Bollettino Legale n. 80 – Febbraio 2025. 

Trasferimento di dati verso gli Stati Uniti: un quadro giuridico indebolito.

Il 5 febbraio, 19 eurodeputati di tutto lo spettro politico hanno chiesto alla Commissione europea di valutare se il "Quadro di protezione dei dati" (DPF), che disciplina i trasferimenti transatlantici di dati, sia ancora valido.

Il 6 febbraio, il presidente della commissione per le libertà civili, la giustizia e gli affari interni gli ha posto una domanda simile.

Queste domande sono state sollevate dalla decisione di Donald Trump di porre fine al mandato dei tre membri democratici del Il Privacy and Civil Liberties Oversight Board (PCLOB), che non ha più il quorum necessario per operare.

La PCLOB è stata considerata, nel contesto dell'accordo transatlantico, un mezzo essenziale per il rispetto dei diritti individuali in materia di sorveglianza di massa.

Da allora, le garanzie americane in materia di protezione dei dati appaiono sempre più fragili.

Secondo un articolo pubblicato da Euractiv il 3 marzo, uno dei giudici dell'organo di appello del PCLOB, il Tribunale di revisione sulla protezione dei dati, è scomparso dall'elenco dei giudici sul sito web e un avvocato incaricato si è dimesso.

Inoltre, "se Donald Trump non ha licenziato gli ispettori generali incaricati di supervisionare le agenzie di intelligence, ne ha licenziati almeno altri 17", e secondo alcune fonti sarebbero stati licenziati anche i membri dell'unità per la tutela della privacy dell'"Ufficio per la gestione del personale".

Infine, il "Progetto 2025", un programma politico associato all'amministrazione Trump, ritiene che il presidente entrante dovrebbe condurre uno studio sull'ordine esecutivo "Biden" relativo al DPF e "ridefinire le aspettative dell'Europa".

Questo progetto prevede inoltre di sospendere le disposizioni che ostacolano indebitamente la raccolta di informazioni.

È opportuno ricordare che la mancanza di meccanismi indipendenti di controllo e di ricorso nei confronti delle agenzie di intelligence americane è stata la ragione della cancellazione del precedente accordo, il Privacy Shield. 

Questi diversi fattori non fanno ben sperare per la fattibilità dell'accordo transatlantico. La questione cruciale è quando la situazione verrà ufficialmente chiarita.

La Commissione europea per il momento non si pronuncia, ma si prevede che risponderà alle interrogazioni parlamentari entro la fine del mese.

La Corte di giustizia dell'Unione europea, già investita della questione, potrebbe emettere una sentenza in linea con le sue due precedenti decisioni che hanno rispettivamente invalidato i "principi del Safe Harbour" e il "Privacy Shield", ma la data di tale decisione è ancora sconosciuta.

E per quanto riguarda le autorità di protezione dei dati?

L'Autorità norvegese per la protezione dei dati (Datatilsynet) ha rilasciato una dichiarazione in merito il 26 febbraio, ribadendo che la decisione di adeguatezza della Commissione europea, che convalida l'accordo commerciale transatlantico, rimane in vigore fino a quando non verrà eventualmente revocata dalla Commissione europea o dalla Corte di giustizia dell'Unione europea (CGUE).

Le autorità di protezione dei dati (DPA) sono vincolate da tali decisioni e non possono vietare i trasferimenti che avvengono in conformità a una decisione di adeguatezza.

Dato il contesto attuale, L'APD consiglia comunque ai titolari del trattamento dei dati di elaborare una strategia di uscita nel caso in cui il quadro normativo attuale venga invalidato. perché il cambiamento potrebbe avvenire senza un periodo di transizione.

La prima raccomandazione rivolta oggi ai responsabili del trattamento dei dati è quella di redigere un inventario completo di tutti i trasferimenti di dati effettuati dalla propria azienda.

Il compito è arduo perché gli Stati Uniti sono ormai onnipresenti nel nostro mondo digitale e, come Monsieur Jourdain, trasferiamo dati quotidianamente senza saperlo.

Sarà necessario tenere conto dei destinatari chiaramente identificati negli Stati Uniti, ma anche, ad esempio, dell'utilizzo di servizi "cloud" americani sul suolo europeo e dei molteplici servizi di visualizzazione o connessione come Google Fonts, Analytics o Maps, o persino Facebook: la Corte di giustizia dell'Unione europea, nella sentenza T-354/22, ha condannato la Commissione europea per violazione del GDPR nel contesto della registrazione online a un evento da essa organizzato.

