Bentornati al nostro mensile sulla privacy! Aprile è stato un mese ricco di eventi in materia di privacy: il caso ChatGPT ha fatto il giro d'Europa, Meta rischia un blackout di Facebook in tutta Europa, la commissione LIBE del Parlamento europeo ha fatto pressione contro il quadro di riferimento per il trasferimento dei dati tra UE e USA, e altro ancora.
- Un mese caldo per ChatGPT
- Gli eurodeputati dell'UE spingono contro la decisione di adeguatezza degli USA
- L'EPPO indaga sull'uso di Pegasus in Grecia
- È in arrivo un blackout di Facebook?
- La Commissione europea pubblica la prima serie di servizi interessati dal DSA
- Cambridge Analytica 2.0?
- La Francia ratifica la Convenzione 108+
- L'EDPB pubblica il rapporto sulla forza lavoro in merito ai reclami di Google Analytics
- Meta cambia le sue politiche sulla privacy dopo la decisione dell'EDPB
- TikTok ha gestito male i dati dei bambini, ancora una volta
- I residenti negli Stati Uniti possono chiedere un risarcimento a Facebook
Un mese caldo per ChatGPT
La popolare ChatGPT AI di OpenAI è stata al centro del dibattito sulla privacy negli ultimi tempi. Il 30 marzo l'autorità italiana per la protezione dei dati ha bloccato provvisoriamente ChatGPT per questioni di privacy(come abbiamo spiegato in dettaglio). Da allora Open AI ha implementato alcune modifiche al trattamento dei dati di ChatGPT, che hanno portato l'autorità italiana a revocare il blocco il 28 aprile. Tuttavia, l'autorità sta ancora conducendo un'indagine approfondita e, se necessario, potrebbe prendere ulteriori provvedimenti.
Il caso ha innescato un effetto domino a livello europeo. Il Comitato europeo per la protezione dei dati (EDPB) ha creato una task force per esaminare le questioni legali poste da ChatGPT e coordinare l'approccio tra le autorità. Con ogni probabilità, l'impatto del lavoro della task force si estenderà oltre ChatGPT e avrà un impatto sulla regolamentazione dell'IA generativa. Nel frattempo, le autorità francesi e tedesche per la protezione dei dati stanno entrambe svolgendo le proprie indagini su ChatGPT.
Infine, il Parlamento europeo ha approvato una nuova bozza della proposta di legge sull'IA che classifica le IA generative come ChatGPT come ad alto rischio, sottoponendole a regole più severe di gestione del rischio e di governance dei dati.
Gli eurodeputati dell'UE spingono contro la decisione di adeguatezza degli USA
Il 13 aprile, la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo ha votato all'unanimità contro l'imminente decisione di adeguatezza della Commissione europea per gli Stati Uniti. La risoluzione non è vincolante per la Commissione, ma probabilmente influenzerà la discussione sul nuovo quadro normativo per il trasferimento dei dati tra UE e USA, soprattutto considerando la sorprendente unanimità del voto.
La risoluzione riconosce che il Quadro transatlantico per la privacy dei dati è un miglioramento rispetto al Privacy Shield, ma sottolinea alcune questioni, tra cui i criteri per la raccolta di dati in massa, le norme sulla conservazione dei dati e la trasparenza del meccanismo di ricorso.
È probabile che il progetto di decisione di adeguatezza venga approvato dalla Commissione. Con ogni probabilità, la prevedibile sfida legale davanti alla Corte di giustizia sarà la prova del fuoco per il nuovo quadro normativo sul trasferimento dei dati.
L'EPPO indaga sull'uso di Pegasus in Grecia
Su richiesta dei membri del Parlamento europeo, la Procura europea ha avviato un'indagine sull'uso e la vendita di spyware di livello militare in Grecia.
L'uso di spyware di tipo militare (in particolare Pegasus) da parte di attori statali è un tema caldo a livello europeo ed è stato ampiamente criticato dalle organizzazioni per i diritti umani. L'anno scorso la commissione PEGA del Parlamento europeo ha pubblicato un rapporto che traccia un quadro preoccupante dell'uso di spyware nell'UE. Poco dopo, il Garante europeo della protezione dei dati ha chiesto di vietare gli spyware di tipo militare nel suo parere sulla legge europea sulla libertà dei media.
