Novità privacy: verso un nuovo Privacy Shield, adeguamento alla sentenza Schrems II

Panorama italiano
AGCM (Autorità Garante della Concorrenza e del Mercato)
Sanzione da 2 milioni a società del Gruppo Telepass
L’AGCM ha sanzionato Telepass S.p.A. e Telepass Broker S.p.A per una pratica commerciale ingannevole realizzata tramite l’app destinata a fornire preventivi per la distribuzione di polizze R.C.A. ai clienti titolari degli abbonamenti Telepass Family e Telepass Viacard. In particolare, l’Autorità ha ravvisato che (i) le due società hanno condiviso le informazioni sui propri utenti con compagnie e intermediari di assicurazione senza averli adeguatamente informati sulla raccolta e sul modo di utilizzo dei loro dati, anche a fini commerciali; (ii) esse non avevano adeguatamente rappresentato i soggetti fornitori delle polizze ai clienti, e (iii) non avevano fornito informazioni sui criteri e sui parametri seguiti per la selezione del preventivo proposto. L’assenza di tutte queste informazioni nella privacy policy, secondo l’AGCM, ha portato i clienti dell’App a concludere contratti assicurativi che altrimenti non avrebbero stipulato. [18/03/2021]
Garante per la protezione dei dati personali
Pubblicata raccolta delle principali disposizioni relative all’emergenza Covid-19 con impatto sulla protezione dei dati personali
Il Garante ha raccolto tutte le principali disposizioni legislative correlate alla normativa d’emergenza Covid-19 che abbiano un’implicazione in materia di protezione dei dati personali. La raccolta si compone di oltre 1300 pagine ed è suddivisa per ambiti di trattamento quali, ad esempio, “sanità e ricerca”, “scuola” e “lavoro”. [18/03/2021]
Dal mondo
Commissione UE
Intensificati i negoziati per un nuovo Privacy Shield
Il Commissario Europeo per la Giustizia (Didier Reynders) e il Segretario U.S.A. per il Commercio (Gina Raimondo) hanno dichiarato che i negoziati per l’adozione di un nuovo Privacy Shield che sia conforme alla sentenza della Corte di Giustizia Schrems II si sono intensificati. L’avvento di una nuova decisione di adeguatezza permetterà a cittadini ed imprese europee e statunitensi di godere dei benefici economici connessi al trasferimento dei dati UE-USA, anche e soprattutto nell’ottica di ripresa economica degli effetti legati al Covid-19. [25/03/2021]
CRS (Congressional Research Service)
Pubblicato report sugli impatti della giurisprudenza Schrems II
Il Congressional Research Service – organismo del Congresso degli Stati Uniti d’America che elabora contributi spunto per la normazione dell’istituzione legislativa – ha reso disponibile un report sulla giurisprudenza Schrems II e sugli impatti dell’invalidazione del Privacy Shield sul flusso di trasferimento di dati tra UE e USA. Il documento, dopo aver individuato il centro della questione nella incompatibilità della legislazione USA sull’accesso ai dati da parte delle Agenzie di intelligence statunitensi con le garanzie del GDPR, propone di risolvere la questione o sulla base di negoziati tra UE e USA, oppure tramite l’adozione da parte del Presidente degli Stati Uniti di un ordine esecutivo che limiti tale potere delle Agenzie. [17/03/2021]
ENISA (Agenzia dell’Unione europea per la cybersecurity)
Quando e come segnalare gli incidenti di sicurezza
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) pubblica le nuove linee guida per facilitare le autorità nazionali di sicurezza delle telecomunicazioni nella segnalazione di incidenti significativi all’ENISA e alla Commissione europea ai sensi del Codice europeo delle comunicazioni elettroniche (EECC). [22/03/2021]
ENISA (Agenzia dell’Unione europea per la cybersecurity)
Dichiarazione sulle vulnerabilità di Microsoft Exchange
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha fornito una dichiarazione con una valutazione e consulenza sulle vulnerabilità di Microsoft Exchange. [19/03/2021]
Autorità garanti estere
CNIL (Autorità Garante francese per la protezione dei dati)
Incendio OVH: bisogna avvisare il CNIL?
A seguito dell’incendio del 10 marzo 2021 avvenuto in un data center OVH a Strasburgo, la CNIL ribadisce gli obblighi in materia di notifica di violazione in caso di indisponibilità o distruzione dei dati personali. [22/03/2021]
APD (Autorità garante belga per la protezione dei dati)
Disponibili nuovi template per titolari e responsabili del trattamento
Il Garante belga ha messo a disposizione dei titolari e dei responsabili del trattamento nuovi strumenti documentali di compliance al GDPR. Nello specifico, l’Autorità ha pubblicato: (i) un modello di registro semplificato per le attività di trattamento; (ii) un documento-guida le verifiche correlate alla comunicazione di dati tra le agenzie federali; (iii) un template per la comunicazione di dati personali tra agenzie federali; e (iv) un set di documenti informativi concernenti i principali adempimenti a cui sono tenute le PMI in forza del GDPR. [16/03/2021]