Tramite il collegamento ipertestuale "connettiti con Facebook" visualizzato sulla homepage, aveva "creato le condizioni che consentivano la trasmissione dell'indirizzo IP del richiedente a Facebook" e, di conseguenza, agli Stati Uniti, durante un periodo in cui il Privacy Shield era invalidato.

Laddove esistano alternative europee, queste potrebbero rappresentare una soluzione interessante.Ci riferiamo, ad esempio, al cloud europeo o al cloud francese certificato.

Per quanto riguarda i tracker, la CNIL ha pubblicato un elenco di strumenti anonimi per la misurazione dell'audience.

Nei casi in cui il trasferimento rimanga essenziale, l'esportatore dovrà fare affidamento su strumenti quali clausole contrattuali standard o norme aziendali vincolanti ed effettuare un'analisi d'impatto documentando con precisione i rischi di intercettazione dei dati attraverso l'Atlantico da parte delle autorità e le garanzie previste, un compito particolarmente arduo.

Il 31 gennaio, la CNIL ha pubblicato la versione definitiva della sua guida sulle valutazioni d'impatto per i trasferimenti di dati al di fuori dell'Unione europea.

Come la sua controparte norvegese, è probabile che pubblichi raccomandazioni relative ai prossimi sviluppi internazionali.

 

  

È stato appena introdotto un emendamento a una proposta di legge contro il traffico di droga, che mira a obbligare le piattaforme ad adottare misure che consentano alle forze dell'ordine di accedere ai dati, in particolare a quelli dei servizi di messaggistica crittografata.

Nei commenti indirizzati al governo e ai parlamentari, diverse aziende, tra cui Apple, Amazon, Google e Microsoft, si sono opposte a questo emendamento, richiamandosi alle posizioni del Comitato europeo per la protezione dei dati (EDPB) e del Garante europeo della protezione dei dati (EDPS) contrari all'indebolimento della crittografia end-to-end.

La proposta verrà esaminata nella sessione plenaria che inizierà il 17 marzo.

Questi sviluppi fanno eco a iniziative governative simili in diversi paesi europei, nonché negli Stati Uniti (vedi sotto, sviluppi nazionali).

La CNIL ha ricordato al motore di ricerca Qwant i suoi obblighi ai sensi del GDPR in materia di anonimizzazione dei dati.

I dati utilizzati dall'azienda in relazione alla vendita di spazi pubblicitari sul motore di ricerca, gestito tramite MICROSOFT, sono stati presentati in forma anonima da Qwant. 

La CNIL osserva che "nonostante le rigorose precauzioni adottate nel 2019 per evitare la reidentificazione delle persone, l'insieme di dati trasmessi ha comportato l'applicazione del GDPR e in particolare dei suoi articoli 12 e 13".

La Commissione ritiene che si tratti di un errore di analisi iniziale relativo alla classificazione dei dati trasmessi, senza l'intenzione di eludere le disposizioni del GDPR, e pertanto non impone alcuna sanzione.

La Commissione ha inoltre multato un'agenzia immobiliare di 40.000 euro per aver monitorato eccessivamente i propri dipendenti utilizzando un software (Time Doctor) che registrava le ore lavorate. presunti periodi di inattività e scattavano regolarmente schermate del loro computer.

Inoltre, i dipendenti venivano costantemente registrati.

La CNIL critica in particolare il responsabile per la mancanza di una valutazione d'impatto, l'assenza di una base giuridica per il trattamento dei dati e il mancato rispetto del principio di minimizzazione dei dati.

Ha inoltre pubblicato un aggiornamento delle sue Tabelle sulla protezione dei dati e i Quaderni riassuntivi del 2024, che concentrano le sue nuove decisioni più importanti, nonché gli elementi essenziali della giurisprudenza nazionale ed europea in materia di protezione dei dati.

 

istituzioni e organismi europei

A seguito della pubblicazione del rapporto Digital Fairness Fitness Check del 3 ottobre 2024, la Commissione europea sta valutando la possibilità di elaborare un regolamento sull'equità digitale ("Digital Fairness Act") per affrontare le problematiche relative alla tutela dei consumatori nell'ambiente online, come la cessazione o il rinnovo automatico degli abbonamenti e la conversione dei periodi di prova gratuiti in abbonamenti a pagamento.

