Mensile sulla privacy ottobre

Image of Carlo Cilento

Pubblicato il 6 ott 2023 e modificato il 18 ott 2023 da Carlo Cilento

  1. Un deputato francese contesta il quadro per il trasferimento dei dati tra UE e USA
  2. Google pagherà 93 milioni di dollari per un accordo sui dati di localizzazione
  3. TikTok multato per 345 milioni di euro per la cattiva gestione dei dati dei bambini
  4. La sorveglianza estera del Regno Unito viola la CEDU
  5. Google e X devono affrontare azioni collettive in Olanda
  6. Google Privacy Sandbox ora ampiamente disponibile
  7. L'EDPB si occupa del caso Meta advertising
  8. Proposta di divieto della pubblicità di sorveglianza al Congresso degli Stati Uniti
  9. La legge europea sulla governance dei dati è ora applicabile
  10. Il disegno di legge britannico sulla sicurezza online diventerà legge
  11. Il PCLOB interviene sul FISA
  12. La DPA finlandese dà il via libera al trasferimento di dati per un'azienda russa
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Un deputato francese contesta il quadro per il trasferimento dei dati tra UE e USA

Il 6 settembre il deputato francese e membro del CNIL Philippe Latombe ha presentato alla Corte di giustizia dell'UE una richiesta di annullamento del quadro sulla privacy dei dati UE-USA, come riportato per la prima volta da Politico.

Data la travagliata storia legale dei trasferimenti di dati tra UE e USA, l'azione legale contro il nuovo quadro transatlantico di protezione dei dati era ampiamente prevista. Tuttavia, non è chiaro se la Corte esaminerà il merito del caso, poiché i requisiti procedurali per un'azione diretta sono piuttosto rigidi.

Abbiamo discusso questa notizia in modo più approfondito sul nostro blog.

Google pagherà 93 milioni di dollari per un accordo sui dati di localizzazione

Google ha raggiunto un ** accordo di 93 milioni di dollari** con il Dipartimento di Giustizia della California per le accuse di raccolta illegale di dati di localizzazione degli utenti. All'azienda è stato inoltre ordinato di dimostrare una maggiore trasparenza nella gestione dei dati di localizzazione.

Google avrebbe tracciato e memorizzato i dati di localizzazione per scopi di profilazione e pubblicità senza il consenso degli utenti. Secondo l'avvocato generale Rob Bonta, l'azienda ha anche ignorato le preferenze degli utenti che hanno disattivato l'impostazione "cronologia delle posizioni" dei loro dispositivi e hanno scelto di non ricevere pubblicità mirata in base alla posizione.

TikTok multato per 345 milioni di euro per la cattiva gestione dei dati dei bambini

Il 1° settembre l'autorità irlandese per la protezione dei dati (DPC) ha inflitto a TikTok una multa di 345 milioni di euro per la gestione dei dati di utenti minorenni. Il Comitato europeo per la protezione dei dati è stato direttamente coinvolto, come spesso accade quando il DPC ha a che fare con le Big Tech.

Secondo il DPC, TikTok non ha considerato l'impatto sulla privacy delle impostazioni predefinite per gli account dei minori. Inoltre, la funzione Family Pairing della piattaforma ha creato seri rischi per gli utenti minorenni, poiché è stata implementata senza un processo di verifica.

La sorveglianza estera del Regno Unito viola la CEDU

Il 12 settembre la Corte europea dei diritti dell'uomo (CEDU) ha condannato il Regno Unito per aver effettuato una sorveglianza su cittadini stranieri senza consentire un ricorso giudiziario.

Nel caso in questione, il Regno Unito ha preso di mira due giornalisti stranieri con la sorveglianza digitale. I due hanno portato il caso all'Investigatory Powers Tribunal del Regno Unito, ma non sono stati ascoltati perché non residenti nel Regno Unito. Nella sua sentenza, la CEDU ha affermato che il Regno Unito ha violato la Convenzione europea dei diritti dell'uomo negando l'azione ai giornalisti.

