Il mensile della privacy: Giugno 2023

Il mese di maggio è stato ricco di eventi. La decisione tanto attesa sul trasferimento dei dati è finalmente arrivata, con una multa a dieci cifre per Meta. Linkedin è il prossimo ad essere multato per il GDPR. Il Parlamento europeo si è opposto al quadro transatlantico sulla privacy dei dati e altro ancora.

E non dimentichiamo: Nell'America post-Dobbs v. Jackson è in corso un pasticcio sulla privacy e sui diritti umani, e le Big Tech sono (senza sorpresa) dalla parte sbagliata.

Michelin chose Simple AnalyticsJoin them

Immergiamoci!

Facebook colpito da un divieto di trasferimento dei dati e da una multa record

Il 22 maggio il commissario irlandese per la protezione dei dati ha ordinato a Meta Platforms Ireland di sospendere i trasferimenti di dati per Facebook e ha emesso una multa record di 1,2 miliardi di euro. A Meta è stato inoltre ordinato di cancellare i dati personali già trasferiti negli Stati Uniti.

La decisione è il risultato di una decennale battaglia legale che ha coinvolto il difensore della privacy Max Schrems, il DPC, il sistema giudiziario irlandese, la Corte di giustizia dell'UE e il Comitato europeo per la protezione dei dati. Il Consiglio ha svolto un ruolo fondamentale nella decisione, spingendo il DPC a imporre una multa e a ordinare la cancellazione dei dati personali.

Meta intende impugnare la decisione e chiedere una sospensione dell'ordine del DPC. Ciò consente all'azienda di guadagnare tempo fino alla piena attuazione del Quadro transatlantico sulla privacy dei dati, evitando così un blackout di Facebook in tutta l'UE.

Si tratta di un caso emblematico per l'applicazione delle norme sul trasferimento dei dati del GDPR, di cui abbiamo discusso approfonditamente sul nostro blog.

Il Parlamento europeo si oppone al quadro normativo statunitense sul trasferimento dei dati

In aprile la commissione LIBE del Parlamento europeo ha respinto all'unanimità la proposta di quadro transatlantico sulla privacy dei dati. L'11 maggio il Parlamento dell'UE l'ha seguita. Nessuno dei due voti è legalmente vincolante per la Commissione europea.

Il Parlamento ha riconosciuto che il quadro rappresenta un passo avanti rispetto al suo predecessore (lo scudo per la privacy), ma ha anche espresso preoccupazioni per la raccolta di informazioni in massa e per la mancanza di trasparenza nel meccanismo di ricorso, tra le altre cose. Il Parlamento si chiede inoltre se il nuovo quadro sopravviverà all'esame della Corte di giustizia dell'UE.

È improbabile che il voto del Parlamento impedisca alla Commissione di attuare pienamente il quadro. Con ogni probabilità, la prevedibile sfida legale davanti alla Corte di giustizia sarà un battesimo del fuoco per il nuovo quadro e il momento della verità per i trasferimenti di dati tra UE e USA.

Google promette di cancellare i dati sensibili sulla posizione, ma non lo fa

Una recente inchiesta del Washington Post ha scoperto che Google non sta mantenendo la sua promessa di cancellare le cliniche e altri luoghi "sensibili" dalla cronologia delle posizioni.

La posta in gioco è alta: un anno fa la Corte Suprema degli Stati Uniti ha annullato la storica sentenza Roe vs. Wade, che consentiva agli Stati di vietare l'aborto. Gli Stati conservatori hanno subito approvato leggi anti-aborto e ora la polizia sta perseguendo chi cerca di abortire grazie ai dati forniti dalle Big Tech.

La privacy è una questione cruciale per le donne americane e le Big Tech non stanno aiutando, per usare un eufemismo.

Linkedin rischia una multa salata per pubblicità mirata

Secondo la Reuters, Microsoft si aspetta una multa dell'ordine di 400 milioni di euro dalla Commissione irlandese per la protezione dei dati per la pubblicità mirata sul social network Linkedin. Non sono noti altri dettagli sulla decisione.

