Questo è stato sicuramente un mese intenso per la privacy! Dopo lunghi negoziati, l'UE è un passo avanti verso l'AI Act. Nel frattempo, le autorità di regolamentazione hanno emesso importanti decisioni contro Uber e Amazon, l'EDPB sta lavorando sulla questione scottante del pay-or-ok, il Senato ha ascoltato i CEO dei social media sulla sicurezza online dei bambini e molto altro ancora!
- L'UE si avvicina all'AI Act con l'entrata in vigore del Data Act
- L'EDPB discute il pay-or-ok
- Accesa audizione al Senato sulla sicurezza dei bambini
- Due multe salate da parte dell'autorità di vigilanza francese
- Il regolatore olandese colpisce Uber
- La FTC dà un giro di vite sulla condivisione dei dati
- Il GPDP non è ancora soddisfatto di ChatGPT
- L'UE e gli USA stanno lavorando a un accordo sull'accesso ai dati da parte della polizia
- La Commissione europea conferma 11 decisioni di adeguatezza
- Amazon richiede ora un mandato per i filmati del Ring
L'UE si avvicina all'AI Act con l'entrata in vigore del Data Act
GliStati membri dell'UE hanno** votato all'unanimità a favore dell'AI Act**. Mancano ancora tre votazioni, tra cui quella cruciale del Parlamento europeo in aprile.
Nel frattempo è entrato in vigore il Data Act dell'UE. Il regolamento mira a facilitare l'uso e lo scambio di dati, in particolare quelli industriali e IoT, trovando un equilibrio con la sicurezza informatica e il controllo degli utenti.
L'EDPB discute il pay-or-ok
L'EDPB (l'istituzione che riunisce i regolatori della privacy dell'UE) ha discusso a gennaio l'approccio pay-or-ok alla privacy e intende pubblicare delle linee guida sulla questione. In altre parole, l'EDPB intende chiarire se e in che misura le aziende possono trattare i dati personali come una merce.
Il pay-or-ok è un tema scottante in questo momento, dato che l'ultima strategia di compliance di Meta è incentrata sull'offerta di abbonamenti a pagamento, privi di pubblicità, per Facebook e Instagram, in alternativa ai suoi abbonamenti gratuiti. Ma la questione è più ampia e ha enormi conseguenze per la legge sulla privacy dell'UE nel suo complesso.
Se siete curiosi di approfondire l'argomento, il nostro blog esplora le strategie di conformità di Meta e le implicazioni del pay-or-ok per il GDPR.
Accesa audizione al Senato sulla sicurezza dei bambini
In risposta alle crescenti preoccupazioni dell'opinione pubblica sulla sicurezza dei bambini sui social media, una commissione del Senato degli Stati Uniti ha interrogato i CEO delle principali piattaforme sociali sulla sicurezza online dei bambini.
Erano presenti i CEO di Meta, X, Snap, TikTok e Discord. L'interrogatorio è stato piuttosto teso, con Mark Zuckerberg (Meta) e Shou Zi Chew (TikTok) che si sono presi la maggior parte delle responsabilità. Evan Spiegel (Snap) e Linda Yaccarino (X) hanno espresso il loro sostegno alla legge sulla sicurezza online dei bambini, mentre altri CEO hanno espresso posizioni scettiche.
Due multe salate da parte dell'autorità di vigilanza francese
L'autorità francese per la tutela della privacy (CNIL) ha inflitto ad Amazon France una multa di 32 milioni di euro per le sue pratiche di sorveglianza sul posto di lavoro e a Yahoo una multa di 10 milioni di euro per l'uso illegale di cookie di tracciamento.
L'autorità di regolamentazione ha inviato un segnale molto forte che la sorveglianza sul posto di lavoro di Amazon, notoriamente invasiva, non sarà tollerata in Francia: 32 milioni di euro corrispondono a circa il 3% del fatturato di Amazon France per il 2021 e si avvicinano al tetto massimo del 4% previsto dal GDPR.
