BOARD EUROPEO EDPB: RESTANO DUBBI SU TRASFERIMENTO DATI NEGLI USA
Il board europeo EDPB riunito alla fine di febbraio, con un parere non vincolante, ha suggerito alla Commissione europea di rimettere le mani sull’accordo per il trasferimento dei dati negli Usa. Se da un lato ci sono stati dei miglioramenti rispetto alla tutela della privacy di dati di cittadini europei che finiscono negli Usa, ad esempio sono ora rispettati i principi di correttezza, aggiornamento e minimizzazione, tuttavia il nuovo accordo proposto a ottobre scorso 2022 dal presidente Biden non è completo. I dubbi del board europeo persistono sullo stoccaggio temporaneo dei dati, sul traffico massiccio di dati e sui trasferimenti verso paesi terzi. Le esternazioni sono legate al cosiddetto Draft Adequacy Decision, pubblicato dalla Commissione UE il 13 December 2022, e basato sull’accordo-cornice, chiamato EU-U.S. Data Privacy Framework (DPF), che rimpiazzerà il Privacy Shield invalidato dalla sentenza Schrems II della Corte europea. Di fatto la Commissione presieduta da von der Leyen riteneva che gli Usa avessero già fatto abbastanza. Il dipartimento del commercio Usa ha infatti elaborato un “EU-US Data Privacy Framework Principles” che contiene regole che si rifanno a quanto era già scritto nel Privacy Shield. Tuttavia l’EDPB insiste che i trasferimenti in paesi terzi potranno avvenire solo verso paesi con regole precise sulla tutela dei dati personali e che manca ancora negli Usa un’Autorità indipendente a cui il cittadino possa presentare ricorso.
ATTENTI A MAIL IN CHIARO
Un Comune italiano ha ricevuto un ammonimento da parte del Garante Privacy per aver inviato una mail di risposta a un concorso a tutti i partecipanti con gli indirizzi in chiaro, quindi leggibili per tutti i soggetti interessati. Una dipendente del Comune di Selegas in Sardegna infatti dovendo rispondere a due candidati sullo spostamento di una delle prove, ha scritto via Pec ad altri quattro, rivelando quindi l’identità di tutti i partecipanti al concorso. I due concorrenti hanno subito scritto al Garante, senza chiedere l’intervento del Dpo del Comune. Il Comune si è giustificato dicendo che il fatto è successo durante l’emergenza Covid, in carenza di personale e per disattenzione, non per intento specifico. L’episodio deve essere tenuto presente anche nelle aziende private. Quando inviamo mail a più soggetti, se non correlati strettamente per motivi contrattuali, è opportuno inserire i contatti in CCN.
L’AI TRA NOI: IL GARANTE BLOCCA REPLIKA
Una giornalista del Corriere della Sera ha messo alla prova il chatbot gratuito o a pagamento Replika fingendo di ammazzare due persone, la macchina era contenta e ha detto di operare per conto di Dio. La rivista Wired ha raccolto anche le testimonianze di tentativi di stupro fatti da Replika a delle donne. In virtù anche del fatto che minorenni possono facilmente accedere alla piattaforma che non controlla l’età degli utenti, ai primi di febbraio il Garante privacy italiano ha bloccato l’utilizzo di Replika in Italia. La chatbot sarebbe nata per tenere compagnia e risolvere problemi sentimentali e psicologici, ma non c’è nessun paletto Privacy definito, tanto meno blocchi per i minorenni. Il Garante nel provvedimento scrive che “nei due principali “App store” l’applicazione viene classificata come idonea a persone maggiori di 17 anni, mentre, nei termini di servizio (aggiornati al 14 settembre 2022) pubblicati nel sito web dello sviluppatore viene indicato un divieto di utilizzo per i minori di 13 anni e l’esigenza che i minori di 18 anni siano previamente autorizzati da un genitore o da un tutore”. In fase di iscrizione vengono chiesti solo nome, mail e sesso. L’Authority ha così anche bloccato il trattamento dei dati di utenti sul suolo italiano. Da questa notizia ricaviamo che ci vuole grande attenzione alla compliance quando i siti e i contenuti possono essere scaricati o utilizzati anche da minorenni.
FRANCIA STOP A SOCIAL PER MINORI DI 15 ANNI SENZA CONSENSO GENITORI
L’Assemblea nazionale francese ha votato a larghissima maggioranza una proposta di legge che obbliga i social network a maggiori controlli sull’età dei partecipanti. La Francia ha ribadito la soglia dei 15 anni e nella proposta si legge che le aziende devono “implementare una soluzione tecnica per verificare l’età degli utenti finali e il consenso dei titolari dell’autorità parentale” e che in caso contrario l’azienda sarà multata con una cifra fino all’1% del suo fatturato mondiale. Secondo il Garante francese, detto CNIL, accedono ai social anche bambini di otto anni e mezzo e la media è tra i 10 e i 14. Il testo deve ora essere votato dal Senato.
VIA TIK TOK PER BRUXELLES
Dal 15 marzo tutti i dipendenti della Commissione europea dovranno rimuovere il social Tik Tok dai loro cellulari e da tutti gli Iot, dispositivi in linea: si teme infatti che il gigante cinese possa utilizzare il social per carpire documenti interni riservati o comunque discussioni fra funzionari e parlamentari e dipendenti. Anche negli Usa il presidente Biden a novembre ne aveva impedito l’uso ai dipendenti federali.
LE RELAZIONI DEI PRESIDENTI DELL’AUTHORITY ITALIANA SONO LIBRO
Il presidente dell’Autorità garante privacy ha presentato il libro “La privacy dell’era digitale – le Relazioni dei Presidenti dell’Autorità Garante 1997-2022” in uno spazio del Parlamento europeo a Roma. All’incontro sono intervenuti anche past presidenti come Franco Pizzetti e Antonello Soro. Molti hanno identificato le prossime sfide nella governance dell’intelligenza artificiale. Il Presidente Pasquale Stanzione ha commentato che “il senso profondo di questo volume è il tentativo di riannodare i fili di una storia che è anche storia di democrazia, di come si gioca, in uno Stato di diritto, la partita cruciale (anche sul terreno geopolitico) tra innovazione e diritti; tra mercato e persona; tra sicurezza e libertà”.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021), acquistabile anche in digitale sul sito francoangeli.it. A breve sarà in libreria il nostro nuovo volume, ‘La Privacy dei dati digitali’, un manuale pratico sugli archivi digitali e i dati in cloud, in aiuto alle aziende e ai Dpo, pubblicato sempre per FrancoAngeli editore.