I metadati delle comunicazioni di posta elettronica dei dipendenti possono essere conservati dai datori di lavoro, al più tardi, per 7 giorni, prorogabili con motivate ragioni per ulteriori 48 ore.

Lo ha stabilito il Garante all’interno di un provvedimento di indirizzo datato 21 dicembre 2023, reso pubblico il 6 febbraio 2024. Le nuove regole sui metadati hanno colto di sorpresa aziende e professionisti, sollevando malumori in dottrina, anche già solo per la mancanza di spiegazioni in merito alla determinazione di una durata così precisa, rigida e breve. La posizione dell’Autorità di controllo ha enormi impatti concreti, sia per le conseguenze bloccanti (inutilizzabilità dei dati) sia per i profili di responsabilità civile, amministrativa e perfino, in qualche caso, penale che il provvedimento in questione evoca.

Sull’onda delle ampie reazioni negative, lo stesso Garante ha successivamente maturato cautele, tanto da decidere di sottoporre la congruità dei termini e di altri passaggi a consultazione pubblica con un pacchetto di atti amministrativi reso disponibile il 27 febbraio 2024. La consultazione si è aperta il 16 marzo con la pubblicazione del relativo avviso in Gazzetta Ufficiale (serie generale, n. 64) e avrà termine il prossimo 15 aprile.

Si può partecipare, facoltativamente, inviando osservazioni presso la sede di piazza Venezia n. 11 – 00187 Roma o all’indirizzo di posta elettronica ordinaria protocollo@gpdp.it oppure via pec a protocollo@pec.gpdp.it, indicando nell’oggetto «Consultazione sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica».

Va tenuto in ogni caso presente che gli apporti che perverranno non vincolano in alcun modo l’Autorità: “I contributi inviati dai partecipanti alla consultazione non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successive determinazioni del Garante”.

Facciamo dunque un punto sull’intera vicenda, con l’auspicio che possa essere utile alle imprese e ai professionisti che intendono partecipare alla consultazione pubblica. In particolare, saranno analizzati:

1. i passaggi essenziali del provvedimento sui metadati;
2. la logica giuridica sottostante;
3. i principali elementi di perplessità; e,
4. a monte, la questione più generale se il Garante disponga o non disponga del potere di imporre preventivamente e in senso generale termini di conservazione. Sia permesso sottolineare l’importanza di quest’ultimo punto, che costituisce la premessa logica idonea a travolgere non solo l’intera operazione prescrittiva del Garante ma anche tutte le altre similari su argomenti diversi.

I passaggi essenziali del provvedimento di indirizzo

Punto di partenza del ragionamento è che i metadati delle mail dei dipendenti sono dati personali, come tali sono sottoposti alla disciplina del GDPR, il regolamento (UE) 2016/679. Il passaggio è incontestabile, nella misura in cui essi siano collegati a un account email riferibile a uno specifico individuo. La nozione di “dato personale” è infatti quella di “qualsiasi informazione”, purché “riguardante una persona fisica” almeno identificabile, cfr. art. 4.1) GDPR.

Siccome la persona fisica in questione è un lavoratore subordinato, viene intercettata non solo la normativa sulla protezione dei dati personali, ma anche quella giuslavoristica, e in particolare – almeno in ipotesi – l’art. 4 dello Statuto dei lavoratori, l. 300/1970, che proibisce, in linea generale, i controlli a distanza sui dipendenti.

Ma perché l’Autorità italiana sui dati personali dovrebbe occuparsi dell’art. 4 dello Statuto? Anche questo è in realtà un punto pacifico. Occorre infatti tenere presente che il principale tassello della normativa italiana di adeguamento al GDPR, ossia il cd. “codice privacy”, d.lgs. 196/2003, richiama appunto espressamente il menzionato articolo 4 dello Statuto, vedasi in proposito gli artt. 114 e 171 cod. priv.. È del resto lo stesso terzo comma della disposizione lavoristica in esame a prescrivere espressamente il “rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Tali molteplici collegamenti permettono, e nello stesso tempo perimetrano, la diretta competenza del Garante.

Fermata dunque la cornice giuridica, veniamo al contenuto. I metadati di cui viene prescritta la conservazione per, al più tardi, 7/9 giorni sono, in via esemplificativa, i seguenti: “giorno, ora, mittente, destinatario, oggetto e dimensione dell’email”. Nel provvedimento del 21 dicembre 2023 non era fornita una soddisfacente definizione dei processi coinvolti, il che ha aperto a speculazioni e ipotesi.

Poi, nell’ultimo pacchetto di precisazioni l’Autorità di controllo ha lasciato intendere che i processi sono quelli riguardanti i “metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta elettronica e relativi alle operazioni di invio, ricezione e smistamento dei messaggi di posta elettronica (che possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei computer coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione e di ricezione, la dimensione del messaggio, la presenza e la dimensione degli eventuali allegati, in certi casi anche l’oggetto del messaggio spedito o ricevuto)”, cfr. GPDP, provv. 24 febbraio 2024, avviso pubblico di avvio della consultazione. Un perimetro dunque molto vasto. I trattamenti descritti sono evidentemente necessari al funzionamento stesso dei protocolli di gestione della posta elettronica, rilievo che rende ancora più drastico e impattante il provvedimento di indirizzo.

Gli ulteriori passaggi salienti esposti dal Garante appaiono i seguenti:

• la conservazione dei metadati, anche di durata molto breve, va puntualmente motivata e contenuta;
• deve essere, verosimilmente, preceduta da una valutazione d’impatto (DPIA);
• fermo restando che può essere effettuata solo per finalità lecite, va preventivamente concordata con le rappresentanze sindacali oppure autorizzata dall’Ispettorato nazionale del lavoro (INL) ove superi il predetto termine massimo di 7/9 giorni.

I temi toccati sono in realtà più ampi e complessi, ma credo che quelli sopra esposti costituiscano una buona sintesi degli snodi più rilevanti. Sono tutti conseguenze applicative della sottostante logica giuridica seguita dall’Autorità.

La logica giuridica sottostante

L’art. 4 dello Statuto fu introdotto all’inizio degli anni ’70 con un preciso obiettivo: tutelare i dipendenti da videocamere di sorveglianza e/o microfoni, quali strumenti di controllo a distanza. Una garanzia che esprime lucidità e capacità di governare anche le future evoluzioni dei contesti di lavoro.

Mentre gli “impianti audiovisivi” restano ancora oggi l’oggetto principale della disposizione anche dopo le modifiche intervenute, come si evince sia dalla rubrica sia, soprattutto, dal primo comma, richiede invece un passaggio motivazionale in più, non immediato e non pacifico, considerare i metadati delle email alla stregua di “altri strumenti di controllo”, come fa appunto il Garante.

Orbene, affinché sia consentito l’uso di strumenti “dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” occorrono due condizioni essenziali, come si è accennato: (i) che i controlli siano posti in essere per specifiche finalità lecite indicate dal legislatore; (ii) che sia in ogni caso raggiunto un previo accordo sindacale o, in mancanza, sia ottenuta un’autorizzazione dell’INL.

