Un inizio d'estate segnato da sanzioni record e nuove misure di sostegno.

Legal Watch – luglio-agosto 2019.

L'inizio dell'estate porta con sé l'aumento delle temperature, ma anche l'aumento delle multe per la violazione delle norme sulla privacy.

In particolare, l'ICO, l'autorità di vigilanza britannica, ha annunciato l'intenzione di imporre due sanzioni ('notice of intention to fine') per un importo complessivo di oltre 280 milioni di sterline, nei confronti del gruppo alberghiero Marriot International per l'equivalente di 111 milioni di euro e di British Airways per un importo di oltre 200 milioni di euro.

In entrambi i casi, le violazioni del GDPR hanno comportato attacchi informatici resi possibili da falle nella sicurezza dei dati che hanno esposto i dati di centinaia di migliaia di clienti.

Il 19 luglio l'ICO ha inoltre multato un agente immobiliare londinese di 80 milioni di sterline per non essere riuscito a proteggere più di 18.000 dati dei clienti per due anni.

Va notato che le sanzioni più recenti si concentrano sulle violazioni della sicurezza e sugli accessi illegali all'interno e all'esterno delle aziende.

Dall'altra parte dell'Atlantico, la Federal Trade Commission degli Stati Uniti ha negoziato un risarcimento di cinque miliardi di dollari con Facebook per violazione della privacy degli utenti di Internet.

Questa multa non ha precedenti nella storia della FTC e resta una delle più alte mai imposte dallo Stato americano.

Tuttavia, rimane un dato relativo rispetto al fatturato annuo di Facebook, pari a 55,8 miliardi di dollari. Nel comunicato stampa del 24 luglio, la FTC spiega le ragioni del suo intervento, che riguardano il mancato rispetto delle ingiunzioni sulla protezione dei dati del 2012.

Oltre a questa multa, l'azienda è costretta a ristrutturare il suo modello di protezione dei dati, includendo un comitato di supervisione più indipendente dal suo CEO e regole più severe per la gestione delle applicazioni di terze parti e dei dati degli utenti, in particolare per quanto riguarda il riconoscimento facciale, la gestione delle password e la crittografia dei dati.

Mentre le autorità di vigilanza fanno sempre più ricorso ai loro poteri di controllo, si assicurano anche che le pratiche delle aziende siano guidate dal quadro giuridico.

La CNIL ha quindi comunicato il 18 luglio le regole applicabili ai cookie, questi traccianti installati sui terminali degli utenti e che consentono in particolare la pubblicità mirata.

La CNIL aggiorna i requisiti necessari per ottenere il consenso degli internauti: tale consenso non può più essere implicito, ma deve risultare da un'azione chiara dell'individuo.

Sono vietati i cookie wall, che impediscono l'accesso a un sito se non si accettano i cookie.

Questa interpretazione della validità del consenso era già stata chiarita dal Comitato europeo per la protezione dei dati in un comunicato stampa del maggio 2018.

Ciò è confermato dalla formulazione del GDPR e dovrebbe essere ulteriormente spiegato nel futuro regolamento “privacy e comunicazioni elettroniche”, che sostituirà la direttiva 2002/58/CE “ePrivacy”.

Una nuova raccomandazione della CNIL chiarirà le modalità pratiche per ottenere il consenso e alle aziende verrà concesso un periodo di adattamento di sei mesi per consentire loro di conformarsi alla legge.

E inoltre:

In Europa:

Il 24 luglio la Commissione europea ha pubblicato un rapporto che traccia il bilancio, a un anno di distanza, dell'attuazione del GDPR.

Individua le azioni messe in atto dalle autorità di vigilanza, il rafforzamento della loro cooperazione, nonché gli sforzi di conformità del settore privato.

La Commissione annuncia l'intenzione di sostenere tali sforzi con vari strumenti, quali clausole contrattuali standard, codici di condotta e meccanismi di certificazione, con particolare attenzione alle PMI.

Da una prospettiva internazionale, la Corea del Sud potrebbe essere il prossimo Paese a beneficiare di un adeguato livello di protezione che faciliti il trasferimento dei dati. La Commissione sta valutando altri tipi di accordi multilaterali per agevolare lo scambio internazionale di dati.

Nel mondo:

• STATI UNITI:

Al Senato degli Stati Uniti si chiede l'adozione di una legge federale sulla protezione dei dati.

Una legge in tal senso è stata presentata dal senatore Ron Wyden nel novembre 2018.

A livello statale, la California è all'avanguardia: il CCPA, California Consumer Privacy Act, entrerà in vigore il 1° gennaio 2020, ma è attualmente soggetto a emendamenti da parte del Senato degli Stati Uniti. Spesso paragonato al GDPR, soprattutto per quanto riguarda i diritti di informazione e opposizione degli interessati, se ne differenzia soprattutto per il suo ambito di applicazione, incentrato sulla tutela dei consumatori.

Asia:

Nella prima metà di luglio si sono svolti a Singapore una serie di eventi legati alla protezione dei dati personali, che hanno riunito professionisti del settore in diverse sedi.

 Le discussioni svoltesi all'Asia Pacific Forum sono state riassunte dall'IAPP.

Sottolineano la responsabilità aziendale e la supervisione da parte delle autorità di regolamentazione.