La mancanza di un sistema di ricorso efficace è un aspetto problematico dei trasferimenti di dati personali tra l'UE e gli Stati Uniti e uno dei motivi principali per cui la Corte di giustizia dell'UE ha invalidato due quadri di trasferimento di dati con gli Stati Uniti in passato. Questa mancanza di ricorso potrebbe diventare un problema anche per i trasferimenti di dati tra UE e Regno Unito?

Google e X devono affrontare azioni collettive in Olanda

Google sta affrontando una class action nei Paesi Bassi per presunte violazioni della privacy. La causa è stata intentata dall'associazione olandese dei consumatori Consumentenbond e dal gruppo di difesa della privacy Privacy Protection Foundation.

Come si legge in un comunicato stampa congiunto, le denunce includono il trasferimento illegale di dati personali al di fuori dell'UE, la raccolta illegale di dati di localizzazione e l'uso deliberato di modelli oscuri per manipolare gli utenti e indurli ad acconsentire a pratiche di raccolta dati altamente invasive.

Anche X Corp (precedentemente nota come Twitter) sta affrontando una class action sulla raccolta illegale di dati, guidata dall'organizzazione non profit olandese SDBN.

Secondo SDBN, l'app di Twittter (ora X) e la piattaforma di app mobili MoPub (attualmente di proprietà di un'altra società) raccoglievano dati personali senza raccogliere il consenso informato. Vale la pena notare che i tracker di MoPub sono incorporati in un numero enorme di app gratuite, tra cui servizi molto diffusi come Shazam, Duolingo e Grindr.

Google Privacy Sandbox ora ampiamente disponibile

A settembre l'API per la Privacy Sandbox di Google è diventata generalmente disponibile per gli sviluppatori. Il rilascio dell'API è un passo importante nella strategia annunciata da Google di eliminare gradualmente i cookie di terze parti dal proprio ambiente.

La Google Privacy Sandbox utilizza le informazioni di navigazione per classificare gli utenti in gruppi basati sulla posizione, sulla demografia e sugli interessi. L'idea alla base della Sandbox è che la condivisione dei dati relativi a questi gruppi, e nient'altro, consente di realizzare una pubblicità mirata efficace con un impatto minore sulla privacy degli utenti rispetto alle tradizionali strategie di tracciamento basate sui cookie.

Il sistema di protezione della privacy Sandbox è stato accolto con un certo grado di critica. Vediamo se Sandbox manterrà effettivamente le sue promesse o si rivelerà una semplice verniciatura per il modello di business altamente invasivo di Google.

L'EDPB si occupa del caso Meta advertising

Il 28 settembre l'autorità norvegese per la protezione dei dati ha chiesto all'European Data Protection Board una decisione vincolante sulla pubblicità mirata su Facebook e Instagram. L'autorità sta cercando di confermare il divieto temporaneo sugli annunci personalizzati di Meta, imposto mesi fa con una procedura d'urgenza. Poco prima del divieto, la Corte di giustizia dell'UE ha ritenuto illegale il modello pubblicitario di Meta.

Il caso è incentrato sulla mancanza di consenso degli utenti alla profilazione e alla pubblicità mirata. Il caso merita di essere seguito con attenzione, poiché potrebbe portare a divieti in altri Paesi europei e potrebbe avere un impatto generale sul modello di business pay-with-your-data che alimenta molte piattaforme online.

Per ulteriori informazioni, consultate il nostro blog sulla sentenza del Bundeskartellamt della Corte di giustizia.

Proposta di divieto della pubblicità di sorveglianza al Congresso degli Stati Uniti

Il 18 settembre i rappresentanti democratici hanno presentato al Congresso degli Stati Uniti il Banning Surveillance Advertising Act.