Si danno due casi sottratti al meccanismo generale descritto: quello degli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” e quello degli “strumenti di registrazione degli accessi e delle presenze”. Ora, la posta elettronica cade, pacificamente, nel primo gruppo, serve cioè a svolgere la prestazione lavorativa, tuttavia secondo il Garante, decorsi 7/9 giorni, ciò non sarebbe più vero rispetto ai relativi metadati, come se il passare del tempo determinasse il cambiamento ontologico di questi ultimi, vale a dire come se essi cessassero improvvisamente di essere una componente necessaria dello strumento di lavoro. Il passaggio appare privo di convincente motivazione, ma da esso l’Autorità trae il sicuro obbligo di assolvere alla descritta procedura di accordo/consultazione.

Il resto del provvedimento d’indirizzo è piuttosto riconducibile all’applicazione diretta di disposizioni del GDPR, in particolare all’articolo 5 che enuncia i principi da osservare nel trattamento di dati personali. La previsione, è noto, costituisce uno dei componenti strutturali della normativa, come più volte evidenziato dalla Corte di giustizia.

Infine, l’obbligo, se del caso, di procedere a DPIA va collegato all’art. 35 GDPR e soprattutto alle linee guida del 4 ottobre 2017 pubblicate e ratificate dalle autorità di controllo dell’Unione sui dati personali, vale a dire Garante e omologhi (ex WP29/EDPB).

Principali punti critici del provvedimento sui metadati

Termine privo di motivazione – Uno dei più evidenti elementi di perplessità, come osservato dai più, è che la precisazione del termine di conservazione di 7/9 giorni appare introdotta dal Garante senza alcuna motivazione. Manca cioè del supporto di un ragionamento che la renda verificabile razionalmente e giustificata giuridicamente. Inoltre, manca di un collegamento logico con il conseguimento della specifica finalità per cui i metadati sono trattati. Per la precisione, le finalità di trattamento possono qui essere più d’una, sono anzi certamente più d’una, dunque vanno necessariamente definiti tempi di durata diversi. Già questa considerazione appare inconciliabile con il termine massimo unico prescritto dall’Autorità. In definitiva, è proprio l’articolo 5 GDPR a imporre un approccio complesso, ispirato a necessità e proporzionalità, e motivato in stretta relazione alle finalità conseguite.

Il provvedimento non riguarda direttamente i grandi fornitori di soluzioni cloud – “È emerso” indica l’Autorità “il rischio che programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori in modalità cloud, possano raccogliere, per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti […], conservando gli stessi per un esteso arco temporale”. Da questa premessa, ci si attenderebbe che il Garante attenzioni prima di ogni altra cosa tali grandi fornitori, anziché la moltitudine delle società e dei professionisti che se ne servono. L’Autorità è tenuta infatti a verifiche nei confronti dei responsabili del trattamento (tali sono i prestatori delle soluzioni in cloud) ove se ne ipotizzi la violazione dell’art. 32 GDPR. Sarebbe apparso l’approccio più efficace, poiché svolto nei confronti di pochi soggetti alla fonte, e tutto sommato più equo, visto che lo stesso Garante riconosce che i grandi fornitori pongono talvolta altresì “limitazioni al cliente (datore di lavoro) in ordine alla possibilità di modificare le impostazioni di base del programma informatico al fine di disabilitare la raccolta sistematica di tali dati o di ridurre il periodo di conservazione degli stessi”. La leva è in definitiva nelle mani di software house di primo piano, che tuttavia, a parte un generico invito a “a tenere conto del diritto alla protezione dei dati tenuto conto dello stato dell’arte”, appaiono fuori dal raggio applicativo del provvedimento.

I metadati sono parte essenziale della posta elettronica – I metadati sono componenti essenziali dello strumento di posta elettronica, e non solo perché contenuti negli header, ma in senso più ampio e pregnante: una corrispondenza senza mittente, destinatario, data, oggetto non è più una corrispondenza, ma testo libero, inutilizzabile. Uno strumento di lavoro deve essere integro e disponibile per tutto il tempo necessario all’attività per cui è adottato.

Il provvedimento del Garante è contemporaneamente prescrittivo e carente degli elementi per esserlo – Indubbiamente l’enunciazione di un termine così netto, 7/9 giorni, costituisce un passaggio prescrittivo incapsulato entro il corpo di linee guida. Come tale, i destinatari del precetto dovrebbero poterlo impugnare. Tuttavia, il provvedimento che ci occupa manca della precisazione della possibilità di ricorso, che è invece necessaria nei provvedimenti vincolanti dell’Autorità, come peraltro ricorda anche il considerando 129 GDPR. Ciò determina una notevole anomalia e reca pregiudizio al diritto di difesa dei destinatari dell’obbligo. Questa considerazione apre anche il ragionamento all’obiezione principale: può il Garante introdurre liberamente termini di conservazione dei dati personali di portata generale e preventiva? Ad avviso di chi scrive la risposta è negativa.

Il Garante non può derogare al principio di accountability

Il punto centrale è qui proprio l’art. 5 GDPR, che al paragrafo secondo introduce il noto principio di “accountability”, in italiano “responsabilizzazione”. Non che il Garante non lo menzioni nel provvedimento sui metadati, ma lo fa senza trarne le radicali conclusioni che ne derivano linearmente.

In base a tale principio, non compete all’autorità di controllo, ma al titolare del trattamento (quindi al datore di lavoro), stabilire i termini di conservazione dei dati personali. Ogni titolare del trattamento potrà determinarli in maniera diversa, vale a dire con durate diverse, e dovrà, ovviamente, essere in grado di motivare il termine scelto. Per farlo, dovrà inoltre individuare le finalità di trattamento dei metadati, calandole, nella misura possibile, sul suo caso concreto, e collegare a ciascuna di esse una durata. Va cioè escluso che si possano avere termini assolutamente coincidenti per più titolari e che siano sovrapponibili i termini di conservazione dei metadati per finalità di utilizzo della posta elettronica come strumento lavorativo, quelli di conservazione degli stessi per finalità di sicurezza informatica oppure ancora quelli di conservazione per finalità di esercizio e tutela di diritti. Cade con ciò completamente, ad avviso di chi scrive, la logica del termine massimo unico.

Ora, la regola dell’accountability costituisce un principio portante del GDPR, per questo ha destato stupore che il provvedimento in commento lo abbia sostanzialmente ignorato o, meglio, ridotto a operare entro lo spazio massimo di conservazione fissato invece d’autorità dal Garante.

La posizione centrale, di pilastro della normativa, occupata dall’art. 5 si riflette peraltro sulla sussistenza di limitatissime deroghe allo stesso. Nella specie nessuna di esse appare ravvisabile. Questo pone un limite fondamentale all’iniziativa del Garante, e soprattutto lo pone a monte.

Neppure la normativa nazionale richiamata come base del provvedimento d’indirizzo, ossia il comma 1, lett. a) dell’art. 154-bis cod. priv. sembra consentire contenuti prescrittivi: il legislatore parla chiaramente di “linee guida”, ossia testi di semplice chiarimento della disciplina in vigore.

