Novità privacy - La settimana del Cloud: tra codici di condotta e strategie nazionali nello spettro di Schrems II
Panorama italiano
Garante per la protezione dei dati personali
Online la newsletter di maggio 2021
Il Garante ha pubblicato la newsletter di maggio 2021 nella quale ha riportato tre interessanti vicende relative (i) al trattamento dei dati personali di un paziente nell’ambito di divulgazioni scientifiche e di studi clinici, che ha comportato l’irrogazione di una sanzione per un dottore di una ASL che aveva utilizzato immagini di un paziente per la creazione di diapositive per un convegno scientifico senza chiedere il consenso e senza anonimizzarle. Una sanzione è stata irrogata anche all’associazione che ha pubblicato lo studio sul proprio sito mentre la ASL, pur non avendo adottato tutte le misure utili a prevenire che il personale autorizzato all’accesso ai dati potesse utilizzarli per scopi diversi da quelli di cura, è stata solamente ammonita, visto che l’episodio è risultato isolato ed è comunque intervenuta tempestivamente; (ii) alla mancata implementazione di misure by design e by default nella piattaforma utilizzata dal Comune di Palermo per la gestione delle domande di bonus spesa Covid-19, e (iii) alla mancata informazione ai dipendenti circa il trattamento effettuato da un datore di lavoro attraverso un sistema informatico aziendale, altresì impiegato oltre i limiti dell’autorizzazione dell’Ispettorato [19/05/2021]
Garante per la protezione dei dati personali
Adottato definitivamente il Codice di condotta sulle informazioni commerciali
Il Garante ha comunicato di aver adottato il Codice di condotta sulle informazioni commerciali elaborato dall’Ancic (Associazione nazionale tra le imprese di informazione commerciali e di gestione del credito) che si rivolge alle società che esercitano attività riguardanti l’offerta di informazioni sull’affidabilità commerciale dei soggetti censiti (per lo più imprenditori e manager) solitamente per effettuare giudizi sulla solidità, solvibilità e affidabilità di questi ultimi. Già nel proprio comunicato stampa, l’Autorità chiarisce l’aspetto fondamentale della base giuridica per questo tipo di trattamenti, la quale è individuata nel legittimo interesse dei titolari e non già nel consenso degli interessati, fermi restando i diritti informativi di cui devono godere quest’ultimi. [17/05/2021]
Leggi il comunicato e accedi al Codice.
Garante per la protezione dei dati personali
Adottato il documento di indirizzo sulla vaccinazione nei luoghi di lavoro
Il Garante ha comunicato di aver adottato un documento di indirizzo sulla vaccinazione nei luoghi di lavoro, per fornire indicazioni generali sul trattamento dei dati personali, in attesa di un definitivo assetto regolatorio. Nel documento di indirizzo l’Autorità precisa che il trattamento dei dati nell’ambito di questa attività, prevista dal Protocollo nazionale del 6 aprile 2021, deve essere effettuato esclusivamente dal medico competente o da altro personale sanitario appositamente individuato, mettendo a disposizione di questi ultimi l’ulteriore documento informativo relativo al ruolo del medico competente in materia di sicurezza sul luogo di lavoro. Da ultimo, il Garante ricorda due punti fondamentali, ovverosia (i) l’impossibilità del datore di lavoro di ricorrere al consenso del lavoratore come base giuridica per trattare i dati della vaccinazione, e che (ii) il datore non può far derivare dall’adesione o meno all’iniziativa alcun effetto, sia esso positivo o negativo, verso i propri dipendenti. [14/05/2021]
Leggi il documento di indirizzo.