LaGrecia è attualmente al centro dello scandalo spyware. Il governo greco avrebbe utilizzato il software spia Predator per monitorare politici e giornalisti e avrebbe venduto licenze Predator a Paesi stranieri (tra cui il Sudan, ora coinvolto in una guerra civile).
È in arrivo un blackout di Facebook?
Secondo l'IAPP, il commissario irlandese per la protezione dei dati potrebbe presto sospendere i trasferimenti di dati tra l'UE e gli Stati Uniti per Facebook, portando potenzialmente a un blackout di Facebook in tutta l'UE.
La decisione sarà un ulteriore passo avanti in una lunga battaglia legale sulle regole di trasferimento dei dati del GDPR che coinvolge la ONG per la privacy noyb e il Comitato europeo per la protezione dei dati. Il Consiglio ha già risolto la controversia il 13 aprile con una decisione non ancora pubblicata. Il Commissario, che è legalmente vincolato dalla decisione del Consiglio, dovrebbe pubblicare la propria decisione finale il 12 maggio. Se i trasferimenti di dati dovessero essere sospesi, Meta contesterà sicuramente la decisione nei tribunali irlandesi.
Numerose società statunitensi hanno filiali europee nella Repubblica d'Irlanda, tra cui giganti tecnologici come Meta, Google e Apple. Di conseguenza, la decisione del Commissario potrebbe avere un forte impatto sui trasferimenti di dati tra l'UE e gli Stati Uniti.
La Commissione europea pubblica la prima serie di servizi interessati dal DSA
Il 25 aprile la Commissione europea ha pubblicato una prima serie di piattaforme online e motori di ricerca considerati "molto grandi" ai fini del Digital Services Act.
Questi servizi includono Facebook, l'App Store di Apple, TikTok e diversi servizi di Google, tra cui Google Search e Youtube. Wikipedia è l'unico servizio dell'elenco fornito da un'organizzazione non profit.
In base alla legge, le grandi piattaforme online e i motori di ricerca sono soggetti a regole più severe in materia di trasparenza, pubblicità mirata, moderazione dei contenuti e tutela dei minori.
Cambridge Analytica 2.0?
L'ONG per la privacy noyb ha presentato una serie di denunce contro i principali partiti politici in Germania, sostenendo che hanno illegalmente micro-targettizzato gli elettori per la pubblicità politica tramite Facebook durante le elezioni federali del 2021.
Secondo Felix Micolash, membro di noyb, "qualsiasi dato sulle opinioni politiche di una persona è protetto in modo particolarmente rigoroso dal GDPR. Tali dati non solo sono estremamente sensibili, ma consentono anche una manipolazione su larga scala degli elettori, come ha dimostrato Cambridge Analytica".
In un recente caso di alto profilo che ha coinvolto l'ONG, l'EDPB ha stabilito che la pubblicità mirata su Facebook era illegale (come abbiamo spiegato sul nostro blog). Questo precedente potrebbe dare alla Noyb il sopravvento nelle denunce.
La profilazione basata sui dati sensibili dei social network è un problema urgente di privacy, di cui si è recentemente occupato il Tribunale distrettuale di Amsterdam in una causa civile (di cui abbiamo parlato in modo approfondito). A prescindere dall'esito e dai meriti dell'azione legale di noyb, è motivo di preoccupazione che il microtargeting politico in stile Cambridge-Analytica abbia avuto luogo in Europa dopo il RGDP.
Per coincidenza, il Parlamento europeo e il Garante europeo della protezione dei dati hanno entrambi chiesto di vietare il microtargeting politico nella proposta di regolamento per la trasparenza e il targeting della pubblicità politica. Potrebbero essere in grado di fare qualcosa?
La Francia ratifica la Convenzione 108+
Il 30 marzo la Francia, già parte della Convenzione 108, ha ratificato la Convenzione 108 modernizzata (meglio nota come Convenzione 108+).
