Une nouvelle année sous le signe de l’expectative

Un nuovo anno sotto il segno dell'attesa

Osservatorio Legale n. 42 – Dicembre 2021

Un nuovo anno sotto il segno dell'attesa

In materia di protezione dei dati, l'anno che inizia non annuncia grandi novità, ma piuttosto un'evoluzione e forse decisioni strategiche su alcune questioni attuali.

Concentriamoci su tre di essi: l'attuazione del GDPR da parte delle autorità di controllo, le questioni sanitarie e la regolamentazione dei giganti digitali.

Uno dei temi ricorrenti dall'entrata in vigore del GDPR riguarda la serietà della sua attuazione da parte delle autorità nazionali per la protezione dei dati. e il grande divario tra il numero e la severità delle sanzioni adottate, a seconda che il responsabile si trovi, ad esempio, in Irlanda o in Spagna.

Quest'ultimo Paese sembra essere uno di quelli che ha imposto il maggior numero di sanzioni, mentre il Lussemburgo e la CNIL possono esigere le multe più elevate nei confronti di GAFAM (si ricordi la multa di 746 milioni di euro imposta dal Lussemburgo alla società Amazon).

All'altro estremo dello spettro c'è l'autorità irlandese per la protezione dei dati, che è stata apertamente criticata da alcuni suoi pari, nonché dal vicepresidente della Commissione europea, per la sua lassità nei confronti dei principali operatori del web.

Per rafforzare la coesione e l'efficacia delle procedure di controllo in Europa, alcuni parlano di rafforzare i poteri del Comitato europeo per la protezione dei dati (EDPB).

La questione sarà affrontata in una conferenza organizzata dal Garante europeo della protezione dei dati il 16 e 17 giugno a Bruxelles.

Un altro importante tema di preoccupazione è rappresentato dal trattamento dei dati sanitari, in seguito alla crisi sanitaria..

Sono preoccupati

  • Domande relative alle condizioni di ricerca medica,
  • Il trattamento dei dati genetici e i rischi di rivendita da parte di alcuni laboratori di dati raccolti nell'ambito di test di screening, come dimostra il recente caso britannico della società Signpost Diagnostics,
  • Monitoraggio degli individui tramite app e altri pass sanitari, 
  • E infine, i rischi legati alla sicurezza dei dati: pensiamo in particolare alla violazione dei dati relativi ai risultati dei test Covid della società FranceTest, alla quale la CNIL ha intimato formalmente lo scorso ottobre di mettere in sicurezza i propri dati, o alla fuga di dati relativa all'Assistance Publique-Hôpitaux de Paris.

Benché la CNIL pubblichi regolarmente le sue posizioni su questo argomento, si segnala che nella sua deliberazione al Parlamento del 30 novembre, ha indicato di attendere che il governo fornisca elementi destinati a sostenere l'efficacia dei dossier e dei mezzi di controllo attuati.

Un terzo tema di attualità riguarda le iniziative normative dell'Unione Europea in materia di servizi digitali e intelligenza artificiale.

Oltre alla gestione dei cookie, che resta nel mirino delle autorità nazionali, il legislatore europeo è preoccupato per il crescente potere dei giganti del web, intermediari in posizione dominante che forniscono servizi di messaggistica e social network.

In discussione anche l'uso della biometria e dell'intelligenza artificiale per scopi di profilazione sempre più invasivi e la manipolazione degli utenti di Internet a loro insaputa (dark pattern) attraverso la presentazione di contenuti mirati.

Diversi testi sono in fase di adozione a livello europeo, tra cui due proposte della Commissione europea sui mercati e sui servizi digitali e una proposta riguardante l'intelligenza artificiale. 

Il Parlamento europeo ha adottato la sua posizione sulla proposta sui mercati digitali il 5 dicembre.

Tra le modifiche apportate al testo c'è l'aggiunta di un requisito di interoperabilità tra i servizi delle principali piattaforme di messaggistica istantanea e social network, con l'obiettivo di consentire agli utenti di cambiare facilmente fornitore di servizi e contrastare le posizioni dominanti.

All'inizio della presidenza francese del Consiglio dell'Unione europea, il Garante europeo della protezione dei dati ha appena formulato i suoi migliori auguri di successo al governo francese, sottolineando l'importanza di queste tre grandi questioni legate alla tecnologia digitale e all'intelligenza artificiale e indicando che seguirà da vicino gli sviluppi in questi settori.

Anche se alcune priorità sembrano già essere state ben individuate, speriamo che questo nuovo anno ci porti finalmente la sua giusta dose di belle sorprese e anche grandi boccate d'aria fresca.