Resta in ogni caso fermo che la normativa di adeguamento nazionale, come è appunto il codice privacy, non potrebbe mai introdurre deroghe all’art. 5 GDPR fuori dalle pochissime ipotesi consentite dal Regolamento.

Conclusioni

La conservazione così breve dei metadati delle email di lavoro è chiaramente bloccante per ogni attività economica privata, ma anche per l’agire pubblico (le previsioni in parola si applicano infatti anche alla pubblica amministrazione). Introduce inoltre un’impraticabile riduzione a una sola durata di periodi necessariamente diversi perché rispondenti a finalità diverse, rimesse alla competenza di ciascun titolare, a cui incombe naturalmente l’onere di dimostrarne la congruità.

Dunque è certamente positivo che il Garante abbia voluto creare, sia pure in seconda battuta, un’occasione di ampio coinvolgimento quale è appunto una consultazione pubblica. È altresì chiaro, per la stessa ragione, che questa volta qualcosa non ha funzionato inizialmente nei meccanismi interni di controllo dell’Autorità sui propri atti amministrativi. Lo dimostra la circostanza stessa che la consultazione pubblica investe elementi centrali del provvedimento d’indirizzo, vale a dire la “congruità […] del termine di conservazione dei metadati” “e più in generale […] le forme e modalità di utilizzo” degli stessi. L’auspicio è dunque che l’Autorità, ad esito della consultazione, ponga mano a una revisione radicale degli elementi di natura precettiva. Preceduta o no da consultazione pubblica, la fissazione di termini di durata appare infatti possibile, ai sensi del GDPR, soltanto al datore di lavoro titolare del trattamento, che non può trovarsi chiuso, a parere di chi scrive, entro una stretta gabbia temporale imposta d’ufficio dall’Authority.

Molti altri passaggi delle linee guida, sostanzialmente quasi tutti, costituiscono invece un’esposizione pregevole, in quanto offrono una sintesi delle regole applicabili, certamente opportuna per la comprensione e la pratica applicazione generale perché illustra i rapporti tra più livelli normativi, cercando di chiarirne l’intersezione. Sotto questo profilo, è certamente opportuno, a parere di chi scrive, che il Garante lasci intatte le parti del provvedimento di indirizzo genuinamente qualificabili come linea guida.

Articolo a cura di Enrico Pelino, PhD in IT Law, partner e co-fondatore dello studio legale Grieco Pelino Avvocati

https://www.ictsecuritymagazine.com/articoli/metadati-delle-e-mail-dei-dipendenti-il-punto-sul-provvedimento-del-garante-sottoposto-a-consultazione-pubblica/

Il contesto normativo

Da un punto di vista normativo, i principali riferimenti sono rappresentati dall’art. 51 del Codice dell’Amministrazione Digitale (CAD) e dall’art. 32 del Regolamento Generale sulla Protezione dei Dati (GDPR). Entrambe le discipline sottolineano l’obbligo di garantire la confidenzialità, la riservatezza e l’integrità dei dati. Inoltre, stabiliscono l’importanza di implementare procedure per garantire la continuità dei servizi e il ripristino tempestivo dei sistemi in caso di incidenti fisici o tecnici. Vi sono anche altre misure, obiettivi ed azioni da rispettare in tema di sicurezza informatica nel Piano Triennale per l’Informatica delle PA 2024-2026 che richiamano alla necessità di redigere uno specifico piano di sicurezza.

Tutte queste disposizioni esigono adempimenti che, il più delle volte, si ripetono. Ragion per cui diventa importante coordinare le attività, in modo da non replicare i processi finalizzati a garantire la sicurezza. La chiave per bilanciare il contesto normativo e tecnologico è la gestione organica e strutturata del processo e, nel contesto delle pubbliche amministrazioni, particolare importanza assumono in materia le Linee guida e le circolari messe a disposizione dall’Agenzia per l’Italia Digitale (Agid).

Il contesto organizzativo

In qualsiasi organizzazione, la sicurezza informatica si articola in un processo che coniuga aspetti di natura tecnica ed economica, i quali convergono nel contesto organizzativo. A conferma dell’importanza della sicurezza informatica per gli enti pubblici, il CAD all’art. 17 introduce, nel contesto organizzativo della struttura pubblica, la figura del “Responsabile per la Transizione Digitale” (RTD). Uno dei principali compiti dell’RTD consiste nel sensibilizzare i vertici dell’amministrazione sulla consapevolezza dei rischi da attacco informatico, promuovendo delle best practice in ambito della protezione dei dati e servizi digitali. Questo include la facilitazione di sessioni formative, la diffusione di informazioni sulle minacce attuali e la promozione di politiche e procedure di sicurezza per garantire un ambiente digitale resiliente.

A parità di sistemi di protezione e dotazioni tecnologiche, è ormai un fatto consolidato che il punto critico nella catena della sicurezza informatica di un’organizzazione risieda nelle persone. Ciò sottolinea la necessità di gestire la sicurezza informatica attraverso precise azioni organizzative e decisionali, partendo dai vertici delle amministrazioni. È di fondamentale importanza agire su tre fronti principali: fornire linee guida per l’uso sicuro degli strumenti ICT (come previsto dall’art. 12 comma 3-bis del Codice dell’Amministrazione Digitale – CAD), implementare una formazione continua del personale per diffondere la consapevolezza sull’importanza della sicurezza informatica e sui suoi impatti sull’organizzazione (conformemente all’art. 13 del CAD), e infine, considerare nell’ambito dei contratti ICT specifiche garanzie da parte dei fornitori per garantire il rispetto dei requisiti minimi di sicurezza.

Il contesto tecnologico

Dal punto di vista tecnologico, i principali parametri di riferimento comprendono le Misure Minime di Sicurezza ICT per la Pubblica Amministrazione (allegate al n. 2/2017 da parte di Agid). Altri standard di riferimento fondamentali includono le Critical Security Controls della CIS (CIS CVS v.8), le linee guida dell’OWASP e le disposizioni della norma ISO 27001.

Le Misure Minime di Sicurezza di Agid delineano obiettivi di sicurezza (ABSC) suddivisi in criteri minimi (misure al di sotto delle quali nessuna PA può scendere), criteri standard (misure di best-practice per tutte le PA) e criteri avanzati (misure ottimali).

Nella pubblica amministrazione, la sicurezza informatica è essenzialmente il risultato di un processo organizzativo che comprende tecnologie informatiche rispondenti a precise caratteristiche di robustezza, non diverse da quelle normalmente utilizzate nel contesto privato. Anche la strategia italiana per il cloud, pur presentando aspetti che vanno attentamente valutati nel contesto delle pubbliche amministrazioni, rappresenta ad oggi un’opportunità da considerare nella scelta delle soluzioni tecnologiche sicure ed affidabili.

La fase di identificazione

La pianificazione della sicurezza informatica inizia con la fase di “Identify”, in cui vengono individuati, definiti e catalogati tutti gli asset dell’organizzazione. Per asset si intendono tutte le componenti tecnologiche dell’infrastruttura, i servizi, le applicazioni e i dati, nonché le componenti organizzative (persone) e fisiche (spazi e luoghi di lavoro).