Dal mondo
Parlamento UE
Adottata risoluzione sul trasferimento dei dati UE-USA a seguito della giurisprudenza Schrems II
Il Parlamento UE ha adottato una risoluzione avente ad oggetto il trasferimento di dati UE-USA a seguito della giurisprudenza Schrems II. La risoluzione accoglie con favore le linee guida EDPB sulle misure supplementari e sulle clausole contrattuali standard, utili a dare qualche spunto sull’utilizzo di questi strumenti per il trasferimento transoceanico di dati, ma sottolinea come la Commissione dovrebbe mettere a disposizione dei titolari una toolbox di misure che garantiscano un livello adeguato di protezione secondo il GDPR. La risoluzione ha toni molto duri verso le autorità garanti nazionali, in particolare verso quella irlandese, per non essere riuscite a dare un adeguato enforcement al GDPR in questo settore della materia, domandando di intervenire affinché si attivino per imporre il blocco dei trasferimenti UE-USA di dati a rischio di accesso indiscriminato da parte delle intelligence statunitensi. Per chiudere, la risoluzione invita la Commissione a valutare l’avvio di una procedura di infrazione contro l’Irlanda, dato che il Garante di quest’ultima avrebbe violato il GDPR sollevando alla CGUE una questione pregiudiziale invece che decidere in autonomia sul caso Schrems II. [20/05/2021]
EDPB (Comitato europeo per la protezione dei dati)
Pubblicata l’agenda della 49esima plenaria
Il Comitato europeo per la protezione dei dati ha pubblicato l’agenda della 49esima plenaria. Tra gli argomenti che il Comitato affronterà in occasione della plenaria, spiccano la pubblicazione di una dichiarazione sul Data Governance Act, l’invio di una lettera alla Commissione Europea avente ad oggetto le questioni relative alla protezione dei dati nelle proposte legislative concernenti l’antiriciclaggio e l’antiterrorismo e l’adozione di raccomandazioni sulla conservazione dei dati di carte di credito per facilitare le successive transazioni online. Altro appuntamento centrale della plenaria riguarderà la formulazione di due opinioni su altrettante proposte di codici di condotta avanzate dall’Autorità belga e da quella francese, entrambe aventi ad oggetto i Cloud Service Providers. [19/05/2021]
ENISA (Agenzia dell’Unione europea per la sicurezza informatica)
Gli Stati membri dell’UE sperimentano una rapida gestione delle crisi informatiche
CySOPEx 2021 – il primo esercizio dell’UE per l’UE CyCLONe (Rete di organizzazioni di collegamento per le crisi informatiche recentemente istituita) – sta testando per la prima volta oggi le procedure per una gestione tempestiva ed efficace delle crisi informatiche nell’UE per far fronte ad attacchi informatici transfrontalieri su larga scala. Le procedure testate mirano a consentire un rapido scambio di informazioni e una cooperazione efficace tra le Cyber Crises Liaison Organizations (CyCLO) – ovvero le autorità competenti degli Stati membri – all’interno di CyCLONe lungo le linee descritte come livello operativo della raccomandazione Blueprint. [19/05/2021]
Amazon
Nuova moratoria sul blocco alla vendita dei sistemi di riconoscimento biometrico alle autorità di law enforcement
Secondo quanto riportato da Forbes, Amazon avrebbe parzialmente accolto l’appello delle associazioni dei diritti civili del 13 maggio scorso (ne abbiamo parlato qui) relativo alla vendita di sistemi di riconoscimento biometrico alle autorità di law enforcement e ha annunciato che prolungherà la moratoria alla vendita in scadenza questo mese. Secondo l’articolo, il 26 maggio gli azionisti saranno chiamati a votare sulla possibilità che sia condotto un audit sui rischi correlati a un utilizzo governativo dei propri software di riconoscimento facciale. [18/05/2021]
Francia
Presentata la strategia nazionale per il cloud
Il Ministro dell’Economia francese, Bruno Le Maire, ha presentato la strategia nazionale francese per il cloud, progetto molto ambizioso che vuole equilibrare le esigenze di cittadini e imprese francesi di accedere ai servizi cloud, oggi in mano principalmente alle big tech americane, e la necessità di tutela della sovranità francese sui dati. Oltre all’irrogazione di sussidi agli sviluppatori di servizi cloud nazionali, la Francia mira a raggiungere l’obiettivo, prevedendo che la PA ricorra a servizi in cloud esclusivamente di operatori francesi, con azionariato francese e con server collocati in UE, i quali potranno ricorrere ai software delle big tech americane solo in licenza. Questo schema dovrebbe salvaguardare i dati dei cittadini francesi dall’operatività del Cloud Act americano, che permette alle agenzie governative USA di accedere ai dati in cloud delle big tech americane indipendentemente dalla collocazione territoriale dei server, e si assesta sulla riga tracciata dalla giurisprudenza Schrems II della Corte di Giustizia Europea. [17/05/2021]
Leggi la strategia nazionale o guarda il video.