E anche

Francia:

La CNIL ha sanzionato la società il 6 gennaio Google per un valore di 150 milioni di euro, e la società Facebook fino a 60 milioni di euro, per il mancato rispetto delle disposizioni di legge in materia di cookie.

Il 28 dicembre la CNIL ha imposto alla società una multa di 300.000 euro. MOBILE GRATUITO, in particolare per non aver rispettato i diritti delle persone e la sicurezza dei dati dei suoi utenti.

Nella stessa data è stata sanzionata anche la società SLIMPAY, che offre soluzioni di pagamento ai propri clienti, è stata multata di 180.000 euro per non aver protetto adeguatamente i dati personali degli utenti e per non averli informati di una violazione dei dati.

Il presidente della CNIL ha formalmente notificato la società il 26 novembre CLEARVIEW AI di interrompere la raccolta di fotografie e video disponibili online e di cancellare i dati entro 2 mesi.

L'azienda ha sviluppato un software di riconoscimento facciale il cui database si basa sull'estrazione di fotografie e video disponibili pubblicamente su Internet.

UN nuova versione della guida per gli sviluppatori CNIL è appena stata pubblicata. Questa guida fornisce nuovi contenuti pensati per supportare i professionisti dello sviluppo web e di applicazioni nel garantire la conformità del loro lavoro.

SNCF A dicembre ha trasferito i suoi 7.000 server e 250 applicazioni sul cloud di Amazon, in particolare in tre data center nella regione di Parigi.

L'obiettivo dell'azienda è anche quello di ampliare l'uso dell'intelligenza artificiale.

Europa

IL Comitato europeo per la protezione dei dati ha pubblicato le linee guida il 14 dicembre per aiutare i titolari del trattamento dei dati a gestire le violazioni della sicurezza.

Il testo contiene numerosi esempi e sviluppa le misure da adottare a seconda del tipo di reato.

L'Agenzia dell'Unione europea per i diritti fondamentali (FRA) sta pubblicando, in collaborazione con le autorità preposte alla protezione dei dati, una guida volta a informare meglio i richiedenti asilo e i migranti sull'uso che viene fatto delle loro impronte digitali.

Quando vengono fermati alla frontiera esterna dell'Unione Europea, sono tenuti a fornire le proprie impronte digitali, che vengono conservate nel file Eurodac.

Tribunale amministrativo di Wiesbaden Il 1° dicembre, un'azienda tedesca ha ordinato all'Università di Scienze Applicate RheinMain di interrompere l'utilizzo del gestore del consenso "Cookiebot". Il motivo era il trasferimento illegale dei dati dei visitatori del sito web negli Stati Uniti.

L'autorità finlandese per la protezione dei dati ha multato un'azienda di psicoterapia per oltre 600.000 euro il 7 dicembre per non aver garantito adeguatamente la sicurezza dei dati dei suoi pazienti e per non averli informati di due violazioni della sicurezza che hanno portato a ricatti nei confronti dei pazienti interessati e dell'azienda stessa.

L'autorità norvegese per la protezione dei dati ha imposto una multa di 6.300.000 euro nei confronti Grindr di condividere i dati dei propri utenti con terze parti per finalità di profilazione e pubblicità, senza il loro consenso.

L'amministrazione fiscale olandese è stata multata di 2.750.000 euro per aver elaborato dati senza una base giuridica e in violazione del principio di correttezza (articoli 5(1)(a) e 6(1)(e) GDPR).

Il Ministero della Difesa belga è stata vittima di un grave attacco informatico il 20 dicembre, causato dal malware Log4Shell, che ha avuto ripercussioni sulle attività dell'amministrazione per diversi giorni. 

L'autorità belga per la protezione dei dati ha multato un'azienda di 10.000 euro per aver acquistato un database per scopi di marketing diretto senza verificare che i dati fossero stati raccolti legalmente.

La società non ha inoltre informato gli interessati di questa raccolta indiretta, né ha risposto alla richiesta di accesso di un individuo.

Internazionale:

Amazzonia ha depositato diverse domande di brevetto per tecnologie biometriche progettate per consentire alle telecamere dei videotelefoni di rilevare individui sospetti in base a vari criteri: odore, consistenza della pelle, impronte digitali, occhi, voce e andatura.

Corea del Sud è stato ritenuto in grado di fornire un livello adeguato di protezione dal 17 dicembre. La decisione della Commissione europea arriva pochi mesi dopo la conclusione di un accordo di libero scambio tra l'Unione europea e la Corea, entrato in vigore nel luglio 2021.

Dal 15 febbraio, il governo cinese sottoporrà le aziende cinesi con attività commerciali internazionali a una serie di controlli di sicurezza informatica.

I controlli mirano a limitare la trasmissione di dati strategici all'esterno del Paese.

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT