ACCORDO SU TRASFERIMENTO DATI NEGLI USA VALIDO DAL 10 LUGLIO 2023
Dal 10 luglio tutte le multinazionali e i big del web che trattano dati di cittadini europei hanno un nuovo accordo UE-Usa sul trasferimento dei dati. Infatti la Commissione Europea ha terminato il suo iter il 10 luglio adottando con validità immediata “EU-US Data Privacy Framework” che sostituisce Safe Harbour e Privacy Shield, decaduti con le sentenza Schrems I e II. Le nuove disposizioni riguardano i cittadini dei 27 paesi UE e anche Norvegia, Islanda e Liechtenstein. Mentre finora erano necessari contratti circostanziati per rafforzare la tutela della protezione dei dati personali trasferiti, ora la Commissione giudica affidabili gli Stati Uniti, in quanto sono stati adottate procedure più idonee alla tutela dei diritti e delle libertà dei cittadini europei: ad esempio sono stati implementati i diritti di accesso e rettifica e il diritto alla contestazione da parte dell’interessato e sono state implementate altre misure di sicurezza. Secondo il nuovo regolamento le imprese americane dovranno avere anche una certificazione che dimostri che rispettano i principi del GDPR (trasparenza, minimizzazione, integrità, finalità, esattezza etc). La certificazione sarà rinnovata annualmente e le imprese saranno controllate dalla Federal Trade Commission e dal Dipartimento del commercio. L’interessato ha la possibilità di far ricorso ai tribunali USA in caso di anomalie e se i ricorsi riguardano dati personali trattati da Agenzie di intelligence gli europei possono fare ricorso nella loro lingua e trasmetterlo al Board europeo EDPB. La Commissione europea tra un anno farà delle verifiche sull’affidabilità del framework, ma alcuni attivisti non escludono nuovi ricorsi adducendo che la normativa USA non è cambiata in merito alla tutela dei dati personali. Il tanto agognato Regolamento federale sulla Privacy non ha ancora visto la luce, mentre alcuni stati come la California hanno da tempo una normativa specifica. Il consiglio degli esperti alle imprese è di non affidarsi completamente al nuovo Framework che potrebbe essere invalidato, ma continuare a esercitare controlli stretti sul trasferimento dei dati all’estero, specie quelli su cloud domiciliati negli Usa, vale a dire la stragrande maggioranza delle mega aziende.
IL GARANTE ITALIANO INDAGA SU PORNOHUB
Finiscono lì molti video intimi di partner ignare e non consenzienti: grazie alla segnalazione di un utente il Garante italiano ha chiesto alla società MG Freesites Ltd con sede a Cipro di chiarire gli aspetti privacy del sito Pornohub da loro gestito. In particolare devono spiegare se effettuano la profilazione dei clienti, se usano cookie diversi da quelli tecnici e come raccolgono il consenso nel caso le persone creino un proprio account. Inoltre come è successo per altri siti e app come Tik Tok l’Authority chiede come viene verificata l’età del fruitore.
FIDELITY CARD: 240 MILA EURO DI MULTA PER NEGOZI BENETTON
Il Gruppo Benetton ha dovuto pagare una multa di 240 mila euro per trattamento illecito di dati di clienti ed ex-clienti che aderivano alla Fidelity Card dei negozi di abbigliamento. In sostanza le indagini della Guardia di finanza e del gruppo del Garante ha appurato che dati degli contrini, punti e dettagli degli acquisti venivano conservati integralmente dal 2015, senza alcun rispetto per il principio di Data Retention (24 mesi). Inoltre il data base aziendale era visibile per tutti i dipendenti dei negozi di sette paesi europei e anche attraverso pc, smartphone e tablet senza alcuna password personalizzata, ma con un unico account e una sola password. Infine Benetton condivideva i “suoi” dati con TikTok e Facebook, in quanto partner commerciali.
RELAZIONE ANNUALE 2022: 442 PROVVEDIMENTI COLLEGIALI
Ai primi di luglio il Garante per la protezione dei dati personali ha presentato la sua relazione annuale, relativa quindi all’attività dello scorso anno. 442 sono i provvedimenti collegiali, 81 i pareri amministrativi e normativi, quasi 9,5 milioni le sanzioni riscosse, 140 le ispezioni, quasi 16.500 le comunicazioni con l’URP. Oltre 4 milioni e 300 mila gli accessi al sito web. Sta anche crescendo il numero di data breach notificati al Garante da parte di soggetti pubblici e privati, che hanno toccato 1.351. Il 31,2% riguarda enti pubblici come comuni, istituti scolastici e strutture sanitarie, mentre il 68,8% dei casi tocca imprese private come PMI, professionisti e grandi società del settore delle telecomunicazioni, energetico bancario e dei servizi. Il presidente del Garante Stanzione ha sottolineato come le normative privacy siano “un potente strumento di redistribuzione del potere” e ha aggiunto che se ai tempi di Rodotà si trattava “di “democratizzare” la privacy, emancipandola dalla dimensione tradizionalmente borghese del right to be let alone, oggi la sfida è rendere questo straordinario diritto di libertà – con l’evoluzione che l’ha caratterizzato – protagonista di uno sviluppo inclusivo e umano-centrico del digitale”.
CONVEGNO GARANTE A BOLOGNA CON 600 DPO
Il 2023 è l’anno dei DPO, Data Protecion Officer o RPD, Responsabile della Protezione dei dati personali, come stabilito dal board europeo EDPB. Il presidente dell’Authority italiana, Pasquale Stanzione davanti a 600 DPO di imprese pubbliche e private alla fine di giugno a Bologna ha detto che: “dalla figura del RPD dipende la ‘scommessa’ dell’accountability, cioè la capacità di fare della protezione dati non un costo ma una risorsa, un fattore di vantaggio competitivo da offrire a un mercato sempre più fondato sui dati, dei quali è quindi indispensabile assicurare protezione, qualità, esattezza, sicurezza”.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021), acquistabile anche in digitale sul sito francoangeli.it. E’ in libreria il nostro nuovo volume, ‘La Privacy dei dati digitali’, un manuale pratico in aiuto alle aziende e ai Dpo, pubblicato sempre per FrancoAngeli editore.