Il mensile sulla privacy è tornato con notizie succose: il Comitato europeo per la protezione dei dati si è occupato di cose importanti, Google deve affrontare un'altra causa antitrust negli Stati Uniti e altro ancora. Oh, e la no-fly list statunitense è stata rubata - sì, avete letto bene.
- Il caso del trasferimento di dati cruciali passa all'EDPB
- Rubata la No Fly List
- Causa antitrust contro Google
- Il DPC multa Meta e annuncia azioni legali contro EDPB
- La task force dell'EDPB dà un giro di vite ai banner sui cookie
- La Commissione europea monitorerà i progressi dei casi di GDPR su larga scala
- L'autorità di vigilanza francese è alle prese con una serie di multe
- L'UE potrebbe dare un giro di vite alla pubblicità politica
- Il CEO di TikTok testimonierà davanti al Congresso
Immergiamoci!
Il caso del trasferimento di dati cruciali passa all'EDPB
In un altro capitolo della saga dei trasferimenti di dati, l'European Data Protection Board (il comitato composto da tutte le autorità europee per la protezione dei dati e dal Garante europeo per la protezione dei dati) avrà l'ultima parola sull'indagine dell'autorità irlandese per la protezione dei dati sui trasferimenti di dati di Meta Ireland. L'autorità aveva già elaborato una decisione per blo ccare i trasferimenti di dati per Facebook lo scorso luglio, ma altre autorità per la protezione dei dati si sono opposte, quindi l'EDPB risolverà la questione con una decisione vincolante.
Si tratta di un caso di alto profilo con il coinvolgimento dell'EDPB, quindi l'esito avrà sicuramente un impatto significativo sul modo in cui le DPA gestiranno casi simili. La decisione del Consiglio sarà una lettura interessante e ci darà un'idea della posizione delle singole DPA sulla questione controversa dei trasferimenti di dati.
Le questioni legali relative ai trasferimenti di dati sono ormai una lunga storia. Se siete curiosi, ne abbiamo scritto qui.
Rubata la No Fly List
L'Amministrazione statunitense per la sicurezza dei trasporti sta attualmente indagando sulla fuga di notizie della versione 2019 della lista federale No Fly. L'hacking è stato rivendicato da un hacktivista svizzero che avrebbe trovato la lista su un server non protetto della compagnia aerea statunitense CommuteAir. L'hacktivista non ha pubblicato la lista, ma ha dichiarato che la metterà a disposizione di giornalisti e ricercatori selezionati.
La No Fly List è un elenco di terroristi noti o sospetti che non possono imbarcarsi sui voli. La lista è molto controversa ed è stata ampiamente criticata per la sua mancanza di trasparenza e per i pregiudizi nei confronti della minoranza religiosa musulmana. Secondo l'hacktivista, la versione in suo possesso contiene nomi e luoghi di nascita di oltre un milione di persone, sia cittadini statunitensi che stranieri.
Causa antitrust contro Google
Il Dipartimento di Giustizia degli Stati Uniti e i procuratori generali di otto Stati hanno intentato una causa antitrust contro Alphabet Inc., società madre di Google, con l'obiettivo di smantellare l'azienda e ridurre il suo controllo sul mercato della pubblicità digitale.
Google non è nuova alle controversie antitrust: una causa sul monopolio di Google sul mercato della ricerca su Internet è stata intentata dal DOJ nel 2020 e poi archiviata. Anche altre grandi aziende tecnologiche sono sotto tiro: Meta è coinvolta in due cause per la sua posizione dominante sul mercato dei social network e per la proposta di acquisizione della società di VR Within. Recentemente la Federal Trade Commission ha portato in tribunale Microsoft nel tentativo di fermare l'acquisizione della società di videogiochi Activision Blizzard.
In generale, sotto l'amministrazione Biden, il DOJ sembra assumere una posizione molto proattiva in materia di antitrust, che potrebbe portare a sviluppi interessanti in futuro.
Il DPC multa Meta e annuncia azioni legali contro EDPB
Come riportato nel mensile sulla privacy di gennaio, la DPA irlandese (DPC) ha inflitto a Meta Ireland una multa di 390 milioni di euro per aver indirizzato illegalmente agli utenti di Facebook e Instagram pubblicità personalizzate. Le prime decisioni del DPC (molto clementi) sono state riesaminate dall'EDPB nell'ambito del meccanismo di risoluzione delle controversie e sono state in gran parte annullate, il che ha indotto l'autorità a emettere nuove decisioni.
La storia non è ancora finita. L'EDPB ha successivamente risolto una terza controversia, quasi identica, relativa a Whatsapp. Il 12 gennaio il DPC ha inflitto a WhatsApp Ireland, di proprietà di Meta, una multa di altri 5 milioni di euro, una somma piuttosto esigua se si considera il numero di utenti interessati. Il DPC ha anche annunciato un'azione legale presso la Corte di Giustizia dell'UE, per annullare l'ordine dell'EDPB di indagare ulteriormente sulle operazioni di trattamento dei dati di Meta. Secondo il DPC, l'ordine costituisce una violazione della sua indipendenza, in quanto l'EDPB non ha l'autorità di dirigere le indagini di una DPA.