La fase successiva è quella del “Risk Assessment”, in cui viene calcolato il livello di rischio, tenendo conto della probabilità che una minaccia sfrutti una specifica vulnerabilità a cui un asset potrebbe essere esposto.

La fase di protezione

Una volta che gli asset e il relativo livello di rischio sono stati identificati, si può procedere alla fase di “Protect”. Sul mercato, sono disponibili numerose soluzioni tecnologiche di protezione, spesso specializzate nella mitigazione di specifici rischi. Pertanto, è consigliabile adottare un approccio complementare che coinvolga diversi sistemi di protezione. In linea generale, e facendo riferimento anche alle misure minime di sicurezza, è possibile categorizzare le tecnologie di protezione in quattro livelli specifici: sistemi di protezione perimetrali (come i Next-Generation Firewall), sistemi di protezione degli end-point (quali antivirus e antimalware), sistemi di autenticazione e autorizzazione (come Identity Manager) e sistemi di demilitarizzazione della rete (tramite VLAN). Il funzionamento ottimale di queste soluzioni tecnologiche dipende dalla capacità dell’organizzazione di mantenerle costantemente aggiornate e patchate.

La fase di difesa

Il campo di protezione spesso non è sufficiente per garantire un livello completo di sicurezza dei sistemi, e pertanto è essenziale includere una specifica fase di difesa proattiva “Detect”. Anche in questo contesto, esistono diverse soluzioni commerciali che consentono di mitigare il rischio prima che si manifesti. Alcuni prodotti di riferimento riguardano la rilevazione proattiva dei controlli degli accessi (come gli IDS – Intrusion Detection System e i NAC – Network Access Control), la rilevazione proattiva delle minacce (come gli IPS – Intrusion Prevention System, SIEM – System Information and Event Management, DLP – Data Loss Prevention, ecc.), e sistemi in grado di fornire un monitoraggio trasversale dell’intero perimetro di sicurezza (come SOC – Security Operation Center e NOC – Network Operation Center).

La fase di risposta e ripristino

Nel contesto della sicurezza informatica, è cruciale integrare nella gestione della sicurezza anche le fasi di “Response” e “Recovery”. Queste fasi sono volte a gestire, rispettivamente, la comunicazione durante un attacco informatico e il ritorno alla normalità dopo l’incidente.

Nella fase di risposta a un attacco informatico, è essenziale gestire le comunicazioni interne ed esterne in modo tempestivo ed efficiente per mitigare possibili ulteriori danni causati dall’incidente. Un approccio comunicativo incentrato sulla massima trasparenza ed apertura verso l’esterno può favorire lo scambio di informazioni e una cooperazione di valore nella gestione dell’emergenza.

La fase di ripristino è volta a ristabilire rapidamente la piena operatività dell’organizzazione e deve essere disciplinata da un apposito piano contenente i soggetti, i compiti e le azioni da eseguire. A questa fase segue la fase di “Mitigation”, il cui obiettivo è riprogettare la sicurezza informatica dell’organizzazione. Questa fase ricalca l’intero processo di pianificazione, iniziando dalla fase di “Identify”, seguendo la logica del miglioramento continuo.

Conclusione

La crescente attenzione da parte degli attacchi informatici, in particolare rivolti verso le amministrazioni è strettamente legata a l’accelerato processo di transizione digitale delle PA, agevolato dalle misure del Piano Nazionale di Ripresa e Resilienza (PNRR). In questo contesto, è cruciale per la Pubblica Amministrazione gestire la sicurezza informatica come elemento di processo. Ciò implica assicurare la confidenzialità, integrità e disponibilità dei dati e dei servizi, seguendo principi “by design” e “by default”.

Articolo a cura di Daniele De Simone

https://www.ictsecuritymagazine.com/articoli/cybersecurity-nella-pubblica-amministrazione-garantire-la-continuita-dei-servizi-attraverso-la-sicurezza-integrata/

Mar 04, 2024 Marina Londei Gestione dati, In evidenza, News, RSS 0

---

Qualche mese fa su Facebook e Instagram è comparso un avviso che chiedeva ai suoi utenti di scegliere se pagare per non avere più pubblicità sui social o continuare a usare il servizio in modo gratuito, acconsentendo alla raccolta e all’analisi dei propri dati. Questa scelta non è piaciuta a otto associazioni dei consumatori dell’UE che hanno presentato denunce contro Meta, accusandola di violare il GDPR.

Dietro la mossa della compagnia c’era l’intenzione di rispettare le leggi UE offrendo una scelta ai consumatori; scelta che, però, è stata giudicata “finta” dalle organizzazioni a protezione dei consumatori e non in linea col regolamento europeo.

Come riporta The Register, l’organizzazione no-profit austriaca NOYB (Non Of Your Business) ha sottolineato che le leggi europee sulla privacy impongono che la scelta sulla condivisione dei dati deve essere libera, e non, come in questo caso, un’alternativa quasi obbligata a una tassa.

Le associazioni dei consumatori affermano che il nuovo modello proposto da Meta per l’uso dei social viola i principi di data protection espressi nel GDPR, come il principio della limitazione delle finalità, dell’offuscamento dei dati, dell’elaborazione etica e trasparente delle informazioni. La scelta di inserire un abbonamento per usare i social senza annunci non offre una vera scelta agli utenti, ed è visto come un modo per costringere i consumatori a condividere i propri dati e continuare a proporre pubblicità.

Contattata da The Register, Meta ha affermato che è pronta a contrastare le accuse, sottolineando che “i nostri obblighi normativi sono estremamente seri e siamo fiduciosi che il nostro approccio sia conforme al GDPR”. La compagnia ha aggiunto che il nuovo modello introdotto per l’uso dei suoi social sia in linea con il regolamento dell’UE.

Le battaglie legali per Meta sembrano non finire mai: l’anno scorso la compagnia ha dovuto pagare una multa da più di un miliardo di euro per aver inviato i dati dei cittadini europei negli Stati Uniti, violando la legislazione UE.

Le organizzazioni dei consumatori hanno presentato le loro denunce lo scorso giovedì, e ora Meta è in attesa di sapere se dovrà imbarcarsi ancora una volta in una dura battaglia legale.

---

---

---

https://www.securityinfo.it/2024/03/04/meta-accusata-di-pratiche-illegali-che-violano-il-gdpr-di-nuovo/?utm_source=rss&utm_medium=rss&utm_campaign=meta-accusata-di-pratiche-illegali-che-violano-il-gdpr-di-nuovo

L’Intelligenza Artificiale non riguarda solo i settori ad alto tasso tecnologico: l’impiego dei relativi strumenti sta mostrando, infatti, di esercitare effetti dirompenti nei contesti più disparati.

Fra questi anche la sanità, dove il massiccio trattamento di informazioni relative alla salute delle persone – cosiddetti dati “ultrasensibili” – impone particolari attenzioni e cautele.

