Per quanto sia ormai cosa nota la questione del “trasferimento di dati” tra UE e USA e le sue ricadute sull’utilizzo dei servizi forniti dalle società americane è giunta questa settimana ad un importante punto di svolta.
Il nuovo E.O. di Biden
Il 7 ottobre il Presidente USA ha firmato un “Executive Order” (E.O.) finalizzato a consentire l’implementazione del nuovo EU-US Data Privacy Framework (“DPF“): in un fact sheet la Casa Bianca ha pubblicato i contenuti cardine di questa importante decisione, che mira a consentire all’Unione Europea (e nello specifico alla Commissione) di pronunciarsi nuovamente sulla adeguatezza degli Stati Uniti d’America rispetto al libero flusso di dati personali sulle sponde dell’atlantico.
L’annullamento del precedente Privacy Shield nel 2020, infatti – ad opera della sentenza Schrems II – aveva reso complesso, e a tratti impossibile (vedi vicenda Google Analytics), utilizzare strumenti forniti da soggetti americani o comunque collegati a società USA-based.
Q&A pubblicato dalla Commissione UE
L’Unione Europea non si è fatta trovare impreparata.
Lo stesso giorno la Commissione UE ha pubblicato una pagina di domande & risposte in cui dettaglia perché, dopo l’annuncio congiunto del 25 marzo scorso, questo E.O. è un passo nella direzione di un nuovo accordo. In particolare:
- sono previste salvaguardie di legittimità verso l’accesso ai dati personali da parte delle agenzie federali USA, con limiti legati alla necessità e proporzione di tutela di reali e legittimi interessi pubblici;
- è previsto un meccanismo giudiziale di diversi livelli, a tutela di lamentele e situazioni limite (o in violazione della normativa), che include una corte dotata di poteri.
Cosa succede ora?
Al momento, nulla di significativo per l’uso di Google Analytics o di altri tool a matrice USA: come chiarisce anche il fact sheet della Commissione UE, al momento deve essere valutata l’adeguatezza dell’E.O. di Biden per arrivare ad una nuova decisione sui flussi di dati personali USA-UE, oltre che un nuovo “schema di certificazione” emesso dal Dipartimento del Commercio USA che stabilisca i requisiti per le società USA.
Certamente, l’uso delle clausole contrattuali tipo (“SCC“) e degli altri meccanismi già in vigore resta valido, e andrà rivalutato alla luce della situazione aggiornata: ci si chiede se può considerarsi ora meno rischioso il trasferimento di dati verso gli USA, dopo che l’E.O. ha superato (almeno in parte) i dubbi riguardanti il FISA 702 e l’E.O. 12333 al centro della sentenza Schrems II di annullamento del Privacy Shield.
Commenti a caldo
Non sono mancate le reazioni a questo importante annuncio: forse la più rilevante è stata quella di Max Schrems che, con la sua no-profit “NOYB” (None Of Your Business) ha pubblicato un primo articolo di revisione in cui propende per la non sufficienza di questo E.O. rispetto alle necessità poste dal diritto UE per una decisione di adeguatezza che sia solida ed effettiva. Segnaliamo anche una revisione “strutturata” del testo dell’E.O. sempre prodotta da NOYB, molto interessante.
A quando la decisione di adeguatezza?
Probabilmente non prima di alcuni mesi, dato che è necessario il parere dell’EDPB (garanti europei riuniti) e dei singoli Stati Membri: NOYB ipotizza la primavera 2023, mentre l’annuncio di marzo poneva il prossimo autunno come la deadline sperata.
PRIVACY & CYBERSECURITY
MESE EUROPEO DELLA CYBERSECURITY
La ricorrenza rappresenta un’occasione per affinare la percezione dei rischi connessi agli attacchi informatici, migliorando gli strumenti per difendersi.
Gli esperti sottolineano ormai costantemente l’importanza di disporre di backup dei propri dispositivi (“business continuity”, “disaster recovery”), e la sicurezza delle credenziali di autenticazione usate; ancora, il mese della cybersecurity è un buon momento per dare un’occhiata a report come il Rapporto Clusit 2022, che mostra come phishing e ransomware siano fra le tecniche più utilizzate per gli attacchi.
CORTE DI GIUSTIZIA E DANNI PRIVACY NON MATERIALI
È stata di recente pubblicata l’opinione dell’Avvocato Generale della CGUE riguardo al caso (austriaco) C-300/21 di valutazione dell’automatismo, o meno, dei danni immateriali generati da una violazione del GDPR, di cui all’art. 82.
In estrema sintesi, il parere propende per un diniego di ogni automatismo e una necessità di provare in concreto un effettivo danno per la persona, evitando qualunque presunzione o impostazione predefinita che superi il caso di volta in volta all’attenzione del giudice.
231
WHISTLEBLOWING
Il prossimo 10 dicembre è una data da tenere a mente per la compliance 231: il Governo sarà tenuto entro quel termine a rivedere la normativa in materia di whistleblowing per adeguarla a quanto previsto dalla Direttiva UE 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell’Unione.