La Convenzione originale e quella aggiornata sono trattati del Consiglio d'Europa, ma sono aperte anche agli Stati non appartenenti al Consiglio. Ad oggi, le convenzioni sono gli unici accordi giuridicamente vincolanti sulla protezione dei dati nel diritto internazionale. La Convenzione 108 è stata ratificata da 55 Stati in tutto il mondo (la maggior parte dei quali europei), ma non tutti hanno firmato e ratificato la Convenzione 108+.
L'EDPB pubblica il rapporto sulla forza lavoro in merito ai reclami di Google Analytics
Nel 2021 l'EDPB ha formato una task force per gestire i 101 reclami presentati dalla ONG noyb contro i trasferimenti di dati di Google relativi a Google Analytics. Il 28 marzo è stato pubblicato un rapporto sul lavoro della task force, dopo un ritardo sorprendentemente lungo.
Il rapporto ha un tono piuttosto prudente, ma sottolinea che le clausole contrattuali standard per il trasferimento di dati negli Stati Uniti devono essere integrate da misure supplementari, come affermato dalla Corte di giustizia nella sentenza Schrems II. Il documento sottolinea inoltre che l'opzione di anonimizzazione dell'IP di Google Analytics e la crittografia (non end-to-end) dei dati di Google non sono sufficienti a mantenere la riservatezza dei dati personali.
Non si tratta di una novità, poiché diverse DPA hanno già affermato la stessa cosa nelle loro sentenze (abbiamo esaminato la questione in modo approfondito nel nostro blog). In definitiva, il futuro dei trasferimenti di dati tra l'Unione Europea e gli Stati Uniti dipende ancora dall'imminente sentenza Schrems III sul quadro transatlantico sulla privacy dei dati.
Meta cambia le sue politiche sulla privacy dopo la decisione dell'EDPB
Il 5 aprile Meta ha modificato le politiche sulla privacy per le sue piattaforme Facebook e Instagram. Secondo le nuove politiche, la base giuridica di Meta per fornire pubblicità mirata è il legittimo interesse. Inoltre, gli utenti dell'UE hanno ora la possibilità di rinunciare alla pubblicità mirata.
La mossa arriva dopo che l'autorità irlandese di vigilanza sulla privacy ha multato l'azienda per un totale di 390 milioni di euro per aver indirizzato illegalmente agli utenti di entrambe le piattaforme pubblicità personalizzate. Le multe sono il risultato di un caso controverso e di alto profilo che ha coinvolto l'EDPB (come abbiamo spiegato nel nostro blog).
Noyb è scettica sulla nuova base giuridica di Meta (a ragione, crediamo) e ha annunciato l'intenzione di sfidare ulteriormente Meta sulla questione. Offre inoltre uno strumento di opt-out per aiutare gli utenti di Facebook e Instagram a rifiutare la pubblicità mirata dalle piattaforme.
TikTok ha gestito male i dati dei bambini, ancora una volta
Il 4 aprile l'ente britannico per la tutela della privacy (ICO) ha multato TikTok per 12,7 milioni di sterline per aver trattato illegalmente i dati dei bambini. Secondo l'ICO, la piattaforma sociale ha fatto troppo poco per verificare l'età dei nuovi utenti e per rimuovere gli account esistenti dei minori di 13 anni.
Non è la prima volta che TikTok finisce nei guai con le autorità di protezione dei dati per le sue politiche di verifica dell'età insufficienti. Nel 2021 il GPDP italiano ha sospeso per tre volte le attività di TikTok in relazione agli utenti minorenni. Un anno dopo, il DPC irlandese ha redatto una decisione per multare la piattaforma per violazioni simili e l'ha presentata alle sue controparti europee. Al momento la procedura è ancora in corso.
I residenti negli Stati Uniti possono chiedere un risarcimento a Facebook
Lo scorso dicembre Meta ha accettato di pagare 725 milioni di dollari per risolvere una class action legata allo scandalo Cambridge Analytica. Secondo le accuse, Meta (allora Facebook Inc.) avrebbe divulgato dati personali a Cambridge Analytica senza il consenso degli utenti, consentendo alla società britannica, ora scomparsa, di prendere di mira gli elettori statunitensi nelle elezioni presidenziali del 2016.
Gli utenti di Facebook hanno ora il diritto di richiedere il risarcimento, a condizione che siano stati residenti negli Stati Uniti in qualsiasi momento tra il 2007 e il 2022.