Secondo quanto riferito, sono in fase di preparazione una consultazione pubblica e un'analisi preliminare d'impatto.

La Commissione ha infine deciso di ritirare la sua proposta di regolamento ePrivacy, che mirava a modernizzare e chiarire gli obblighi della direttiva vigente, armonizzandoli con i principi del GDPR.

Il testo ha suscitato polemiche, in particolare per quanto riguarda la portata delle eccezioni al principio di riservatezza delle comunicazioni.

Sono sul tavolo nuove proposte legislative che mirano ad affrontare le problematiche relative alla privacy, separando al contempo la sorveglianza commerciale da quella statale.

Anche la Direttiva sulla responsabilità in materia di IA, che mirava ad aggiornare le norme UE sulla sicurezza dei prodotti per includere l'IA e l'automazione, figura nell'elenco delle proposte legislative ritirate.

Facendo eco alle conclusioni del vertice sull'intelligenza artificiale di Parigi dello scorso febbraio, il programma di lavoro della Commissione europea per il 2025 pone l'accento sulla competitività, con l'obiettivo esplicito di promuovere la crescita economica sostenendo l'innovazione.

Il 2 febbraio sono entrate in vigore le prime disposizioni del regolamento sull'IA, tra cui l'articolo 5, che tratta delle pratiche di IA vietate.

Due giorni dopo, la Commissione europea ha pubblicato delle linee guida che delineano le pratiche di intelligenza artificiale ritenute inaccettabili a causa dei rischi che comportano per i valori e i diritti fondamentali europei.

Diverse autorità per la protezione dei dati (DPA), presenti al summit sull'IA, hanno rilasciato una dichiarazione congiunta a seguito di una tavola rotonda "sulla creazione di quadri di governance dei dati affidabili per incoraggiare lo sviluppo di un'IA innovativa e rispettosa della privacy", sottolineando la necessità di integrare i principi di privacy fin dalla fase di progettazione dei sistemi di IA e di implementare solidi quadri interni di governance dei dati.

Contemporaneamente, il 12 febbraio l'EDPB ha annunciato l'estensione del campo di applicazione del suo gruppo di lavoro ChatGPT all'ambito dell'intelligenza artificiale e la creazione di un "gruppo di intervento rapido per coordinare le azioni delle autorità di protezione dei dati" in merito a questioni urgenti e sensibili legate all'IA.

Il Comitato europeo per la protezione dei dati (EDPB) ha annunciato all'inizio di marzo l'avvio della sua azione coordinata di controlli per il 2025 sul diritto alla cancellazione.

Questa azione fa seguito ad azioni coordinate sull'utilizzo del cloud da parte del settore pubblico (2022), sulla designazione e sul ruolo dei DPO (2023) e sul diritto di accesso (2024).

Il servizio di ricerca del Parlamento europeo ha pubblicato il 26 febbraio una nota informativa sulla tensione tra la prevenzione della discriminazione algoritmica e la gestione delle categorie particolari di dati.

Il documento individua incertezze in merito all'applicazione congiunta del regolamento sull'IA e del GDPR, che potrebbero richiedere una riforma legislativa o ulteriori linee guida.

Il 27 febbraio, la Corte di giustizia dell'Unione europea ha emesso un'importante sentenza riguardante la portata dei diritti delle persone fisiche interessate da una decisione automatizzata.

Nella causa C 203/22 Dun & Bradstreet Austria, la Corte chiarisce che l'articolo 15, paragrafo 1, lettera h), del GDPR "offre all'interessato un effettivo diritto di ottenere una spiegazione del funzionamento del meccanismo sottostante al processo decisionale automatizzato al quale è stato sottoposto e del risultato che tale decisione ha determinato" (paragrafo 57).

I dati di terzi protetti o i segreti commerciali non esonerano il titolare del trattamento dall'obbligo di fornire spiegazioni concrete: quest'ultimo è "tenuto a comunicare tali informazioni presumibilmente protette all'autorità di controllo o al tribunale competente, che ha il compito di ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell'interessato previsto dall'articolo 15 del GDPR" (par. 67).

