Benvenuti all'edizione di gennaio 2023 del mensile sulla privacy. Una volta al mese tratteremo brevemente alcune delle più importanti notizie sulla privacy.
Allora, cosa è successo il mese scorso? Scopriamolo!
- La Commissione europea redige una bozza di decisione di adeguatezza
- L'UE firma la dichiarazione sui diritti digitali
- Altri problemi legali per Meta
- La Slovenia approva la legge sulla protezione dei dati personali
- Office 365 non è conforme al GDPR secondo gli osservatori tedeschi
- Il Senato degli Stati Uniti vota per vietare TikTok sui dispositivi del governo federale
- Meta vieta le società di sorveglianza a pagamento
- Accordi record per Epic Games
- L'autorità di vigilanza del Regno Unito fa i nomi delle aziende che hanno violato i dati personali
La Commissione europea redige una bozza di decisione di adeguatezza
Il 13 dicembre la Commissione europea ha pubblicato una bozza di decisione di adeguatezza per gli Stati Uniti. Il prossimo passo della procedura sarà un parere non vincolante del Comitato europeo per la protezione dei dati. Infine, la bozza sarà votata dagli Stati membri e adottata formalmente dalla Commissione.
L'approvazione della bozza è praticamente certa, visti i lunghi negoziati tra l'UE e gli USA sul quadro transatlantico sulla privacy dei dati. Tuttavia, è altrettanto certo che l'imminente decisione sull'adeguatezza dovrà affrontare un esame legale da parte della Corte di giustizia. La CGUE ha già invalidato due quadri di trasferimento dei dati nei casi Schrems I e II, ed è difficile dire come si svolgerà il caso "Schrems III", ma il Comitato europeo per la protezione dei dati potrebbe darci qualche anticipazione nel suo prossimo parere.
L'UE firma la dichiarazione sui diritti digitali
Il 15 gennaio la Commissione europea, il Consiglio d'Europa e il Presidente del Parlamento europeo hanno firmato la dichiarazione sui diritti e i principi digitali europei. La dichiarazione mira a promuovere una transizione digitale basata su una visione incentrata sull'uomo.
La dichiarazione si basa su sei principi (persone al centro, solidarietà e inclusione, libertà di scelta, partecipazione, sicurezza e protezione, sostenibilità) e intende integrare la strategia digitale dell'UE. In termini pratici, la dichiarazione non è vincolante, ma potrebbe servire da ispirazione e da punto di riferimento per l'interpretazione del GDPR e del quadro europeo di protezione dei dati in generale.
Altri problemi legali per Meta
Il 22 dicembre Meta Platforms ha accettato un ** accordo da 725 milioni di dollari** per una class action sul caso Cambridge Analytica. Facebook ha già ricevuto una multa di ben 5 miliardi di dollari dalla Federal Trade Commission statunitense per lo scandalo, oltre al pagamento di una multa di 500.000 sterline all'ente britannico per la tutela della privacy.
Inoltre, il 4 gennaio l'autorità di vigilanza irlandese ha multato Meta Platforms Ireland per un totale di 390 milioni di euro per aver indirizzato illegalmente agli utenti di Facebook e Instagram pubblicità personalizzate. La multa fa seguito a una decisione del Comitato europeo per la protezione dei dati nell'ambito del meccanismo di risoluzione delle controversie previsto dal GDPR. Abbiamo approfondito la decisione dell'EDPB sul nostro blog.
Infine, la Corte di giustizia dell'UE ha respinto un ricorso di Whatsapp Ireland, società controllata da Meta, contro una decisione dell'EDPB. Il procedimento riguarda una multa di 225 euro imposta dal DPC nel 2021. Il ricorso è stato respinto per motivi procedurali, in quanto la decisione dell'EDPB è vincolante solo per il DPC e non riguarda direttamente Whatsapp.
La Slovenia approva la legge sulla protezione dei dati personali
Il 15 dicembre l'Assemblea nazionale della Repubblica di Slovenia ha adottato la legge sulla protezione dei dati personali.
La Slovenia è soggetta al GDPR dalla sua entrata in vigore, in quanto i regolamenti dell'UE sono direttamente applicabili. Tuttavia, il GDPR richiede l'attuazione a livello nazionale di norme specifiche e la mancanza di attuazione rendeva problematica l'applicazione. Con la nuova legge, la Slovenia è finalmente diventata l'ultimo Stato membro dell'UE a implementare il GDPR nella propria legislazione nazionale.