La proposta di legge mira a vietare la pubblicità basata su informazioni acquistate da broker di dati e su informazioni protette come la razza e la religione. Nelle parole della rappresentante Anna Eshoo, la pubblicità basata sulla sorveglianza è "un modello commerciale tossico che causa danni irreparabili ai consumatori, alle imprese e alla democrazia statunitense".

La situazione della privacy negli Stati Uniti è tutt'altro che rosea. Il Congresso ha tentato di introdurre una normativa federale sulla privacy (l'ADPPA), ma i negoziati sulla proposta si sono arenati. Il Banning Surveillance Advertising Act potrebbe svolgere un ruolo cruciale nella protezione dei diritti alla privacy fino a quando non arriverà (si spera) l'ADPPA.

La legge europea sulla governance dei dati è ora applicabile

Il Data Governance Act (DGA) dell'UE è entrato in vigore a settembre dopo un periodo di grazia di 15 mesi.

La legge mira a promuovere lo spazio dei dati dell'UE consentendo alle imprese e alle organizzazioni pubbliche di condividere dati personali e non personali con intermediari fidati, che renderanno poi disponibili i dati ad altre entità a determinate condizioni. Ad esempio, i produttori potrebbero affidare

Tuttavia, il DGA non crea alcun obbligo di condivisione dei dati per le organizzazioni. Con ogni probabilità, il successo del Digital Data Space dipenderà dalla capacità della Commissione di convincere le grandi aziende a condividere i propri dati.

Il disegno di legge britannico sulla sicurezza online diventerà legge

La controversa legge sulla sicurezza online del Regno Unito è stata votata dal Parlamento il 19 settembre e diventerà presto legge. Il disegno di legge prevede obblighi di moderazione dei contenuti per le piattaforme online e misure contro la diffusione di materiale pedopornografico (definito materiale pedopornografico o CSAM) attraverso le piattaforme di messaggistica personale.

La controversia che circonda il disegno di legge riguarda l'obbligo per le piattaforme di messaggistica personale di identificare e rimuovere i contenuti illegali, tra cui il CSAM. Questo obbligo potrebbe costringere le aziende a rompere la crittografia end-to-end implementando la scansione lato client per i loro servizi, il che solleva problemi di privacy e sicurezza. I gruppi di difesa della privacy e diverse piattaforme di messaggistica si sono opposti con forza alla proposta di legge, con Whatsapp e Signal che hanno annunciato di voler abbandonare il mercato britannico se la legge dovesse passare.

Il PCLOB interviene sul FISA

In una notizia correlata, l'U.S.Privacy and Civil Liberties Oversight Board ha esaminato le attività di sorveglianza estera condotte dalla NSA ai sensi della sezione 702 della FISA, una delle leggi che autorizza la sorveglianza di cittadini stranieri. Il rapporto del Consiglio evidenzia che alcune forme di operazioni di raccolta dati - in particolare le "interrogazioni di persone statunitensi" e le "interrogazioni di partite" - sono potenzialmente molto invasive e potrebbero essere limitate senza incidere pesantemente sull'efficacia della sorveglianza estera.

Lari-autorizzazione del FISA è prevista a breve al Congresso e il rapporto del Consiglio potrebbe influenzare il processo di negoziazione. Vale la pena di monitorare la situazione, poiché le operazioni condotte nell'ambito del FISA sono al centro di decennali questioni legali relative ai trasferimenti di dati tra l'UE e gli Stati Uniti.

La DPA finlandese dà il via libera al trasferimento di dati per un'azienda russa

Il 27 settembre l'autorità finlandese per la protezione dei dati ha sospeso il divieto temporaneo di trasferimento dei dati emesso in agosto per Yango, un'applicazione russa di app-hailing.

La decisione iniziale riguardava una nuova legge russa che consente alle agenzie di sorveglianza di richiedere dati personali a determinate aziende. Dopo un ulteriore esame, l'autorità finlandese ha ritenuto che la legge russa non si applicasse ai servizi di ride-hailing.

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni