Ottobre è stato un mese a dir poco movimentato. Meta è di nuovo nel mirino delle autorità di regolamentazione, poiché l'EDPB vieta la pubblicità personalizzata su Facebook e Instagram; i Paesi di tutto il mondo continuano ad avanzare nella regolamentazione dell'IA; la California approva una legge innovativa sul diritto di cancellazione e altro ancora. Oh, e abbiamo menzionato una delle peggiori violazioni di dati della storia?
- L'EDPB vieta la pubblicità personalizzata per Meta.
- Confermata la violazione di dati genetici su larga scala
- Un mese caldo per la regolamentazione dell'IA
- L'autorità tedesca per la concorrenza si pronuncia contro Facebook
- Amazon lancia il cloud europeo
- Il Regno Unito approva la controversa legge sulla sicurezza online
- Respinta la prima azione legale contro il quadro sul trasferimento dei dati
- Il Congresso prende in considerazione la riautorizzazione temporanea del FISA
- Sviluppi della legge sulla privacy in California
- L'Argentina si avvia verso una nuova legge sulla protezione dei dati
L'EDPB vieta la pubblicità personalizzata per Meta.
Il 27 ottobre l'European Data Protection Board ha emesso una decisione urgente e vincolante che dovrà essere attuata dal garante della privacy irlandese. Sebbene la decisione non sia ancora stata pubblicata, dal comunicato stampa del Comitato si evince che essa equivale praticamente a un divieto a livello europeo di pubblicità personalizzata su Facebook e Instagram.
Da quasi un anno Meta sta lottando per giustificare il suo modello di business basato sulla profilazione degli utenti e sulla pubblicità mirata. Due diverse versioni della politica sulla privacy di Meta sono state bocciate dalle autorità di regolamentazione dell'UE per questioni legate alla pubblicità personalizzata su Facebook e Instagram, mentre l'autorità norvegese per la privacy ha successivamente emesso un divieto temporaneo di pubblicità mirata nei confronti degli utenti norvegesi. Infine, la decisione urgente dell'EDPB ha trasformato il divieto norvegese in un divieto permanente, valido per tutta l'UE, che sarà emesso dall'autorità irlandese per la protezione dei dati nel prossimo futuro.
A margine, Meta ha recentemente annunciato che metterà a disposizione degli utenti europei abbonamenti a Facebook a pagamento e privi di pubblicità, in alternativa agli attuali abbonamenti gratuiti e alimentati da pubblicità. Sospettiamo che questa mossa controversa sia in gran parte motivata dalla necessità di legittimare l'attuale modello di business nei confronti degli utenti non paganti che, con ogni probabilità, in futuro rappresenteranno la stragrande maggioranza della base di utenti di Facebook.
Confermata la violazione di dati genetici su larga scala
L'azienda statunitense di test genetici 23andMe ha subito una violazione dei dati su larga scala L'entità della violazione non è nota, ma le prime notizie indicano che sono trapelati i dati genetici di almeno 4 milioni di utenti.
All'inizio del mese un hacker ha annunciato di aver violato e diffuso i dati sul Dark Web. 23andMe ha dapprima annunciato che stava analizzando i dati trapelati per verificare le affermazioni. In seguito l'azienda ha inviato e-mail di avvertimento agli utenti interessati, confermando implicitamente che i dati trapelati sono autentici.
Le fughe di dati genetici sono particolarmente rischiose perché riguardano non solo le persone a cui appartengono i dati trapelati, ma anche i loro parenti, che utilizzino o meno i servizi di test genetici. Nel caso di fughe di dati su larga scala da servizi disponibili in commercio, possono essere coinvolti anche parenti lontani degli utenti.
Un mese caldo per la regolamentazione dell'IA
Ottobre è stato un mese ricco di eventi per la regolamentazione dell'IA. Le Nazioni Unite hanno istituito un comitato consultivo globale sull'IA; il G7 ha concordato un codice di condotta per lo sviluppo dell'IA; il vertice britannico sulla sicurezza dell'IA ha raggiunto risultati importanti, tra cui un accordo sulla sperimentazione dell'IA tra 27 governi; il Presidente degli Stati Uniti ha firmato un ordine esecutivo che affronta i problemi di sicurezza e privacy dell'IA.
Per quanto riguarda l'UE, Euractiv riferisce che un accordo sulla legge sull'IA potrebbe essere vicino. La bozza finale della legge sta cercando di garantire un accordo trovando una via di mezzo tra il Parlamento e la Commissione: il Parlamento potrebbe essere disposto a lasciare un po' di spazio per l'identificazione biometrica in tempo reale nel contesto dell'applicazione della legge, in cambio di un elenco più lungo di applicazioni di IA vietate.
L'autorità tedesca per la concorrenza si pronuncia contro Facebook
A seguito di un'indagine dell'autorità tedesca per la concorrenza (Bundeskartellamt), Google si è impegnata a fornire agli utenti un maggiore controllo sull'uso incrociato dei dati tra i diversi servizi di Google, nonché sulla combinazione dei dati raccolti tramite app e servizi di terze parti. In altre parole, i consumatori avranno ora la possibilità di rinunciare all'uso incrociato dei dati quando non è necessario.