Per questo il Garante della Privacy ha realizzato un Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale, pubblicato lo scorso 10 ottobre al fine di uniformare standard e buone pratiche all’interno del SSN.

I principi del trattamento secondo il decalogo del Garante

Partendo dalle normative di riferimento, nel documento si ricorda anzitutto che “l’elaborazione di dati sulla salute attraverso tecniche di IA richiama i concetti di profilazione e di decisioni sulla base di processi automatizzati” e che “l’uso di tali strumenti è consentito solo se espressamente previsto dal diritto degli Stati membri, nel rispetto di misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati”.

Stabilita la necessità di una preventiva valutazione d’impatto sulla protezione dei dati (VIP) circa l’impiego di tali sistemi, il decalogo cita poi il Regolamento AI in corso di elaborazione presso il Parlamento europeo, che “individua tra i sistemi di IA ad alto rischio quelli che incidono […] sulla salute, sul diritto alle cure e sulla fruizione di servizi sanitari, di assistenza medica, nonché sui sistemi di selezione dei pazienti per quanto concerne l’assistenza sanitaria di emergenza”.

Di conseguenza vengono richiamati i concetti di privacy by design e by default previsti dall’art. 25 del GDPR per disporre che, nella realizzazione di sistemi di Intelligenza Artificiale in ambito sanitario, siano adottate sin dalle fasi di progettazione “misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati”.

Viene menzionato anche il principio di accountability, la cui attuazione impone di individuare correttamente i ruoli di titolare nonché – ove previsto – di responsabile del trattamento, ricordando che “un sistema nazionale di IA in ambito sanitario potrebbe essere acceduto per differenti finalità da parte di una molteplicità di soggetti sulla base di diversi presupposti di liceità”: un evidente richiamo ai numerosi episodi di attacchi informatici andati a segno negli ultimi anni, spesso con effetti disastrosi, contro strutture sanitarie od ospedaliere.

Oltre alle regole generali in materia di trattamento dei dati, il testo del Garante enuclea tre principi particolarmente rilevanti per l’uso di strumenti di IA nella sanità nonché, in senso più ampio, nell’esecuzione di qualsiasi attività di rilevante interesse pubblico:

1. principio di conoscibilità, che attribuisce agli interessati il diritto di conoscere l’esistenza di processi decisionali basati su trattamenti automatizzati e di “ricevere informazioni significative sulla logica utilizzata” in tali processi;
2. principio di non esclusività della decisione algoritmica, che richiede la presenza nel processo decisionale di “un intervento umano capace di controllare, validare ovvero smentire la decisione automatica (c.d. human in the loop)”, anche alla luce del parere congiunto 5/2021 del Garante europeo e del Comitato europeo per la protezione dei dati;
3. principio di non discriminazione algoritmica, che impone di scegliere (o progettare) “sistemi di IA affidabili”. Ciò “anche al fine di garantire siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori, visti i potenziali effetti discriminatori che un trattamento inesatto di dati sullo stato di salute può determinare nei confronti di persone fisiche”: il decalogo cita il noto sistema IA impiegato per valutare il rischio sanitario di oltre 200 milioni di cittadini statunitensi, che come poi rivelato “tendeva ad assegnare un livello di rischio inferiore ai pazienti afroamericani a parità di condizioni di salute, con la conseguenza di negargli l’accesso a cure adeguate” a causa degli inesatti parametri sottostanti alle relative decisioni.

Più in generale si sottolinea l’importanza di garantire la qualità, integrità e riservatezza dei dati sanitari, nonché la correttezza e trasparenza dei relativi processi, per diffondere “consapevolezza nelle collettività di riferimento (nel caso di specie la totalità degli assistiti del Sistema Sanitario Nazionale) in relazione all’impiego dei sistemi di intelligenza artificiale […] garantendo, inoltre, la partecipazione dei differenti stakeholder in relazione al ciclo di vita dei sistemi di intelligenza artificiale per uno sviluppo sostenibile e una governance rispettosa dei diritti degli interessati”.

Il documento si conclude auspicando una più stretta cooperazione delle Autorità Garanti dei vari Paesi al fine di agevolare lo sviluppo di una “trustworthy IA” ed elaborare al più presto, alla luce della rapidissima evoluzione tecnologica in materia, “un modello etico distintivo per la governance dell’intelligenza artificiale”.

A cura della Redazione

https://www.ictsecuritymagazine.com/articoli/intelligenza-artificiale-nella-sanita-standard-e-buone-pratiche-per-mettere-in-sicurezza-i-dati-ultrasensibili/

After five years of fighting legal battles to prevent this undesirable outcome, Meta has finally agreed to ask Instagram and Facebook users in the European Union for consent before targeting them with highly personalized ads, a Wall Street Journal report has revealed.

This means that instead of requiring Meta app users in the EU to agree to invasive data collection used for personalized ads at sign-up, or else fill out a long form to request to opt out, EU users will soon be able to opt in or out by clicking simply yes or no.

The Journal spoke to sources familiar with Meta’s dealings who confirmed that Meta sent a proposal to EU privacy regulators agreeing to shift to this consent legal basis for data collection as early as the end of October.

In a blog today, Meta explained that there will be “no immediate impact” on services, but in the future, the changes will impact app users located in the EU, the European Economic Area, and Switzerland.

Previously, Meta had argued that the EU’s General Data Protection Regulation (GDPR) did not require a consent basis for data collection. Now, Meta said that “a number of evolving and emerging regulatory requirements in the region”—perhaps most “notably how our lead data protection regulator in the EU, the Irish Data Protection Commission, is now interpreting GDPR in light of recent legal rulings”—partly motivated the social media company to agree to at last take this step.

One of those recent rulings came down last month in Norway, which told Meta to either ask for consent or stop showing behavioral ads in Europe. That decision led to a temporary ban on Meta’s behavioral ads in Norway, a move that was applauded by NOYB, an EU consumer rights group that advocates for data privacy and brought several complaints against Meta for allegedly violating the GDPR. After the Norway ruling, NOYB predicted that the temporary ban would be an “important first step” toward requiring Meta to ask for consent to collect data across the EU, and seemingly, that prediction panned out.

Ars could not immediately reach NOYB for comment.

Recently, Meta told EU regulators that making this change represented a “significant hurdle” for Meta and noted that it will “require at least three months to implement,” the WSJ reported. That’s why it seems like making the update by the end of October might be an ambitious deadline. In its proposal, Meta has also offered to wait to implement the change until early next year.

Analysts have suggested that the key reason Meta resisted using a consent legal basis for data collection in the past is because it makes it too easy for app users to opt out. When Apple started asking iPhone users for consent for apps to collect data in 2021, many users opted out, and Meta’s ad revenue took a huge hit as it lost access to a large chunk of third-party data.

Meta only started recovering from those losses this year, and the WSJ noted that Meta’s ad revenue rebound was largely due to Meta tweaking its ad-targeting, likely growing more reliant on its own data collection than third parties’. Therefore, it’s currently unclear how EU users opting out of sharing data directly with Meta will disrupt that forward momentum. It’s possible Meta’s ad revenue could take an even bigger hit because of those tweaks if the algorithm is now overly reliant on the company’s own data collection, which could soon experience a sudden decrease in volume.