Privacy Affairs
Italia prima in Europa per valore delle sanzioni irrogate per violazione del GDPR
In base all’ultimo aggiornamento delle statistiche relative alle sanzioni GDPR irrogate dalle autorità garanti europee curato da Privacy Affairs – gruppo di esperti in privacy e cybersecurity – l’Italia risulta essere il primo Paese europeo per valore delle sanzioni irrogate da quando il GDPR ha acquisito piena efficacia. In tre anni, il Garante italiano ha irrogato sanzioni per oltre 75 milioni di euro, 20 milioni in più rispetto alla seconda classificata, l’Autorità francese. Per numero di sanzioni irrogate invece, il primato va alla Spagna (222 sanzioni irrogate), solo quinta però per valore totale delle sanzioni, mentre il nostro Paese segue al secondo posto (74 sanzioni). [17/05/2021]
Consiglio dell’Unione Europea
Pubblicato il progress report sul Digital Markets Act
Il Consiglio dell’Unione Europea ha pubblicato un progress report sulla proposta di Digital Markets Act presentata dalla Commissione il 15 dicembre 2020, avente ad oggetto il regolamento dei comportamenti da parte dei gatekeeper dei mercati digitali, ovverosia quelle piattaforme online che controllano l’accesso al mondo digitale. In generale, il Consiglio sottolinea come gli Stati Membri abbiano accolto positivamente la proposta, sebbene alcuni punti meritino un’attenzione ed un approfondimento ulteriore. Fra questi, viene ricordata la necessità di armonizzare le disposizioni della proposta con quelle previste dal GDPR, dalle leggi a tutela della concorrenza e della proprietà intellettuale. [17/05/2021]
NOYB (None of Your Business)
Alta Corte Irlandese respinge il ricorso di Facebook
NOYB – associazione non profit attiva nel ramo della protezione dei dati – ha accolto con favore la decisione dell’Alta Corte Irlandese, con la quale i giudici hanno dichiarato che non esistono ostacoli affinché il Garante irlandese porti a compimento il procedimento avviato nei confronti di Facebook in relazione al trasferimento UE-USA dei dati personali degli utenti europei. La decisione arriva dopo il ricorso presentato da Facebook avverso il Garante irlandese, avente ad oggetto l’avvio di una nuova istruttoria da parte di quest’ultimo sul trasferimento transfrontaliero di dati da parte di Facebook, da sommarsi ai ricorsi già presentati da Max Schrems. Il giudice decidente ha ritenuto che il ricorso di Facebook fosse completamente infondato e quindi che l’Autorità fosse pienamente legittimata ad avviare l’istruttoria in questione. Sul tema, il sito del Garante italiano ha pubblicato un intervento del componente Guido Scorza, che evidenzia come la decisione apre a scenari problematici, la cui soluzione non potrà che essere raggiunta dalle istituzioni governative in via diplomatica. [13/05/2021]
Autorità garanti estere
Autorité de protection des données (Autorità garante belga per la protezione dei dati)
Adottato il primo codice di condotta sui servizi cloud
Il Garante belga, a seguito del parare favorevole reso dall’EDPB in occasione della 49esima plenaria, ha adottato il primo codice di condotta europeo sui servizi cloud, ai sensi dell’articolo 40 GDPR. Contestualmente all’adozione del codice, l’Autorità ha accredito SCOPE Europe quale organismo incaricato del monitoraggio dell’osservanza del codice stesso da parte degli aderenti. [20/05/2021]
Autoriteit Persoonsgegevens (Autorità garante olandese per la protezione dei dati)