Il 13 febbraio la Corte di giustizia dell'Unione europea ha inoltre ritenuto che le autorità di controllo e i tribunali debbano tenere conto del fatto che il titolare del trattamento dei dati fa parte di un'impresa ai sensi degli articoli 101 e 102 del Trattato sul funzionamento dell'Unione europea (TFUE) nel determinare l'importo delle sanzioni pecuniarie.

Inoltre, l'importo massimo delle sanzioni deve essere calcolato in base al fatturato dell'azienda e non a quello del titolare del trattamento dei dati.

Il 6 febbraio l'Avvocato generale della Corte di giustizia dell'UE ha reso note le sue conclusioni sul caso EDPS contro SRB (C-413/23 P).

Il caso verte sulla questione se i dati pseudonimizzati trasmessi da un'agenzia dell'UE, il Comitato unico di risoluzione, alla sua società di consulenza Deloitte costituiscano dati personali dal punto di vista di Deloitte.

L'Assemblea generale si concentra sui mezzi ragionevoli a disposizione del destinatario per identificare le persone interessate, adottando un'interpretazione del concetto di dati personali significativamente più restrittiva rispetto a quella del Garante europeo della protezione dei dati (EDPS) e del Comitato europeo per la protezione dei dati (EDPB). La decisione finale è attesa entro l'estate.

 

Notizie dai paesi membri dell'Unione europea.

Una sentenza di un tribunale tedesco (OLG Dresda/Germania (Az.: 4 U 940/24) conferma che i titolari del trattamento dei dati sono responsabili non solo delle proprie azioni, ma anche di quelle dei loro subappaltatori.

La Corte ha sottolineato che non è sufficiente fidarsi del subappaltatore senza verificare, come in questo caso, che abbia effettivamente cancellato i dati subappaltati al termine del contratto.

Le conseguenze di una verifica insufficiente possono persistere a lungo dopo l'incidente iniziale, come è accaduto in questo caso a seguito di un attacco informatico che ha causato una fuga di dati, seguito da procedimenti legali e danni alla reputazione del titolare del trattamento.

In Spagna, l'APD ha multato l'operatore di telefonia mobile Orange per 1,2 milioni di euro per non aver impedito il rilascio di una SIM card duplicata a terzi, i quali l'hanno utilizzata per accedere al conto bancario della persona interessata.

L'APD ha ritenuto che l'operatore non avesse implementato misure di protezione adeguate.

Anche in Spagna, l'APD ha inflitto diverse sanzioni al gruppo bancario cooperativo Caja Rural per violazione del GDPR a seguito di una violazione dei dati dovuta a misure di sicurezza inadeguate e a una vulnerabilità del sistema informatico.

In questo caso, l'APD ha ritenuto ogni banca membro del gruppo cooperativo individualmente responsabile, sebbene tutte utilizzassero lo stesso fornitore di servizi IT, e ha imposto sanzioni che vanno da 6.200 euro a 400.000 euro a seconda del numero di clienti e della rapidità di reazione delle banche.

L'Autorità greca per la protezione dei dati (APD) ha adottato una decisione volta a facilitare l'esercizio dei diritti individuali nei confronti di Google.

Ha ordinato all'azienda di rimuovere i link che apparivano nei risultati di ricerca relativi al nome della persona e ha imposto a Google di modificare la procedura di richiesta di rimozione, consentendo l'invio di allegati, fornendo informazioni di contatto dirette e interrompendo le risposte automatiche.

Nei Paesi Bassi, uno screenshot condiviso da un esperto di sicurezza informatica (ed ex supervisore del servizio di intelligence civile) sulla piattaforma Bluesky rivela che Google Analytics sta raccogliendo dati sui candidati a posizioni lavorative all'interno dei servizi di intelligence civili e militari del paese.

Queste informazioni hanno indotto un membro del parlamento a chiedere chiarimenti al Ministro dell'Interno.

L'Autorità polacca per la protezione dei dati (APD) ha multato il gestore di un sito web per 350.000 euro (1.527.855 PLN) e il suo subappaltatore per 4.590 euro (20.037 PLN) per violazione della sicurezza dei dati, a seguito di una configurazione errata del sito web che ha causato una violazione dei dati che ha interessato 21.453 persone.

In Romania, la società Unicredit è stata multata di 15.000 euro (74.652 lei) per due violazioni di dati dovute ad applicazioni interne.