In a blog, Meta made some assurances to advertisers that this change won’t hurt its business in the EU.

“Once this change is in place, advertisers will still be able to run personalized advertising campaigns to reach potential customers and grow their businesses,” Meta’s blog said. “We have factored this change into our business outlook and related public disclosures made to date.”

Meta also promised to share more information in the coming months, “because it will take time for us to continue to constructively engage with regulators to ensure that any proposed solution addresses regulatory obligations in the EU.”

Privacy experts are likely to claim Meta’s decision today as a win. Last December, a nonprofit defending data privacy online, the Electronic Frontier Foundation, said that tech companies like Meta using voluntary opt-in consent “should be the baseline requirement for any data collection, retention, or use.”

“And we should take a step further: online behavioral advertising should be banned,” EFF suggested.

https://arstechnica.com/?p=1958197

[Update: Top10VPN’s head of research, Simon Migliano, told Ars that “demand for VPN services is significantly up in a handful of major EU countries, such as Italy (26 percent), France (19 percent) and Sweden (20 percent), and up around 12 percent across the bloc as a whole since the launch of Threads on July 5 compared to the daily average over the 30 days prior. Other countries with significant spikes include Croatia (20 percent), Denmark (23 percent), Greece (22 percent) and Luxembourg (21 percent).” Compared to its neighbors, “privacy conscious” Germany’s VPN “demand is fairly flat” and only up by 5 percent, Migliano said.

Migliano also indicated that it seemed likely that Meta may not be blocking all VPN traffic.

“It’s understandable that Meta would try to block VPN traffic to Threads in the hope of improving their standing with EU regulators looking at their wider business model,” Migliano told Ars. “It does however feel like it’s more for PR purposes than a serious attempt to lock out all EU users keen enough to use a VPN to access Threads. While Meta may well have gone for the low-hanging fruit of blocking easy-to-identify IP ranges, such as those from data centres, it would be much more resource-intensive to identify and block obfuscated VPN traffic for example.”]

This month, Meta’s new Twitter-alternative Threads launched in 100 countries, but not in the European Union, due to potential conflicts between the app’s vast data collection and the EU’s strict data privacy laws. Immediately, reports emerged that some EU users persisted in downloading Threads anyway—by hiding their location and accessing the app via a virtual private network, or VPN.

Now, Meta has confirmed that it has taken measures to block VPN access to Threads in the EU.

“Threads is not currently available in most countries in Europe, and we’ve taken additional steps to prevent people based there from accessing it at this time,” a Meta spokesperson told TechCrunch. “Europe continues to be an incredibly important market for Meta, and we hope to make Threads available here in the future.”

Many EU Threads users have taken to Twitter to confirm that their access has indeed been cut off.

Ars could not immediately reach Meta for further comment.

Threads collects a lot of private information about its users, including health and financial data, precise location, search history, and browsing history, for the purpose of targeting ads. In the EU, not only does the General Data Protection Regulation require minimization of data collection for limited purposes, but the Digital Markets Act (DMA) was specifically designed to make it much harder for tech giants, known as gatekeepers, to track user activity to target ads. Meta could face fines of up to 10 percent of its global revenue for failing to comply with the DMA and up to 20 percent for repeat violations.

Meta was one of seven platforms designated as a potential gatekeeper under the DMA. Because of that, the European Commission has said its apps must comply with the DMA within six months of a quickly approaching September 6 deadline, when the EU plans to officially designate all gatekeepers.

Until Meta figures out how to bring its apps into compliance with the DMA, Threads will likely remain inaccessible to users in many European countries. This could stunt the app’s growth, which started off explosive but has since tapered off, according to data firms Sensor Tower and Similarweb.

Sensor Tower reported that on Monday and Tuesday this week, Threads’ “number of daily active users were down about 20 percent from Saturday, and the time spent for [each] user was down 50 percent, from 20 minutes to 10 minutes,” CNBC reported.

Similarweb’s findings painted a slightly starker picture, reporting that daily active users were down by more than 25 percent from Threads’ peak on July 7 to Monday. Like Sensor Tower, Similarweb also found that average usage time has fallen by 50 percent, “dropping from about 20 minutes on July 6 to just over 8 minutes on July 10,” CNBC reported.

It’s currently unclear how many EU users were accessing Threads during the app’s peak, making it hard to determine how big an impact blocking VPN access in the EU has had on Threads’ traffic. But Similarweb’s senior insights manager, David Carr, told CNBC that he attributes the dropoff to a trend showing that, despite “intense” initial interest in Threads, “not every user has made a habit of visiting Threads as often as they might other social apps.”

Meanwhile, Twitter’s Elon Musk continues to claim that under Twitter’s new metric measuring user seconds per day, Twitter usage is going up. That’s despite reports that Twitter traffic was down while Threads’ traffic surged.

“Looks like this platform may see all-time high device user seconds usage this week,” Musk tweeted.

While Threads gets a lot of heat over collecting a wide range of sensitive information—see how Threads’ data collection compares with Twitter and other Twitter alternatives—a report from Top10VPN found that Threads “pales in comparison to Twitter when it comes to tracking its users across the Internet.”

Top10VPN could not immediately be reached for comment.

https://arstechnica.com/?p=1953967

Stabile il numero di sanzioni, ma è record per il valore

A poco più di 5 anni dalla data di entrata in vigore nell’Unione europea (25 maggio 2018), il Regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation, o GDPR) ha complessivamente prodotto 1.680 multe, per un totale di oltre 4 miliardi di euro.

Secondo i nuovi dati diffusi da AtlasVPN, nel primo semestre del 2023 in tutta Europa sono state emesse sanzioni per circa 1,6 miliardi di euro, il dato più alto dal 2018 ad oggi.

A gennaio 2023 sono state elevate multe per 369,37 milioni di euro, ma è maggio che ha fatto schizzare verso l’alto il valore delle sanzioni emesse, con 1,21 miliardi di euro.

Marzo, invece, è il mese che ha visto il maggior numero di multe per violazione del regolamento, 46, seguito da giugno, con 44.

I dati sono stati forniti dal GDPR Enforcement Tracker, sito che registra le sanzioni comminate dalle Autorità garanti europee di tutela dei dati personali.

Spagna, Italia e Germania in cima alla classifica

Complessivamente, sono state inflitte 237 sanzioni nel primo semestre dell’anno in corso, più o meno in linea con il dato dello stesso periodo dell’anno passato, 239 (ma per un volume totale di appena 100 milioni di euro).

La Spagna è al primo posto con 689 multe, dal 2018 ad oggi, per un valore complessivo di poco più di 60 milioni di euro.

Al secondo posto c’è l’Italia, con 284 multe, ma un cumulo di valore superiore ai 132 milioni di euro. Terzo posto per la Germania, con 160 sanzioni e 55 milioni di euro.

Il GDPR transfrontaliero

È sempre più profondo l’impatto che il GDPR ha sulle imprese e il loro business, esortandole costantemente a migliorare le proprie strategie di data protection e a dare massima priorità al rispetto della privacy.