Il regolatore olandese colpisce Uber
L'autorità di regolamentazione olandese ha multato Uber per 10 milioni di euro per non aver informato i conducenti sulle sue politiche di conservazione dei dati e per aver reso difficile l'accesso ai loro dati personali.
Il controllo dei dati è fondamentale per l'equilibrio di potere tra le aziende e i lavoratori della gig economy. Il diritto di accesso ai dati può talvolta aiutare i lavoratori a riprendersi i propri dati, facendo pendere la bilancia a loro favore. Questo è accaduto non molto tempo fa in una causa storica che Uber ha perso(Uber BV contro Aslam).
La FTC dà un giro di vite sulla condivisione dei dati
A seguito di un'indagine ufficiale, la Federal Trade Commission ha ordinato a X di inasprire le sue politiche sulla privacy per i dati di localizzazione. X non potrà raccogliere dati di localizzazione senza consenso e non potrà condividere con i suoi partner dati di localizzazione "sensibili" (come strutture mediche o istituzioni religiose).
La FTC ha anche [vietato all'aggregatore di dati InMarket Media di condividere dati di geolocalizzazione precisi.
Il GPDP non è ancora soddisfatto di ChatGPT
Il garante italiano della privacy ha emesso un avviso (non ancora pubblicato) di presunte violazioni della privacy per Open AI relative a ChatGPT . Vale la pena di seguire da vicino gli sviluppi futuri, poiché le IA generative sollevano questioni importanti e ancora irrisolte in materia di privacy.
L'autorità di regolamentazione si è occupata per la prima volta di ChatGPT l'anno scorso, quando alla società è stato ordinato di interrompere il servizio per gli utenti italiani per questioni di privacy (abbiamo parlato del caso qui). L'autorità ha poi revocato la restrizione, ma solo temporaneamente: il caso è rimasto aperto e l'indagine ha portato alla notifica del gennaio 2024.
L'UE e gli USA stanno lavorando a un accordo sull'accesso ai dati da parte della polizia
Secondo Politico, il commissario europeo per la Giustizia Didier Reynders ha dichiarato che l'UE e gli USA raggiungeranno un accordo sull'accesso della polizia ai dati personali entro l'anno.
L'UE e gli Stati Uniti hanno già un trattato di assistenza reciproca, ma le procedure esistenti per l'accesso ai dati sono lente e macchinose. Il controverso Cloud Act degli Stati Uniti può accelerare le cose per le forze dell'ordine statunitensi, ma solleva problemi nell'ambito del GDPR ed è stato ampiamente criticato per la sua natura unilaterale. Un nuovo accordo potrebbe risolvere alcuni problemi con il Cloud Act, consentendo al contempo alle forze dell'ordine dell'UE un accesso più rapido ai dati statunitensi.
Naturalmente, il futuro accordo dovrà bilanciare l'efficacia dell'applicazione della legge con il diritto alla privacy, e il Garante europeo della protezione dei dati si esprimerà senza dubbio su questo fronte.
La Commissione europea conferma 11 decisioni di adeguatezza
La Commissione europea ha riesaminato e confermato le decisioni di adeguatezza esistenti per Andorra, Argentina, Canada, Isole Faroe, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera e Uruguay. Le decisioni per Giappone, Corea del Sud, Regno Unito e Stati Uniti non sono ancora state confermate.
Una decisione di adeguatezza è una decisione unilaterale che semplifica enormemente i trasferimenti di dati "dando il via libera" a un Paese non UE come destinazione sicura per i dati personali. La decisione di adeguatezza si basa su una complessa valutazione del quadro giuridico del paese destinatario e deve essere rivista periodicamente.
Amazon richiede ora un mandato per i filmati del Ring
Amazon ha annunciato che ora richiede un mandato prima di condividere i filmati di Ring con le forze dell'ordine. Si spera che Amazon affronti anche gli altri problemi di privacy di Ring, come le gravi vulnerabilità della sua sicurezza informatica e le politiche di accesso ai dati irresponsabilmente lassiste dei dipendenti di Ring.