Questi sistemi non erano stati testati prima della loro implementazione e l'APD sta sanzionando la mancata conformità all'articolo 25(1) del GDPR, che richiede la protezione dei dati fin dalla progettazione ("privacy by design").

In seguito a un ordine del governo britannico di disattivare la crittografia di iCloud, Apple ha appena ritirato l'intera funzionalità di sicurezza avanzata dal Regno Unito.

L'ordinanza riguardava nello specifico la funzionalità introdotta nel 2023, che consente agli utenti di iCloud di optare per la crittografia end-to-end di tutti i dati archiviati sul cloud dell'azienda e garantisce che nessuna terza parte, inclusa Apple, possa accedervi.

L'azienda aveva la possibilità di scegliere tra rimuovere la funzione di crittografia o creare una backdoor che avrebbe compromesso la crittografia per tutti gli utenti a livello globale; la seconda opzione è stata esclusa per Apple.

Allo stesso tempo, la Svezia richiede anche delle backdoor, il che ha spinto Signal ad avvertire che avrebbe lasciato il paese se tale legislazione fosse stata adottata.

Aggiungiamo che, secondo un articolo di Forbes del 24 febbraio, anche gli Stati Uniti perseguono lo stesso obiettivo: accedere ai dati crittografati.

 

La Corea del Sud ha appena adottato una legge sull'intelligenza artificiale che entrerà in vigore nel gennaio 2026.

La legge si allinea alla normativa europea sull'IA: introduce obblighi per le aziende che operano nel settore dell'IA, in particolare per quelle che si occupano di IA ad alto impatto e di IA generativa, ponendo l'accento sulla gestione del rischio, la tutela degli utenti e la trasparenza.

Secondo quanto riportato dall'IAPP, un gruppo di senatori statunitensi membri della "Commissione ristretta del Senato sull'intelligence" ha inviato una lettera alla Casa Bianca il 5 febbraio per "esprimere allarme per i rischi per la privacy e la sicurezza nazionale posti dal Dipartimento per l'efficienza governativa (DOGE), recentemente istituito".

La lettera sostiene che le azioni del DOGE rischiano di esporre informazioni classificate e altre informazioni sensibili, mettendo a repentaglio la sicurezza nazionale e violando la privacy dei cittadini americani.

Sono attualmente in corso diverse cause legali relative all'accesso illegale ai dati elaborati da queste agenzie.

Negli ultimi anni le richieste di dati in possesso di GAFAM da parte dei servizi segreti sono aumentate vertiginosamente.

È quanto emerge da uno studio pubblicato dalla società Proton, basato sui report di trasparenza di Apple, Meta e Google tra il 2014 e il 2024.

Come sottolinea 01net, queste aziende sono obbligate dalla legge statunitense (FISA, Cloud Act) a rispondere alle richieste delle autorità che desiderano accedere a registrazioni telefoniche, messaggi di testo, e-mail o backup nel cloud.

“Le richieste di accesso ai dati degli utenti (di qualsiasi nazionalità), come e-mail o messaggi, presentate alle autorità statunitensi da Google, Apple e Meta negli ultimi dieci anni sono aumentate (…) in media, per queste tre aziende, di… 600 %.”

La legge malese sulla protezione dei dati personali è stata rafforzata al fine di aumentare significativamente i poteri dell'autorità di regolamentazione e consolidare i diritti degli individui.

L'attuazione avverrà in tre fasi durante la prima metà del 2025, ovvero il 1° gennaio, poi il 1° aprile e il 1° giugno.

L'inchiesta sui "file di tracciamento", condotta da diverse testate giornalistiche internazionali, tra cui Le Monde, France Info e il telegiornale delle 20:00 in Francia, rivela l'entità del tracciamento e i dettagli dei dati personali trattati dai data broker.

I dati personali geolocalizzati di milioni di utenti vengono aggregati in condizioni spesso poco trasparenti: ad esempio, giocare online sul proprio smartphone utilizzando un'applicazione può generare la trasmissione di dati come orari di connessione, modello di smartphone o posizione geografica, elementi raccolti in enormi file venduti da società di intermediazione come la statunitense Datastream Group.

In questo ultimo file sono incluse più di 47 milioni di persone.

Possono essere compromessi i dati di chiunque, inclusi quelli di diplomatici, militari e giornalisti.