Mesi fa, la DPC ha multato Meta Ireland per un totale di 390 milioni di euro per pubblicità mirata illegale sulle sue piattaforme Facebook e Instagram. L'attesa multa contro Microsoft farebbe di Linkedin il terzo social network a incorrere in multe salate per pubblicità mirata in un breve lasso di tempo.

La proposta di regolamento sul controllo delle chat è probabilmente illegale

Come riportato da The Guardian, una consulenza legale interna all'UE trapelata suggerisce che la controversa proposta della Commissione per un regolamento contro gli abusi sessuali sui minori potrebbe essere illegale.

Secondo i documenti, la bozza viola gli standard di sorveglianza elettronica stabiliti dalla giurisprudenza della Corte di giustizia. Ciò significa che la Corte probabilmente invaliderà un futuro regolamento in sede di controllo giurisdizionale.

La proposta di regolamento prevede che i fornitori di servizi di comunicazione effettuino una scansione di video e immagini per individuare la pornografia infantile. Ma i sistemi di scansione non possono essere implementati senza compromettere la crittografia end-to-end implementata da popolari servizi di messaggistica come WhatsApp, Telegram e Signal.

A causa del suo impatto sulla crittografia, la proposta è al centro di un acceso dibattito legale e politico che coinvolge organizzazioni di difesa, governi e istituzioni europee.

Un dibattito simile circonda la bozza del disegno di legge britannico sulla sicurezza online, a cui si oppongono molte organizzazioni di difesa e fornitori di servizi. WhatsApp ha persino minacciato di lasciare il mercato britannico se la bozza dovesse diventare legge.

Altre due leggi sulla privacy negli Stati Uniti

L'8 maggio lo Stato della Florida ha approvato una nuova legge sulla privacy. Un disegno di legge sulla privacy è stato adottato anche dal legislatore del Texas e dovrebbe diventare legge nel fine settimana.

Entrambe le leggi si concentrano sulle imprese e sui diritti degli interessati e contengono esenzioni per le piccole imprese. In particolare, l'esenzione è molto ampia nel disegno di legge della Florida rispetto a quello del Texas.

Negli Stati Uniti non esiste una legge federale generale sulla privacy. Le uniche norme federali sulla protezione dei dati si trovano nella legislazione settoriale, come HIPAA e COPPA. I negoziati per una legge federale sulla privacy (l'ADPPA) hanno subito un rallentamento e, nel frattempo, sempre più Stati stanno adottando proprie leggi sulla privacy.

Ana Talus eletta presidente dell'EDPB

Il 25 maggio Ana Talus, capo dell'autorità finlandese per la protezione dei dati, è diventata il nuovo presidente dell'European Data Protection Board. La cipriota Irene Loizidou Nikolaidou ricoprirà il ruolo di vicepresidente.

L'EDPB ha svolto finora un ruolo fondamentale nell'applicazione e nell'interpretazione del GDPR. I documenti di orientamento del Comitato hanno avuto un forte impatto sull'interpretazione del GDPR e di altre fonti del diritto dell'UE in materia di protezione dei dati. Recentemente, il Comitato stesso è stato direttamente coinvolto in diverse decisioni di alto profilo riguardanti Meta Ireland.

Il precedente e primo presidente dell'EDPB è stato Andrea Jelinek, capo dell'autorità austriaca per la protezione dei dati.

Twitter non può abbandonare il DSA

Con una mossa piuttosto confusa, il 26 maggio Twitter ha abbandonato il Codice di condotta dell'UE sulla disinformazione, mesi prima dell'entrata in vigore delle norme sugli obblighi di moderazione dei contenuti previste dal Digital Services Act.

La mossa ha suscitato commenti sprezzanti da parte dei commissari europei Thierry Breton e Vera Jourova. Considerando che è la stessa Commissione a far rispettare il DSA, probabilmente questo non è l'inizio migliore.

La conformità al DSA non sarà facile per le piattaforme online e, considerando lo stile di gestione imprevedibile e capriccioso della nuova proprietà, ci aspettiamo che Twitter faccia più fatica di altri.