Tra le novità che il Governo potrebbe introdurre nel recepire la normativa europea è compresa l’estensione dell’ambito applicativo del whistleblowing ad altri settori, quali la protezione dei dati personali, la sicurezza informatica e la sicurezza dei prodotti e dei trasporti.
MERCATI DIGITALI
TAR DEL LAZIO ANNULLA SANZIONE ANTITRUST
Con la sentenza n. 12507/2022 il TAR del Lazio (Sezione Prima) ha annullato le sanzioni comminate ad Amazon e ad Apple dall’Autorità Garante della Concorrenza e del Mercato (“AGCM”).
All’esito del procedimento I842 (“VENDITA PRODOTTI APPLE E BEATS SU AMAZON MARKETPLACE”), le società avevano ricevuto, rispettivamente, sanzioni per 114.681.657 Euro e 58.592.754 Euro, per aver stipulato un’intesa ritenuta anticoncorrenziale e contestata in violazione dell’art. 101 TFUE.
L’intesa era volta a riservare la vendita di prodotti Apple/Beats (prodotti Apple), tramite il marketplace di Amazon agli Apple Premium Resellers, e riguardava una clausola del contratto stipulato tra Apple e Amazon nel 2018 che aveva l’obiettivo di contrastare la contraffazione presente nel marketplace online e, in particolare, in quello di Amazon.
Le censure proposte dalle ricorrenti – (1) tardività dell’avvio del procedimento; (2) violazione del contraddittorio in relazione alle informazioni rilevanti per la sua difesa; (3) irragionevolezza del termine a difesa – sono state accolte dal TAR del Lazio, che ha annullato i provvedimenti sanzionatori dell’AGCM.
DOCUMENTO CONTRO LA CONTRAFFAZIONE ONLINE
In occasione della settimana Anticontraffazione 2022, il 4 ottobre il Ministero dello Sviluppo economico ha presentato un documento programmatico condiviso, oltre che con società quali Amazon, Alibaba, Ebay, Meta, Google Italy, Yoox, Tik Tok, anche con il Movimento italiano genitori (“MOIGE”) e con l’Associazione per la tutela della proprietà intellettuale INDICAM.
La finalità del programma è quella di tutelare i consumatori e le imprese dalla contraffazione sul mercato online, notevolmente cresciuta durante il periodo Covid.
OPEN TERMS ARCHIVE
Un software gratuito e open source realizzato dal team dell’Ufficio dell’Ambasciatore francese per gli affari digitali.
Il suo codice sorgente può essere liberamente riutilizzato e costruito, a condizione che i miglioramenti siano resi disponibili alla comunità alle stesse condizioni.
Il suo funzionamento prevede che i testi legali di un servizio online vengano riportati e poi tracciati da parte di collaboratori volontari che, più volte al giorno, li scaricano e archiviano e, quando sono individuati cambiamenti, li registrano e li espongono.
TWITTER-MUSK SAGA
Continuiamo con gli aggiornamenti sulla vicenda: il processo al momento è stato sospeso per tre settimane, durante le quali saranno svolti dei negoziati volti a trovare un accordo transattivo e a consentire di concludere l’acquisto di Twitter da parte del magnate sudafricano. Entro il prossimo 28 ottobre sapremo di più.
NEWS DAL MONDO
UK
Annunciato dal nuovo Segretario di Stato per il Digitale, la Cultura i Media e lo Sport un “nuovo approccio” al trattamento dei dati che vorrebbe prendere una direzione divergente rispetto al GDPR e alla normativa attualmente in vigore, lo “UK GDPR”.
Preoccupante, a detta di molti commentatori, che in una fase così complessa a livello internazionale si decida di modificare nuovamente il framework operativo per un paese così importante, mettendo in pericolo anche la decisione di adeguatezza (provvisoria) emessa dalla Commissione UE.
USA
Il 4 ottobre 2022 la Casa Bianca ha un dato avvio a un progetto per una Carta dei diritti dell’intelligenza artificiale, che ruota intorno a cinque principi per la progettazione, l’uso e l’implementazione di sistemi automatizzati volti a proteggere il pubblico americano: (i) Sistemi sicuri ed efficaci; (ii) Protezioni contro la discriminazione algoritmica; (iii) Privacy dei dati; (iv) Avviso e spiegazione; (v) Alternative umane, considerazione e ripiego.
ARIZONA
Google LLC e il Procuratore Generale dell’Arizona hanno raggiunto un accordo per 85 milioni di dollari a conclusione del processo per pratiche ingannevoli e sleali nei confronti degli utenti.
Google LLC raccoglieva, senza consenso, i loro dati sulla posizione personale monitorando gli smartphone, anche quando i consumatori avevano disabilitato la cronologia delle posizioni.
INDIA
Sarà la sessione invernale del parlamento locale a valutare la nuova normativa (revisionata) in materia di data protection: lo ha annunciato il governo alla Suprema Corte indiana.