L'autorità ha annunciato che indagini simili sono in corso nei confronti di altre Big Tech.
Questa decisione è legata alla recente sentenza del Bundeskartellamt della Corte di giustizia dell'UE, una decisione importante di cui abbiamo parlato ampiamente in questo blog.
Amazon lancia il cloud europeo
Amazon ha recentemente annunciato AWS European Sovereign Cloud, un nuovo servizio cloud basato sull'UE. Il servizio ha lo scopo di aiutare le aziende e le organizzazioni pubbliche a rispettare gli standard sulla privacy e le norme sulla localizzazione dei dati.
Amazon non è l'unico gigante che punta sulla localizzazione dei dati: a gennaio Microsoft ha lanciato il programma EU Data Boundary per il suo servizio Microsoft Cloud. Questi servizi rendono Microsoft e Amazon fornitori interessanti per governi, organizzazioni pubbliche e aziende che gestiscono grandi quantità di dati sensibili.
Il Regno Unito approva la controversa legge sulla sicurezza online
La legge sulla sicurezza online del Regno Unito è diventata legge il 26 ottobre. La legge prevede obblighi di moderazione dei contenuti per le piattaforme ed entrerà in vigore gradualmente, man mano che l'autorità britannica per le telecomunicazioni introdurrà nuove norme.
La legge richiede inoltre ai fornitori di servizi di messaggistica di scansionare i file di immagine per identificare e segnalare il materiale pedopornografico. Ciò costringe alcuni fornitori a inserire delle backdoor nella crittografia end-to-end, compromettendo potenzialmente la privacy e la sicurezza delle comunicazioni. I difensori della privacy hanno criticato aspramente il disegno di legge in fase di elaborazione, mentre Whatsapp e Signal hanno minacciato di lasciare il mercato britannico se la legge fosse passata.
Respinta la prima azione legale contro il quadro sul trasferimento dei dati
Il Tribunale dell'Unione europea ha respinto la richiesta di Philippe Latombe di sospendere la decisione di adeguatezza per gli Stati Uniti per questioni procedurali. Secondo l'Associazione internazionale dei professionisti della privacy, Latombe ha presentato ricorso contro la decisione del Tribunale.
La decisione di adeguatezza della Commissione europea per gli Stati Uniti è l'ultimo passo dello sforzo congiunto degli Stati Uniti e dell'UE per risolvere le annose questioni legali relative al trasferimento dei dati. Nell'ultimo decennio la Corte di giustizia dell'UE ha invalidato due quadri normativi sul trasferimento di dati tra l'UE e gli Stati Uniti. Il quadro attuale - a cui si riferisce la decisione sull'adeguatezza - dovrà sicuramente affrontare altre sfide legali in futuro.
Il Congresso prende in considerazione la riautorizzazione temporanea del FISA
Mentre i negoziati per la riautorizzazione del FISA rallentano al Congresso degli Stati Uniti, alcuni membri del Congresso stanno considerando una riautorizzazione temporanea per evitare uno stallo.
Il Foreign Information Surveillance Act (FISA) è una legge statunitense che regola le attività di sorveglianza delle agenzie di intelligence statunitensi su cittadini stranieri. Il futuro del FISA potrebbe avere un impatto importante sui trasferimenti di dati tra l'UE e gli Stati Uniti, poiché gli ampi poteri di sorveglianza conferiti dalla legge sono stati una questione giuridica cruciale nelle sentenze Schrems I e II della Corte di giustizia dell'UE.
Sviluppi della legge sulla privacy in California
L'11 ottobre il governatore della California ha firmato il Delete Act. Il Delete Act rafforza il diritto di cancellazione dei residenti in California, creando un sistema unico per le richieste di cancellazione rivolte agli intermediari di dati. In questo modo, i residenti in California potranno richiedere a tutti gli intermediari di dati di cancellare le loro informazioni personali inoltrando un'unica richiesta.
La legge sulla cancellazione è una legge ambiziosa e innovativa e probabilmente avrà un impatto significativo sul mercato della pubblicità digitale e su altri mercati guidati da informazioni personali disponibili in commercio. Abbiamo discusso la legge in dettaglio in questo blog.
Lo Stato ha anche emendato il California Consumer Privacy Act (CCPA) per garantire una migliore protezione dei dati relativi allo stato di immigrazione e alla salute riproduttiva.
L'Argentina si avvia verso una nuova legge sulla protezione dei dati
Ilgoverno argentino ha presentato il progetto di legge sulla protezione dei dati personali. Il nuovo disegno di legge si basa su una bozza dell'autorità argentina per la privacy e dovrebbe sostituire l'attuale legge sulla protezione dei dati del Paese. La proposta prevede la portata extraterritoriale delle norme sulla privacy, analogamente a normative quali il GDPR, la LGPD brasiliana e la CCPA californiana.
Vale la pena notare che l'Argentina è uno dei pochi Paesi per i quali è disponibile una decisione di adeguatezza ai sensi del diritto dell'UE. Pertanto, i dati personali dei cittadini dell'UE e dello Spazio economico europeo possono essere facilmente inviati al Paese.