Un efficace strumento giuridico progettato anche per regolamentare il trattamento e il trasferimento dei dati personali tra gli Stati membri.

Di recente, la Commissione europea ha adottato una proposta per garantire la cooperazione tra le autorità di protezione dei dati nell’applicazione del regolamento generale sulla protezione dei dati (o Gdpr) nei casi transfrontalieri.

Il nuovo regolamento stabilirà norme procedurali concrete destinate alle autorità che applicano il Gdpr nei casi che riguardano persone fisiche che si trovano in più di uno Stato membro.

https://www.key4biz.it/gdpr-nel-primo-semestre-2023-multe-per-168-miliardi-di-euro/453436/

Trasferimenti di dati UE-US: dove eravamo rimasti?

È stato finalmente varato dalla Commissione europea il Data Privacy Framework UE-USA, che dovrebbe metter fine alla travagliata vicenda del trasferimento dei dati personali tra Europa e Stati Uniti.

Il tutto scaturisce, oramai quasi un decennio fa, dalle rivelazioni di Edward Snowden, dalle quali è emerso che i servizi di intelligence americana, apparentemente per finalità antiterrorismo, registravano in maniera indiscriminata i dati dei cittadini europei, avendo accesso alle informazioni raccolte dai fornitori di servizi di comunicazione, tra cui Google, Apple e Facebook.

Nel 2015, la Corte di Giustizia, a seguito di tali rivelazioni, avevano invalidato gli accordi (Safe Harbor) che legittimavano il trasferimento dei dati personali tra Europa e Stati Uniti, costringendole a negoziare frettolosamente nuovi accordi.

Anche queste seconde intese, che avevano dato vita al Privacy Shield, lo “scudo” per la protezione dei dati, sono state nuovamente invalidate nel 2020 dai giudici europei, che hanno concluso che gli Stati Uniti continuassero a non offrire un livello di protezione, nel trattamento dei dati, equivalente a quello europeo. L’accesso indiscriminato, da parte delle autorità pubbliche americane, ai dati sarebbe in contrasto con gli articoli 7 e 8 della Carta di Lisbona, che includono, appunto, il rispetto della vita privata e la protezione dei dati personali tra i diritti fondamentali dell’UE.

Si è così aperto un “terzo tempo” sugli accordi di trasferimento trasfrontaliero: i nuovi negoziati tra Commissione europea e Dipartimento del commercio americano erano ripartiti ed avevano avuto un’accelerazione significativa con l’Executive Order (on Enhancing Safeguards for United States Signals Intelligence Activities) adottato dal Presidente degli Stati Uniti Biden il 7 ottobre scorso.

Cos’è la decisione di adeguatezza?

La Commissione europea ha finalmente dato il via libera alla decisione di adeguatezza, che ricordiamo essere uno strumento previsto dal GDPR per trasferire dati a Paesi terzi che, secondo la Commissione stessa, offrono un livello di protezione dei dati personali paragonabile a quello U.E., anche se non identico (è infatti sufficiente “l’equivalenza essenziale”).

La decisione di adeguatezza copre i trasferimenti di dati da qualsiasi entità, pubblica o privata, nel SEE (Spazio Economico Europeo) a società statunitensi che partecipano al quadro UE-USA sulla privacy dei dati; questo risultato deriva sia da una equivalente protezione applicabile ai dati personali, sia per i meccanismi di controllo disponibili. A tale riguardo, è bene puntualizzare l’esistenza di un elenco di elementi necessari per l’adeguatezza redatto dalle Autorità Europee.

Le società per certificare la loro partecipazione al quadro UE-USA devono impegnarsi a mantenere alcuni obblighi in materia di data protection quali, ad esempio, la limitazione delle finalità, la minimizzazione dei dati e la conservazione dei dati, nonché obblighi specifici relativi alla sicurezza dei dati e alla condivisione dei dati con terze parti. Il Dipartimento del Commercio degli Stati Uniti si occuperà della certificazione e del vigilare sul mantenimento dei requisiti.

Un aspetto molto importante è quello che riguarda le misure vincolanti imposte all’intelligence  statunitense, che accedere ai dati solo se è necessario e in modo proporzionato e adeguato. Un’altra novità molto significativa, considerando che una delle censure della Corte di Giustizia aveva interessato questo aspetto, è l’ istituzione di un meccanismo di ricorso indipendente e imparziale per  gli eventuali reclami dei cittadini dell’Unione Europea per la raccolta dei loro dati a fini di sicurezza nazionale.

I cittadini europei potranno infatti presentare un reclamo alla propria Autorità nazionale per la protezione dei dati (ad esempio, i cittadini italiani al Garante privacy), nella loro lingua, in modo da facilitare il procedimento assicurandosi la corretta trasmissione del reclamo e il recepimento da parte dell’interessato di ogni ulteriore informazione sulla procedura, esito compreso. I reclami saranno trasmessi agli Stati Uniti dal Comitato europeo per la protezione dei dati. Inoltre, i soggetti interessati non dovranno dimostrare che i loro dati sono stati effettivamente raccolti dalle agenzie di intelligence statunitensi per far sì che la loro denuncia risulti ammissibile.

Le denunce saranno esaminate dal Civil Liberties Protection Officer statunitense, che garantirà il rispetto della privacy e dei diritti fondamentali da parte delle agenzie di intelligence statunitensi. I cittadini europei potranno fare ricorso contro la decisione del Responsabile della Protezione delle libertà civili dinanzi al tribunale per il riesame della protezione dei dati (DPRC) di nuova creazione. I membri della Corte sono soggetti esterni al governo degli Stati Uniti, e sono nominati sulla base di specifiche qualifiche, possono essere licenziati solo per giusta causa (come una condanna penale, o essere ritenuti mentalmente o fisicamente inadatti a svolgere i loro compiti) e non possono avere istruzioni del governo. La DPRC ha il potere di indagare sulle denunce di individui dell’UE, anche per ottenere informazioni pertinenti dalle agenzie di intelligence, e può prendere decisioni correttive vincolanti. Ad esempio, se il DPRC rileva che i dati sono raccolti in violazione delle garanzie previste nell’ordine esecutivo, può ordinare la cancellazione di tali dati.

Alla fine dell’indagine del “Civil Liberties Protection Officer” o del DPRC, il denunciante sarà informato che non è stata identificata alcuna violazione della legge statunitense o che è stata rilevata una violazione e vi è stato posto rimedio. In seguito, il denunciante sarà anche informato quando le informazioni riservate sottratte al suo accesso non siano più soggette a requisiti di riservatezza e possano essere ottenute dallo stesso interessato.

La decisione di adeguatezza sarà costantemente monitorata e avrà il primo riesame entro un anno per verificare la correttezza del sistema nel suo funzionamento. Successivamente, e in base all’esito di tale primo riesame, la Commissione deciderà, in consultazione con gli Stati membri dell’UE e le Autorità per la protezione dei dati, sulla periodicità dei futuri riesami, che avranno luogo almeno ogni quattro anni. Le decisioni di adeguatezza possono essere adattate o ritirate se incidano sul livello di protezione nel paese terzo.