Tutte le decisioni evidenziano un radicale disaccordo tra il DPC e le altre autorità di protezione dei dati, con numerose autorità che si oppongono alle opinioni del DPC e spingono per un'interpretazione molto più rigorosa del GDPR. L'azione legale del DPC probabilmente aumenterà ulteriormente l'attrito con le sue controparti europee.
La task force dell'EDPB dà un giro di vite ai banner sui cookie
Questo è stato un mese intenso per l'EDPB. L'anno scorso il Consiglio ha istituito una task force sui cookie banner per coordinare la risposta ai numerosi reclami presentati dalla ONG noyb contro i cookie banner ingannevoli. Il 17 gennaio la task force ha pubblicato il suo rapporto.
Il documento tratta i casi più comuni di design ingannevole nei banner dei cookie, come ad esempio il fatto di costringere l'utente a compiere ulteriori passi per rifiutare i cookie o di rendere poco visibile l'opzione di rifiuto. La task force ha concordato ampiamente sul fatto che tali pratiche sono illegali. Il documento non è legalmente vincolante per le DPA, ma in pratica potrebbe essere un passo avanti verso un giro di vite sui banner ingannevoli a livello europeo.
Per saperne di più, abbiamo trattato il rapporto sul nostro blog.
La Commissione europea monitorerà i progressi dei casi di GDPR su larga scala
Dopo l'intervento del Consiglio irlandese per le libertà civili e uno scambio con il Mediatore europeo, la Commissione europea si è impegnata a monitorare regolarmente le indagini sui casi GDPR transfrontalieri su larga scala in tutta Europa. Le autorità di protezione dei dati di ciascuno Stato membro riferiranno ogni due mesi i progressi compiuti su tali casi. La Commissione pubblicherà un proprio rapporto sulle informazioni ricevute, offrendo al pubblico una panoramica sullo stato di applicazione del GDPR.
Molti casi importanti in materia di privacy contro le grandi aziende tecnologiche derivano da denunce transfrontaliere e la loro risoluzione richiede spesso tempi lunghi. Le recenti multe del DPC contro Meta ne sono un buon esempio: i reclami sono stati sanzionati nel 2018! Si spera che il nuovo sistema di segnalazione acceleri le cose.
L'autorità di vigilanza francese è alle prese con una serie di multe
Il DPA francese (CNIL) è stato piuttosto attivo ultimamente, e le notizie sono state negative per le big tech. Nel giro di un mese sia TikTok che Microsoft sono state multate per l'uso non conforme dei cookie e per i banner ingannevoli (rispettivamente per 8 milioni di euro e 60 milioni di euro), mentre Apple è stata multata per 8 milioni di euro per aver tracciato illegalmente gli utenti di iOS 14.6 a fini pubblicitari.
La tempistica è molto appropriata: le decisioni contro TikTok e Microsoft sono perfettamente in linea con il rapporto recentemente pubblicato dalla task force sui cookie banner dell'EDPB. Il CNIL è una DPA influente e si spera che le sue decisioni siano d 'esempio per altre autorità nel gestire i casi relativi ai cookie in modo rigoroso.
L'UE potrebbe dare un giro di vite alla pubblicità politica
La Commissione per il mercato interno e la protezione dei consumatori (IMCO) del Parlamento europeo ha approvato una bozza di regolamento per inasprire le regole della pubblicità politica. I membri del Parlamento propongono inoltre di vietare alle entità extracomunitarie di finanziare la pubblicità politica nell'UE.
Se l'Unione dovesse seguire la bozza dell'IMCO, le pubblicità politiche saranno consentite solo sulla base di dati personali espressamente forniti per questo scopo specifico. In questo modo la pubblicità politica mirata sui social network verrebbe di fatto eliminata e, alla luce dello scandalo di Cambridge Analytica, probabilmente sarebbe meglio così.
Il CEO di TikTok testimonierà davanti al Congresso
L'amministratore delegato di TikTok, Shou Zi Chew, ha accettato di testimoniare davanti alla Commissione per l'energia e il commercio del Congresso degli Stati Uniti a marzo. Chew cercherà di rassicurare il Congresso e di smentire le affermazioni secondo cui l'applicazione mette i dati degli utenti a disposizione del Partito Comunista Cinese.
I presunti problemi di sicurezza di TikTok sono un argomento controverso da anni. L'amministrazione Trump ha tentato di vietare TikTok, ma il suo ordine esecutivo è stato impugnato in tribunale e successivamente revocato dall'amministrazione Biden. I presunti problemi di sicurezza di TikTok sono da allora un argomento scottante. TikTok è vietato in 24 Stati e su alcuni dispositivi governativi, e la commissione Affari esteri della Camera degli Stati Uniti voterà per vietare TikTok questo mese.