Sanzionato datore di lavoro per trattamento illecito dei dati sanitari dei dipendenti nel registro delle assenze
Il Garante olandese ha comunicato di aver sanzionato un datore di lavoro per un ammontare pari a 15.000 euro a causa del trattamento illecito dei dati sanitari dei dipendenti nel registro delle assenze. L’istruttoria dell’Autorità ha rivelato che il datore in questione teneva un registro delle assenze dei dipendenti nel quale indicava, quali ragioni dell’assenza, i dati sanitari dei dipendenti (malattie, disturbi psichici, dolori fisici ecc.) che avrebbero dovuto essere conosciuti solamente dal medico competente alla salute e sicurezza sul lavoro. Come se non bastasse, il registro era liberamente accessibile online, senza alcuna forma di autentificazione. [19/05/2021]
ICO (Autorità garante inglese per la protezione dei dati)
Sanzionato provider per aver illecitamente utilizzato i dati raccolti dall’app di contact tracing per finalità di marketing
Il Garante inglese ha comunicato di aver sanzionato il provider dell’app Tested.Me – applicazione di contact tracing che produce un QR code contente le informazioni relative allo stato di salute dell’utente – per aver illecitamente utilizzato i dati raccolti per finalità di marketing, inviando circa 84.000 mila email agli interessati nel periodo tra settembre e novembre del 2020. L’app veniva utilizzata dai datori di lavoro per adempiere alle regole di contact tracing imposte dal governo britannico. La sanzione irrogata è di ammontare modesto, pari ad 8.000 sterline, stante l’apporto collaborativo del titolare sanzionato. [18/05/2021]
Leggi il comunicato e accedi alla decisione.
AEPD (Autorità garante spagnola per la protezione dei dati)
Pubblicata guida sulla protezione dei dati nell’ambito del rapporto di lavoro
Il Garante spagnolo ha pubblicato una guida sulla protezione dei dati nell’ambito del rapporto di lavoro. La guida vuole essere uno strumento di supporto con taglio pratico a servizio dei datori di lavoro-titolari del trattamento affinché trattino i dati dei candidati e dei dipendenti in modo lecito. La guida affronta tutte le principali questioni relative al trattamento dei dati nell’ambito del rapporto di lavoro:
dal processo di selezione dei candidati, sottolineando limiti e condizioni al trattamento di dati pubblicamente accessibili sui profili social del candidato,
alle tecnologie IoT indossabili,
passando per il whistleblowing,
l’utilizzo di sistemi AI
e i trattamenti effettuati nell’ambito di servizi welfare. [18/05/2021]
ICO (Autorità garante inglese per la protezione dei dati)
Il Data Sharing Code è arrivato in Parlamento
Il Garante inglese ha comunicato che il proprio Data Sharing Code è stato depositato dal Governo in Parlamento e che, decorsi 40 giorni, entrerà in vigore. Il Data Sharing Code, pubblicato per la prima volta nel 2011, è uno strumento messo a disposizione dei titolari del trattamento affinché possano condividere set di dati personali che trattano in sicurezza, nel rispetto delle disposizioni che regolano la materia. Questo strumento contiene infatti degli allegati che possono essere utilizzati dai titolari, in particolar modo dalle imprese, per fare una check list delle proprie attività di data sharing e per regolare la condivisione di dati con altri titolari. Inoltre, il Data Sharing Code è completato da una parte di case studies, contenente esempi utili a comprendere quali comportamenti siano leciti e quali no. [18/05/2021]
Leggi il comunicato e accedi al Data Sharing Code.
