Il mensile della privacy: Agosto 2023

Image of Carlo Cilento

Pubblicato il 24 ago 2023 e modificato il 13 set 2023 da Carlo Cilento

  1. La Commissione europea finalizza il quadro di riferimento per il trasferimento dei dati negli Stati Uniti
  2. La Commissione europea vuole smantellare le attività di Google
  3. Meta cambierà di nuovo la politica sulla privacy dopo la sentenza della CGUE
  4. L'UE procede con la legislazione digitale
  5. 24 Stati USA chiedono di limitare i danni dopo la causa Dobbs contro Jackson
  6. L'autorità di vigilanza francese multa 40 milioni di euro a un importante operatore del settore adtech
  7. Importante sentenza della CGUE sui danni del GDPR
  8. OpenAI affronta una class action per lo scraping del web
  9. Meta ritarda il lancio di Threads nell'UE
  10. L'intelligence statunitense ha acquistato i dati dei consumatori
Logo of MichelinMichelin chose Simple AnalyticsJoin them

La Commissione europea finalizza il quadro di riferimento per il trasferimento dei dati negli Stati Uniti

Il 10 luglio la Commissione europea ha adottato una decisione di adeguatezza per gli Stati Uniti. Si tratta dell'ultimo passo per l'attuazione del tanto atteso Trans Atlantic Data Privacy Framework, un quadro bilaterale tra l'UE e gli Stati Uniti che consente di facilitare i flussi di dati tra gli Stati Uniti e i Paesi UE/SEE.

Il quadro è il tentativo dell'UE e degli USA di risolvere l'incertezza giuridica che circonda i trasferimenti di dati a seguito delle sentenze Schrems I e II della Corte di giustizia dell'UE. Non tutti sono contenti: il Parlamento europeo si è opposto al quadro con una maggioranza schiacciante in una votazione non vincolante e noyb - una ONG già coinvolta nel dramma legale dei trasferimenti di dati - ha già annunciato che contesterà la decisione davanti alla Corte di giustizia dell'UE.

Solo il tempo ci dirà se il nuovo quadro normativo sopravviverà all'esame della Corte o subirà lo stesso destino dei quadri Safe Harbor e Privacy Shield.

Per ulteriori informazioni sul quadro normativo, consultare il nostro blog.

La Commissione europea vuole smantellare le attività di Google

La Commissione europea ha informato il proprietario di Google, Alphabet Inc., del suo parere preliminare secondo cui Google viola le leggi antitrust e potrebbe essere condannato a smantellare le sue attività.

La comunicazione è il risultato di un'indagine sul ruolo di Google nel mercato della pubblicità online, in cui la Commissione ha riscontrato che Google detiene una posizione dominante in almeno due mercati distinti: quello dei server pubblicitari per gli editori e quello degli strumenti per l'acquisto di annunci online. La Commissione ritiene che Google abusi della sua posizione dominante favorendo i propri servizi negli scambi di annunci effettuati sulla sua piattaforma AdX.

Secondo la Commissione, la cessione di alcuni servizi di Google è l'unico modo per porre fine all'abuso. L'indagine è ancora in corso e vale la pena seguirla da vicino.

Meta cambierà di nuovo la politica sulla privacy dopo la sentenza della CGUE

Nella recente sentenza del Bundeskartellamt, la Corte di giustizia dell'UE ha stabilito che gli strumenti di tracciamento di Facebook elaborano dati sensibilie che Meta non può tracciare gli utenti per la pubblicità comportamentale senza il loro consenso.

Le osservazioni della Corte sulla pubblicità comportamentale, in particolare, potrebbero significare la morte della nuova politica sulla privacy di Meta. Meta ha recentemente annunciato l'intenzione di raccogliere il consenso degli utenti per la pubblicità mirata. La modifica annunciata segnerebbe il secondo aggiornamento della politica sulla privacy dell'azienda nell'arco dell'anno, dopo che Meta aveva già cambiato le sue basi legali in risposta alle multe del garante della privacy irlandese.

Nel frattempo, l'autorità norvegese per la protezione dei dati ha temporaneamente vietato la pubblicità mirata su Facebook e Instagram a causa della sentenza della Corte.

La decisione del Bundeskartellamt è molto importante, pertanto l'abbiamo analizzata in dettaglio in due blog (clicca qui per la prima parte).

L'UE procede con la legislazione digitale

Il Parlamento europeo ha adottato una nuova versione del progetto di legge sull'IA. La proposta deve ora essere negoziata tra il Parlamento, la Commissione europea e il Consiglio europeo. La nuova bozza include attualmente regole più severe per l'IA generativa e la sorveglianza biometrica negli spazi pubblici.

Allo stesso tempo, il Consiglio europeo e i rappresentanti del Parlamento hanno raggiunto un accordo sulla bozza di Data Act. La proposta è ora in attesa di approvazione da parte del Parlamento europeo e della Commissione. Se finalizzata, la legge sui dati rafforzerà i diritti di portabilità dei dati in tutta l'UE e affronterà gli squilibri contrattuali in materia di condivisione dei dati, nel tentativo di passare a un mercato interno dei dati.

