligenza artificiale si è rifiutata di correggere o eliminare le risposte errate e non divulga alcuna informazione sui dati elaborati, sulle loro fonti o sui destinatari.

Da quando il DSA è entrato in vigore nell'agosto 2023, le principali piattaforme online e i motori di ricerca ("VLOP" e "VLOSE") sono tenuti a fornire archivi pubblicitari trasparenti e accessibili al pubblico.

Un nuovo rapporto di Mozilla, in collaborazione con CheckFirst, esamina questo problema per i servizi offerti da 11 aziende, tra cui AliExpress, l'App Store di Apple, Bing, Booking.com, Alphabet (Google Search e YouTube), LinkedIn e Meta (Facebook e Instagram).

Il rapporto rileva "un'ampia variabilità tra le piattaforme" e afferma che nessuna di esse dispone di "un archivio pubblicitario pienamente funzionante e nessuna fornirà a ricercatori e gruppi della società civile gli strumenti e i dati necessari per monitorare efficacemente l'impatto degli annunci VLOP nelle prossime elezioni in Europa" (tramite GDPRtoday).

  

Notizie dai paesi membri dell'Unione Europea.

Il 2 aprile, l'Autorità belga per la protezione dei dati (APD) ha ritenuto che la raccolta dell'impronta digitale del terminale di un utente ("impronta digitale online") debba, in linea di principio, basarsi sul consenso della persona interessata.

Questa tecnica consente al titolare del trattamento dei dati di offrire servizi che identificano il visitatore del sito web anche quando naviga in modalità incognito o utilizza una VPN, assegnandogli un identificativo univoco.

Combinato con la posizione dell'utente, questo identificativo permette di tracciare, tra le altre cose, il numero di visite effettuate dall'utente.

L'APD ha emesso un avvertimento specifico per la mancata fornitura di informazioni e per l'utilizzo dei dati di contatto della persona interessata per l'invio di email di marketing.

L'azienda di sicurezza informatica e antivirus Avast è stata multata di 13,7 milioni di euro dall'Autorità ceca per la protezione dei dati (APD) in seguito al ricorso presentato, la sanzione più alta mai inflitta dall'APD.

L'azienda non ha anonimizzato i dati di navigazione di oltre 100 milioni di utenti prima di condividerli con terze parti a fini di analisi di mercato.

Vale la pena ricordare che Avast è stata sanzionata anche negli Stati Uniti a febbraio dalla Federal Trade Commission (FTC) ed è stata costretta a pagare una somma di oltre 18 milioni di dollari.

È inoltre oggetto di una denuncia collettiva nei Paesi Bassi per gli stessi reati.

In Finlandia, l'hacker responsabile dell'accesso non autorizzato alle cartelle cliniche dei pazienti del centro di psicoterapia Vastaamo, che aveva chiesto un riscatto di 400.000 euro per i dati rubati, è stato condannato a sei anni e tre mesi di reclusione dal tribunale distrettuale di Uusimaa Ovest. 

L'attacco informatico ha coinvolto i dati di circa 33.000 pazienti, un numero di vittime senza precedenti nella storia giuridica finlandese. 

All'epoca, l'APD impose a Vastaamo una sanzione amministrativa di 608.000 euro per violazione del GDPR, per negligenza nell'adempimento degli obblighi relativi al trattamento sicuro dei dati personali e per ritardo nella segnalazione della violazione dei dati.

L'ex amministratore delegato dell'azienda è stato condannato lo scorso anno a tre mesi di reclusione con sospensione condizionale della pena per non aver protetto dati personali sensibili.

L'azienda ha successivamente presentato istanza di fallimento.

Nei Paesi Bassi, il gruppo di telecomunicazioni Odido, precedentemente noto come T-Mobile Nederland, è stato multato di 175.000 euro. dall'ispettorato delle infrastrutture digitali per aver elaborato in modo errato i dati sul traffico nell'ambito di un progetto congiunto con l'agenzia nazionale di statistica.

Il progetto mirava a sviluppare un algoritmo in grado di fornire informazioni sui movimenti di grandi gruppi di persone, ma le procedure di Odido violavano la normativa sulla privacy: Odido aveva provveduto a pseudonimizzare i dati elaborati, senza però informare nessuno dei clienti dello studio.

L'Autorità greca per la protezione dei dati (APD) ha inflitto una multa di 2.995.140 euro alle Poste elleniche. per non aver implementato adeguate misure di sicurezza, causando una violazione dei dati che ha interessato oltre 4 milioni di persone.

