Il mensile della privacy: Ottobre 2022

Image of Carlo Cilento

Pubblicato il 20 ott 2022 e modificato il 18 ott 2023 da Carlo Cilento

Benvenuti nel nostro nuovo blog mensile. Una volta al mese tratteremo brevemente alcune delle più importanti notizie sulla privacy.

Cosa è successo il mese scorso? Scopriamolo!

  1. Biden firma un ordine esecutivo sulla sorveglianza
  2. Il Consiglio dell'UE ha approvato la legge sui servizi digitali
  3. Il GEPD intraprende un'azione legale contro Europol
  4. La CGUE reprime la legge tedesca sulla sorveglianza
  5. Il DPC irlandese presenta una bozza di decisione sulla violazione dei dati di Facebook
  6. Multa record per Meta per gli account dei bambini di Instagram
  7. Il Congresso degli Stati Uniti discute la prelazione dell'ADPPA
  8. Chi siamo?
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Biden firma un ordine esecutivo sulla sorveglianza

Il 7 ottobre il Presidente degli Stati Uniti Joe Biden ha firmato un ordine esecutivo a lungo atteso per limitare le pratiche di sorveglianza dei dati europei.

L'ordine è il risultato di lunghe trattative tra la Casa Bianca e la Commissione europea ed è il primo passo verso un quadro transatlantico per il trasferimento dei dati. La Commissione europea emetterà quasi certamente una decisione di adeguatezza sulla base dell'ordine esecutivo. Idealmente, le aziende europee che ora si affidano a clausole contrattuali standard per i trasferimenti di dati negli Stati Uniti (per maggiori informazioni, consultare il nostro blog sui trasferimenti di dati) potranno invece affidarsi alla decisione di adeguatezza, semplificando notevolmente i flussi di dati.

La decisione sarà probabilmente impugnata presso la Corte di giustizia dell'UE come nelle storiche sentenze Schrems I e II. Il nuovo quadro normativo potrebbe essere problematico sotto alcuni aspetti ed è difficile prevedere come si svolgerà Schrems III.

Il Consiglio dell'UE ha approvato la legge sui servizi digitali

Il 4 ottobre la Commissione europea ha approvato la versione finale della legge sui servizi digitali. Il regolamento si applica alle piattaforme online e ai servizi di intermediazione. Stabilisce regole per la trasparenza e la responsabilità, in particolare per quanto riguarda la moderazione dei contenuti, la pubblicità mirata e la fornitura di beni e servizi illegali. Obblighi speciali si applicano alle piattaforme online molto grandi e ai motori di ricerca designati dalla Commissione.

La DSA è un nuovo tassello della strategia digitale dell'UE. La strategia comprende altri regolamenti sulla governance dei dati, come il GDPR, la legge sui mercati digitali e la proposta di legge sull'IA e il regolamento ePrivacy. Il DSA e il DMA a volte si sovrappongono al GDPR, quindi le aziende e i professionisti della privacy dovranno capire le implicazioni sulla privacy dei nuovi regolamenti.

Il GEPD intraprende un'azione legale contro Europol

Il 16 settembre, il Garante europeo della protezione dei dati ha chiesto alla Corte di giustizia di invalidare due articoli del regolamento Europol recentemente modificato.

All'inizio dell'anno, il GEPD ha ordinato a Europol di cancellare i dati personali dei cittadini non collegati ad attività criminali. Il legislatore europeo ha successivamente modificato il regolamento di Europol per consentire un trattamento più ampio dei dati personali. Il GEPD sostiene che l'emendamento equivale a una legalizzazione retroattiva delle attività di Europol, che viola lo Stato di diritto e minaccia l'indipendenza del GEPD. Si tratterà di un caso controverso e politicamente carico.

La CGUE reprime la legge tedesca sulla sorveglianza

In una recente sentenza, la Corte di giustizia ha chiarito che "il diritto dell'UE impedisce la conservazione generale e indiscriminata dei dati relativi al traffico e all'ubicazione, salvo in caso di grave minaccia alla sicurezza nazionale".

Il caso è stato deferito alla CGUE dopo che i fornitori di Internet Telekom Deutschland e SpaceNet hanno contestato una legge tedesca che prescrive la conservazione di massa dei dati per i fornitori di telecomunicazioni. La sentenza è coerente con la giurisprudenza della Corte e consolida la posizione più dura della CGUE sulla conservazione dei dati rispetto alla Corte europea dei diritti dell'uomo.

Il DPC irlandese presenta una bozza di decisione sulla violazione dei dati di Facebook

Il 3 ottobre, il DPC irlandese ha annunciato di aver redatto una bozza di decisione su un'ampia violazione dei dati di Facebook e di averla presentata all'EDPB. La bozza di decisione fa seguito a un'indagine avviata di propria iniziativa in seguito alle notizie riportate dai media sulla violazione.

Questa non è l'unica bozza di decisione "in sospeso" su Meta. A luglio, il DPC ha annunciato di aver elaborato e presentato una decisione per bloccare i trasferimenti di dati di Meta Platforms Ireland verso gli Stati Uniti.

Multa record per Meta per gli account dei bambini di Instagram

Il DPC irlandese ha multato Meta Platform Irelands Ltd. per 405 milioni di euro.

L'autorità ha rilevato che Instagram ha violato il GDPR per quanto riguarda il trattamento dei dati personali degli account dei bambini. La piattaforma ha violato il principio della privacy by default rendendo i profili pubblici per impostazione predefinita e trattando le informazioni di contatto per gli account aziendali senza alcuna base legale. La multa fa seguito a un'indagine condotta di propria iniziativa dall'autorità di vigilanza irlandese e alla consultazione con l'EDPB.

Si tratta della seconda multa più alta mai comminata ai sensi del GDPR. La più alta finora è una multa di 746 milioni di euro contro Amazon emessa dalla DPA lussemburghese lo scorso anno.

Il Congresso degli Stati Uniti discute la prelazione dell'ADPPA

Inegoziati sulla legge americana sulla protezione dei dati e sulla privacy proseguono al Congresso degli Stati Uniti e la prelazione è un argomento molto dibattuto.

L'interazione tra l'ADPPA e la legislazione statale esistente è una questione delicata. L'ADPPA sarà la prima legge federale sulla privacy e, se approvata, stabilirà uno standard di protezione per tutti i cittadini statunitensi. Tuttavia, diversi Stati hanno già approvato proprie leggi sulla privacy, il che crea un rompicapo legislativo per il Congresso. Da un lato, la coesistenza di leggi statali e federali sulla privacy frammenterà il panorama giuridico degli Stati Uniti. Dall'altro lato, se l'ADPPA dovesse prevalere sulle leggi statali, gli Stati con una propria legislazione sulla privacy non sarebbero contenti.

Chi siamo?

Simple Analytics è l'alternativa a Google Analytics basata sulla privacy, che non utilizza cookie ed è conforme al 100% al GDPR. Siamo un piccolo team indipendente di appassionati di privacy che vogliono creare un web più amichevole per i visitatori dei siti web. Se questo aspetto vi interessa, non esitate a visitarci.

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni