È una nuova stagione, e giusto in tempo per un nuovo Privacy Monthly! Non è stato il mese migliore per le grandi aziende tecnologiche. Meta potrebbe essere costretta a chiudere Facebook per l'Europa entro due mesi e potrebbe perdere un sacco di soldi in una class action. Google Analytics è stato messo sotto tiro da altre DPA e il governo ceco se ne sta liberando sui suoi siti web. Nel frattempo, TikTok viene bandito dai dispositivi governativi a destra e a manca. Leggete per scoprirlo!
- L'Europa potrebbe subire un blackout di Meta
- Altre cattive notizie per Meta
- Cattive notizie anche per Google
- L'EDPB esprime un parere tiepido sul nuovo quadro normativo sul trasferimento dei dati
- Altri problemi per TikTok
- Continua la polemica sulla crittografia
- Il GEPD potrebbe licenziare Microsoft Office
L'Europa potrebbe subire un blackout di Meta
L'anno scorso l'autorità irlandese per la protezione dei dati (DPA) ha elaborato una decisione per bloccare i trasferimenti di dati di Meta Ireland verso gli Stati Uniti e l'ha poi presentata all'EDPB in base alla risoluzione delle controversie prevista dal GDPR. Politico ha riferito che il Comitato europeo per la protezione dei dati prevede di risolvere il caso dei trasferimenti di dati di Meta entro il 14 aprile. L'autorità irlandese per la protezione dei dati avrà quindi un mese di tempo per recepire le osservazioni dell'EDPB nella sua decisione finale.
Tutti gli occhi sono puntati su questo caso. Si tratta di un caso di alto profilo con il coinvolgimento dell'EDPB e sicuramente costituirà un importante precedente. A seconda dell'esito, potrebbe anche portare a un blackout di Facebook e Instagram per l'Europa, poiché la DPA irlandese potrebbe bloccare i trasferimenti di dati di Meta prima che la decisione di adeguatezza della Commissione europea per gli Stati Uniti sia finalizzata.
Altre cattive notizie per Meta
Il 15 marzo Facebook ha perso una class action davanti al Tribunale distrettuale di Amsterdam. La sentenza ha stabilito che Facebook Irlanda non ha una base legale per servire pubblicità personalizzata, in linea con le recenti decisioni dell'European Data Protection Board. La Corte ha inoltre riscontrato altre violazioni, tra cui il trattamento illegale di dati sensibili e la violazione della direttiva sulle pratiche commerciali sleali e delle sue implementazioni nazionali nella legge olandese.
I danni saranno assegnati da un'altra sentenza e potrebbero essere ingenti, dato che la class action coinvolge circa 190.000 utenti. Meta intende appellarsi alla decisione.
Cattive notizie anche per Google
In una recente decisione, la DPA finlandese ha ritenuto Google Analytics incompatibile con le norme sul trasferimento dei dati del GDPR. La sentenza riguarda l'uso di Google Analytics da parte di un singolo sito web, ma costituisce un precedente che equivale praticamente a un divieto a livello nazionale. Il DPA norvegese ha raggiunto la stessa conclusione preliminare della sua controparte finlandese in un caso pendente.
Il Garante per la protezione dei dati finlandese è la quinta autorità europea a pronunciarsi contro l'uso di Google Analytics. Le autorità austriache, francesi e italiane hanno emesso sentenze simili a seguito di una serie coordinata di reclami da parte della ONG per la privacy noyb. Anche l'autorità danese ha adottato la stessa posizione in un comunicato stampa.
Allo stesso tempo, il governo ceco sta rimuovendo Google Analytics da molti dei suoi siti web per problemi di privacy. La ONG ceca IuRe ha svolto un ruolo importante nel convincere il governo che Google Analytics non può garantire la privacy dei visitatori.
L'EDPB esprime un parere tiepido sul nuovo quadro normativo sul trasferimento dei dati
Alla fine di febbraio, l'EDPB ha emesso un parere sul progetto di decisione di adeguatezza della Commissione europea. La bozza, in attesa di approvazione da parte degli Stati membri, è destinata ad attuare il nuovo quadro di riferimento per il trasferimento dei dati tra l'UE e gli Stati Uniti (il Trans-Atlantic Data Privacy Framework).
L'EDPB osserva che il nuovo quadro rappresenta un miglioramento rispetto al Privacy Shield (il suo predecessore), ma evidenzia anche alcuni possibili problemi. Tra questi, i criteri per la raccolta di dati in massa, la portata di alcune esenzioni, i trasferimenti successivi di dati e aspetti specifici del meccanismo di ricorso. Nel complesso, il parere appare piuttosto cauto e tiepido.
L'approvazione del progetto di decisione da parte degli Stati membri è praticamente certa, ma è altrettanto certo che la decisione sarà impugnata davanti alla Corte di giustizia. La vera domanda è se il nuovo quadro sopravviverà a una sentenza "Schrems III".
Altri problemi per TikTok
Il 23 febbraio la Commissione europea ha vietato TikTok dai dispositivi aziendali per problemi di sicurezza. Pochi giorni dopo, il Canada ha fatto lo stesso e ha vietato TikTok dai dispositivi governativi.
Il Canada e la Commissione europea non sono i primi a esaminare TikTok e a prendere una posizione forte. Lo scorso dicembre, il Congresso degli Stati Uniti ha vietato TikTok su tutti i dispositivi del governo federale, e molti Stati americani hanno leggi che hanno lo stesso effetto. Anche al Congresso è stata presentata una proposta di legge per bandire completamente TikTok dagli Stati Uniti e il senatore Michael Bennet ha sollecitato Apple e Google a rimuovere l'app dai loro store.
IlCEO di TikTok, Shou Chew, sarà ascoltato dal Congresso degli Stati Uniti giovedì prossimo e, visti i recenti sviluppi, l'atmosfera sarà probabilmente tesa.
Continua la polemica sulla crittografia
Whatsapp e Signal hanno annunciato che potrebbero smettere di fornire i loro servizi nel Regno Unito se la legge sulla sicurezza online dovesse passare. Nella sua attuale stesura, il disegno di legge prevede che i fornitori di servizi di messaggistica analizzino i messaggi alla ricerca di contenuti illegali e dannosi. Gli oppositori della legge considerano la scansione sistematica dei contenuti una violazione inaccettabile della privacy. La scansione dei contenuti richiederebbe inoltre l'implementazione di backdoor nei sistemi crittografati end-to-end, sollevando problemi di sicurezza.
Un dibattito simile è in corso da tempo anche nell'UE. L'anno scorso è stato proposto un controverso regolamento UE contro gli abusi sessuali sui minori. Pur essendo sostanzialmente diverso dal progetto di legge britannico, il regolamento proposto impone comunque misure che compromettono la crittografia end-to-end per contrastare la diffusione della pornografia infantile.
Il Comitato europeo per la protezione dei dati e il Garante europeo per la protezione dei dati si sono opposti alla proposta. L'anno scorso, un parere congiunto delle due istituzioni ha evidenziato diversi problemi con la bozza e ha sottolineato che l'indebolimento della crittografia end-to-end indebolisce gravemente la protezione della privacy.
Il GEPD potrebbe licenziare Microsoft Office
Il Garante europeo per la protezione dei dati intende abbandonare Microsoft Office per problemi di privacy legati al trasferimento di dati personali negli Stati Uniti. A febbraio, il Garante ha iniziato a implementare Nextcloud e Collabora Online, due software open source basati sul codice di LibreOffice.