L'Agenzia spagnola per la protezione dei dati (AEPD) aveva deciso di imporre una multa di 2.000.000 di euro a una banca per non aver ottenuto il consenso degli interessati al trattamento dei loro dati personali.

Il responsabile del trattamento dei dati, avendo ammesso la propria colpa, ha infine pagato una sanzione ridotta di 1.200.000 euro. 

Infatti, una legge spagnola (39/2015) relativa alle procedure amministrative consente al titolare del trattamento di riconoscere la propria responsabilità per una presunta violazione e/o di pagare la sanzione proposta dall'AEPD in fase istruttoria in cambio di una riduzione di 40 % dell'importo della sanzione.

L'AEPD ha inoltre multato un titolare del trattamento dei dati per 3.500.000 euro per non aver effettuato un'adeguata valutazione del rischio. e che aveva trascurato falle di sicurezza evitabili, provocando una violazione dei dati che ha interessato 1,3 milioni di persone.

In Svezia, l'Autorità per la protezione dei dati (APD) ha emesso un richiamo a un titolare del trattamento dei dati per aver chiesto agli interessati di fornire una copia del proprio documento d'identità. nonché documenti firmati per posta nell'ambito di una richiesta di cancellazione dei dati, quando non vi erano motivi ragionevoli per dubitare dell'identità delle persone interessate.

 

Grindr è stato oggetto di una class action nel Regno Unito. sostenendo che l'app di incontri LGBTQ condivideva con gli inserzionisti informazioni sensibili sui suoi utenti, come il loro stato sierologico e l'orientamento sessuale.

Secondo un rapporto della BBC, l'app avrebbe utilizzato una "tecnologia di tracciamento segreta" per raccogliere e condividere illegalmente questi dati con terze parti (tramite GDPRtoday).

Il 3 maggio, il Consiglio dell'OCSE ha adottato delle revisioni ai Principi sull'intelligenza artificiale.

In risposta ai recenti sviluppi nelle tecnologie di intelligenza artificiale, tra cui l'emergere dell'IA generalista e generativa, i principi aggiornati affrontano in modo più diretto le sfide associate all'IA in materia di privacy, diritti di proprietà intellettuale, sicurezza e integrità delle informazioni.

Negli Stati Uniti, la Sezione 702 del Foreign Intelligence Surveillance Act (FISA) è stata appena rinnovata per due anni.

Questa sezione, che autorizza la sorveglianza limitata e senza mandato di determinate comunicazioni, deve essere rinnovata regolarmente dal Congresso.

La votazione sarebbe stata controversa, poiché il Congresso ha preso in considerazione diverse proposte di aggiornamento del testo della legge: secondo l'Associated Press, c'era disaccordo sul fatto che l'FBI dovesse essere limitata nell'uso della legge per spiare i cittadini americani.

Il Senato ha infine approvato il disegno di legge il 20 aprile con pochissime modifiche al testo.

Il 23 aprile, il Senato ha approvato il Protecting Americans from Foreign Adversary Controlled Applications Act, una legge ampiamente descritta come un divieto di TikTok.

Il presidente degli Stati Uniti Joe Biden ha appena firmato la legge che obbligherà la piattaforma cinese a separare le sue attività negli Stati Uniti da quelle della società madre, ByteDance, oppure ad accettare che i cittadini statunitensi non potranno più utilizzare il servizio. TikTok ha già annunciato di voler intraprendere azioni legali.

Un provvedimento proposto dalla Commissione Federale per il Commercio degli Stati Uniti (FTC), datato 15 aprile, accusa un'azienda di telemedicina per la salute mentale di aver violato la propria politica sulla privacy e di aver fornito informazioni fuorvianti ai propri clienti in merito alla politica di cancellazione del servizio.

La FTC intende multare Cerebral e il suo CEO per 7 milioni di dollari per aver raccolto informazioni personali identificabili sui propri clienti e averle poi vendute a terzi.

La Corte europea dei diritti dell'uomo sta attualmente esaminando diverse migliaia di casi relativi a condanne in Turchia per appartenenza a un'organizzazione terroristica armata, basate sul presunto utilizzo dell'applicazione di messaggistica crittografata denominata "Bylock".

I ricorrenti sostengono che le loro condanne si basano sul presunto utilizzo di questa applicazione che, secondo i tribunali turchi, era stata progettata per l'uso esclusivo dei membri di FETÖ/PDY sotto le spoglie di un'applicazione globale.

Secondo loro, in linea di principio, chiunque avesse utilizzato Bylock avrebbe potuto essere condannato, solo per questo motivo, per appartenenza a un'organizzazione terroristica armata.