Office 365 non è conforme al GDPR secondo gli osservatori tedeschi
La Conferenza tedesca per la protezione dei dati ha evidenziato in un recente rapporto che la suite Office 365 di Microsoft non è conforme ad alcune disposizioni chiave del GDPR.
La Conferenza tedesca per la protezione dei dati (DSK) è un comitato formato dall'autorità federale per la protezione dei dati della Germania e dalle autorità per la protezione dei dati dei singoli stati tedeschi. Il rapporto è stato pubblicato a fine novembre ed è il risultato di due anni di consultazioni tra un gruppo di lavoro della DSK e Microsoft stessa. Il rapporto evidenzia diversi problemi di conformità, tra cui l'insufficienza delle garanzie per i trasferimenti di dati tra l'UE e gli Stati Uniti, la mancanza di politiche di conservazione dei dati e una generale mancanza di chiarezza sul ruolo di Microsoft come responsabile o incaricato del trattamento dei dati per quanto riguarda le singole operazioni di trattamento.
Di recente Microsoft ha annunciato che nel 2023 avvierà il suo programma di delimitazione dei dati nell'UE per ridurre i trasferimenti di dati verso l'UE. La mossa di Microsoft potrebbe essere fondamentale per la conformità al GDPR. Tuttavia, le nuove politiche di Microsoft per i dati europei richiederanno sicuramente un esame, poiché alcuni trasferimenti di dati verso gli Stati Uniti saranno probabilmente ancora necessari in determinati scenari.
Il rapporto del gruppo di lavoro è disponibile sul sito web del DSK (solo in tedesco).
Il Senato degli Stati Uniti vota per vietare TikTok sui dispositivi del governo federale
Il 14 dicembre il Senato degli Stati Uniti ha votato all'unanimità una proposta di legge che vieta ai dipendenti federali di scaricare l'app TikTok sui loro dispositivi. Per diventare legge, la proposta deve ancora essere approvata dal Congresso e firmata dal Presidente degli Stati Uniti.
I politici statunitensi di entrambi i partiti sono preoccupati che TikTok possa essere utilizzato dal governo cinese per raccogliere informazioni di intelligence. Inoltre, l'app è sottoposta a un esame di sicurezza da parte del Comitato per gli investimenti esteri negli Stati Uniti (CFIUS), dopo che il proprietario di TikTok, ByteDance, ha acquistato l'app musical.ly nel 2019 e ha unito la sua base di utenti a quella di TikTok.
Meta vieta le società di sorveglianza a pagamento
Il 14 dicembre Meta ha annunciato di aver bandito da Facebook sette società di sorveglianza a pagamento, impedendo loro di promuovere i propri servizi attraverso il social network. L'azienda ha anche presentato un documento politico, esortando i governi a prendere provvedimenti contro l'industria della sorveglianza.
Secondo Meta, lo spyware e le aziende di sorveglianza a pagamento rappresentano una minaccia significativa per la privacy e la società. Molte di queste aziende sono presenti su Facebook e alcune di esse svolgono le loro operazioni sulla piattaforma, utilizzando account falsi e link a spyware per spiare i loro clienti. Meta ha dato priorità all'azione anti-spyware sulla propria piattaforma, ma sottolinea la necessità di un intervento da parte dei responsabili politici per contrastare le minacce poste dal business della sorveglianza a pagamento.
Accordi record per Epic Games
La Federal Trade Commission e il creatore di Fortnite, Epic Games, hanno raggiunto due accordi per un importo record di 520 milioni di dollari. La somma copre una multa di 275 milioni di dollari per la violazione del Children's Online Privacy Protection Act attraverso le impostazioni di privacy predefinite di Fortnite, oltre a un ingente rimborso per gli acquisti involontari causati da un design ingannevole. Epic dovrà inoltre modificare le impostazioni predefinite della privacy di Fortnite, richiedendo un opt-in per la chat di testo e vocale all'interno del gioco per gli utenti di età inferiore ai 13 anni.
L'autorità di vigilanza del Regno Unito fa i nomi delle aziende che hanno violato i dati personali
Con una mossa alquanto insolita, l'autorità britannica per la protezione dei dati (ICO) ha iniziato a pubblicare elenchi completi di aziende rimproverate per le violazioni dei dati. Il commissario John Edwards ha spiegato i motivi di questa decisione in un recente discorso, sottolineando la necessità di trasparenza e certezza nell'applicazione delle norme, nonché l'importanza della responsabilità per le aziende.