Adesso cosa accade?

Innanzi tutto, non occorrerà più ricorrere a standard contractual clauses o binding corporate rules (dove applicabili) per trasferire i dati personali tra Stati Uniti ed Europa: una soluzione invocata da tempo e da tanti e che dovrebbe apportare significativi vantaggi all’economia del vecchio continente.

Per quanto riguarda i servizi utilizzati da molte PA e PMI, la decisione di adeguatezza legittima le offerte di fornitori statunitensi, come, ad esempio, Google Meet, Microsoft Teams e, soprattutto, Google Analytics e Google Font, nell’occhio del ciclone dopo le migliaia di diffide inviate da MonitoraPA.

Il futuro, però, potrebbe essere incerto: NOYB, l’associazione di attivisti per la tutela dei dati personali, ha già annunciato che ricorrerà alla Corte di Giustizia. Ci attendono nuovi sequel in questa saga infinita?

https://www.key4biz.it/finalmente-il-data-privacy-framework-ue-usa-cosa-succede-adesso/453251/

Sweden on Monday ordered four companies to stop using a Google tool that measures and analyses web traffic as doing so transfers personal data to the United States, fining one company the equivalent of more than $1.1 million.

Sweden’s privacy protection agency, the IMY, said it had examined the use of Google Analytics by the firms following a complaint by the Austrian data privacy group noyb (none of your business) which has filed dozens of complaints against Google across Europe.

Noyb asserted that the use of Google Analytics for web statistics by the companies resulted in the transfer of European data to the United States in violation of the EU’s data protection regulation, the GDPR.

The GDPR allows the transfer of data to third countries only if the European Commission has determined they offer at least the same level of privacy protection as the EU, and a 2020 EU Court of Justice ruling struck down an EU-US data transfer deal as being insufficient.

The IMY said it considers the data sent to Google Analytics in the United States by the four companies to be personal data and that “the technical security measures that the companies have taken are not sufficient to ensure a level of protection that essentially corresponds to that guaranteed within the EU…”

It fined telecommunications firm Tele2 12 million kronor and online marketplace CDON 300,000 kronor.

Grocery store chain Coop and Dagens Industri newspaper had taken more measures to protect the data being transferred and were not fined.

Tele2 had stopped using Google Analytics of its own volition and the IMY ordered the other companies to stop using it.

IMY legal advisor Sandra Arvidsson, who led the investigation, said the agency has the rulings “made clear what requirements are placed on technical security measures and other measures when transferring personal data to a third country, in this case the United States”.

Nyob welcomed the IMY’s ruling.

“Although many other European authorities (e.g. Austria, France and Italy) already found that the use of Google Analytics violates the GDPR, this is the first financial penalty imposed on companies for using Google Analytics,” it said in a statement.

At the end of May, the European Commission said it hoped to conclude by the end of the summer a new legal framework for data transfers between the EU and United States.

The GDPR, in place since 2018, can lead to penalties of up 20 million euros or four percent of a company’s global revenue.

Related: EU Court Deals Blow to Meta in German Data Case

Related: TikTok’s Trials and Tribulations Continue With UK Data Protection Fine

https://www.securityweek.com/sweden-orders-four-companies-to-stop-using-google-tool/

La Commissione europea ha adottato una proposta per garantire la cooperazione tra le autorità di protezione dei dati nell’applicazione del regolamento generale sulla protezione dei dati (o Gdpr) nei casi transfrontalieri.

Il nuovo regolamento stabilirà norme procedurali concrete destinate alle autorità che applicano il Gdpr nei casi che riguardano persone fisiche che si trovano in più di uno Stato membro.

Sintesi delle questioni chiave

Ad esempio, introdurrà l’obbligo per l’autorità di protezione dei dati di inviare alle controparti interessate una “sintesi delle questioni chiave” sui principali elementi dell’indagine e le sue opinioni sul caso, consentendo così loro di esprimersi in una fase preliminare dei procedimenti. La proposta contribuirà anche a ridurre i contenziosi e a facilitare il consenso tra le autorità sin dalle fasi iniziali dei procedimenti.

Le nuove norme chiariranno inoltre le informazioni che le persone fisiche devono fornire quando propongono un reclamo e garantiranno che le stesse siano adeguatamente coinvolte nel procedimento.

Diritti alla difesa delle aziende

La proposta mette ordine anche tra i diritti alla difesa delle aziende durante le indagini intraprese da un’autorità di protezione dei dati su una presunta violazione del Gdpr. Nello specifico, la proposta armonizza i requisiti per la ammissibilità per un reclamo transfrontaliero, eliminando gli attuali ostacoli dovuti alle diverse norme seguite dalle varie autorità nazionali.

La proposta conferisce inoltre alle parti oggetto dell’indagine il diritto di essere ascoltate nelle fasi chiave della procedura.

In base alla proposta della Commissione, le autorità di protezione dei dati saranno in grado di esprimersi in una fase precoce delle indagini e di avvalersi di tutti gli strumenti di cooperazione previsti dal Gdpr, quali le indagini congiunte e l’assistenza reciproca. Tali disposizioni rafforzeranno la capacità delle autorità di protezione dei dati sui casi transfrontalieri, faciliteranno il rapido raggiungimento del consenso nelle indagini e ridurranno i contenziosi successivi. 

Nuovo GDPR, Tech Company (CCIA): ‘Tempi troppo stretti per difenderci nei processi’

Critica la reazione della CCIA (Computer & Communications Industry Association), l’associazione che rappresenta le principali Tech Company fra cui Meta e Google, secondo cui il nuovo regolamento non risolve i principali problemi legati al GDPR. In una nota l’associazione contesta che

“Le nuove norme di applicazione del quadro europeo sulla privacy mirano ad armonizzare le pratiche e le leggi nazionali esistenti, ad esempio concedendo agli imputati il diritto a un equo processo prima che una decisione sia presa da un’autorità nazionale per la protezione dei dati (DPA) o dal Comitato europeo per la protezione dei dati (EDPB ).

Tuttavia, ogni volta che le autorità nazionali non possono prendere una decisione e inoltrare il caso all’EDPB, le aziende avranno solo una settimana (due settimane in casi limitati) per rispondere a nuove accuse o presunte prove presentate dall’EDPB. Ciò è particolarmente preoccupante, in quanto non lascia tempo sufficiente a qualsiasi imputato per rispondere a ulteriori prove o nuove interpretazioni della legge, che vengono sempre più introdotte solo una volta che il caso è nelle mani dell’EDPB

Inoltre, alle imprese non è ancora concesso il diritto di presentare ricorso contro le decisioni vincolanti dell’EDPB, nemmeno quando le riguardano direttamente. Non riconoscere questo diritto fondamentale degli imputati nei procedimenti dell’EDPB va contro i principi legali molto basilari”, avverte CCIA Europe.

https://www.key4biz.it/gdpr-commissione-ue-rafforza-la-cooperazione-fra-autorita-ma-le-big-tech-non-ci-stanno/452147/