24 Stati USA chiedono di limitare i danni dopo la causa Dobbs contro Jackson

24 Stati americani, guidati dai procuratori generali della California e di New York, hanno chiesto al Congresso di rafforzare l'HIPAA (Health Insurance Portability and Accountability Act), pochi mesi dopo che i servizi sanitari e umani degli Stati Uniti avevano sollecitato il legislatore a fare lo stesso.

La spinta per una maggiore protezione dei dati sanitari è una risposta alla sentenza Doobs contro Jackson della Corte di giustizia degli Stati Uniti, che ha aperto la strada a un'ondata di leggi anti-aborto negli Stati conservatori. Questo ha portato a una crisi dei diritti umani e della privacy su larga scala: i dati sulla salute delle donne vengono spesso utilizzati per perseguirle e sono nelle mani di aziende che spesso sono più che disposte a venderli al miglior offerente.

L'autorità di vigilanza francese multa 40 milioni di euro a un importante operatore del settore adtech

L'autorità francese per la protezione dei dati (CNIL) ha multato la società di pubblicità online Criteo per 40 milioni di euro per non essere stata in grado di fornire la prova del consenso dei consumatori e per altri problemi, tra cui la mancanza di trasparenza.

La decisione tocca questioni legali interessanti. Secondo la CNIL, gli intermediari pubblicitari come Criteo non possono adottare un approccio indifferente alla conformità e lasciare che i loro partner si occupino interamente del consenso. Devono invece richiedere ai loro partner di raccogliere i dati in modo lecito e devono essere in grado di fornire la prova del consenso degli utenti.

La CNIL è un'autorità influente in Europa. Se altre autorità dovessero seguire il suo esempio, questo approccio potrebbe avere un impatto significativo sulla posizione degli intermediari nel mercato della pubblicità online.

Importante sentenza della CGUE sui danni del GDPR

La Corte di giustizia dell'UE ha chiarito alcuni aspetti importanti del sistema di risarcimento danni previsto dal GDPR in una sentenza che riguarda il servizio postale austriaco.

La decisione è piuttosto tecnica e ruota attorno al sistema di risarcimento previsto dall'articolo 82 del regolamento. La Corte ha affermato che non esiste una soglia per il risarcimento dei danni ai sensi del GDPR. La Corte ha anche chiarito che il danno non può essere concesso per una semplice violazione del GDPR: il ricorrente deve aver subito una qualche forma di danno - materiale o non materiale - come risultato della violazione.

OpenAI affronta una class action per lo scraping del web

Una class action è stata presentata contro OpenAI presso la corte federale di San Francisco. I ricorrenti lamentano il fatto che i motori ChatGPT e DALL-E abbiano raccolto enormi quantità di informazioni personali da Internet senza informare gli utenti e senza chiedere loro il permesso.

Il data scraping è una questione legale scottante su entrambe le sponde dell'oceano. Lo scraping dei dati di milioni di ignari utenti di Internet è stato uno dei motivi di preoccupazione che ha portato al bando di un mese di ChatGPT dall'Italia. Sulla scia dell'indagine italiana, altri organi di controllo europei stanno attualmente esaminando i problemi di privacy di ChatGPT e l'European Data Protection Board ha creato una task force per coordinare i loro sforzi.

Meta ritarda il lancio di Threads nell'UE

Un portavoce di Meta ha annunciato che la piattaforma sociale Threads non sarà disponibile nell'UE. Fonti giornalistiche come l'Irish Independent e Politico riportano che la decisione potrebbe essere dovuta al Digital Markets Act dell'UE, che vieta alle aziende gatekeeper di combinare set di dati provenienti da piattaforme diverse.

Per inciso, Meta sta già unendo i dati degli utenti di Facebook e Instagram. Sarà interessante vedere se Meta adotterà delle misure per affrontare la conformità al DMA per quanto riguarda la fusione dei database.

L'intelligence statunitense ha acquistato i dati dei consumatori

In una notizia che non sorprenderà nessuno, un rapporto declassificato dell'Office of the Director of National Intelligence conferma che le agenzie di intelligence statunitensi hanno acquistato dati dei consumatori da broker di dati almeno fino al 2022.

È un segreto aperto che le agenzie di intelligence di tutto il mondo si affidano sempre più alle informazioni disponibili in commercio. Questo è un modo diplomatico per dire che acquistano enormi quantità di dati personali da aziende e broker di dati. Acquistare dati sul mercato è più facile che raccoglierli direttamente e talvolta consente alle agenzie di aggirare le limitazioni che altrimenti si applicherebbero alle loro operazioni. Questa pratica solleva questioni relative alla privacy e ai diritti civili, come evidenziato dal rapporto stesso.

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni