Articoli

Trasferimento dei dati negli Stati Uniti? No, grazie! Il caso Facebook

La Commissione irlandese per la protezione dei dati è la prima Autorità Privacy dell’Unione Europea ad aver ordinato a Facebook una preliminare sospensione dei trasferimenti di dati negli Stati Uniti sui suoi utenti dell’UE.
 
In rilievo

A seguito della sentenza pronunciata dalla Corte di Giustizia europea il 16 luglio 2020 nella causa C-311/18 (Caso SchremsFacebook Ireland), che invalida la decisione di esecuzione UE 2016/1250 della Commissione europea, con cui era stato sancito che il “Privacy Shield fosse una normativa idonea per regolare il trasferimento dei dati dall’Unione Europea agli USA, è arrivata una prima risposta concreta da parte della Commissione irlandese per la protezione dei dati, la quale, con un ordine preliminare di sospensione, vieta alla sede europea di Facebook di trasferire negli USA i dati dei cittadini irlandesi, adottando come base giuridica lo “Scudo Privacy”, ormai privo di efficacia in quanto considerato non sufficiente il livello di protezione del diritto alla riservatezza dei dati personali dei cittadini europei trasferiti negli Stati Uniti d’America.

Conseguenze e soggetti coinvolti

Nonostante si tratti di un ordine preliminare di sospensione pronunciato solo nei confronti di Facebook, tale decisione impatta anche tutti gli altri operatori economici che utilizzano provider per il trattamento dei dati presenti sul territorio USA, ma questa conseguenza potrebbe costituire una risorsa per l’economia del vecchio continente, accelerando il ricorso ad infrastrutture di cloud computing europeo.

L’intervento delle istituzioni europee

Alla luce di quanto esposto, per tentare di superare il limbo in cui attualmente navigano i dati, il Comitato europeo per la protezione dei dati (EDPB), guidato dal presidente Andrea Jelinek, ha annunciato una duplice iniziativa per fornire adeguato riscontro allo scenario creatosi a seguito della sentenza Schrems II: in primis istituendo una task force incaricata di esaminare i ben 101 identici reclami presentati dall’ONG NOYB alle autorità per la protezione dei dati del SEE nei confronti di diversi titolari del trattamento, in merito al loro utilizzo di servizi di Google/Facebook che comportano il trasferimento di dati personali. In secondo luogo, ha istituito una task force con lo specifico compito di elaborare raccomandazioni per titolari e responsabili del trattamento nell’individuazione e nell’attuazione di adeguate misure di natura giuridica, tecnica e organizzativa al fine di garantire un’adeguata protezione in caso di trasferimento di dati personali verso paesi terzi.

Avv. Vincenzo Colarocco e Dott. Pietro Vitucci

La Cassazione sui limiti alla diffusione dei dati personali di dipendenti comunali

Legittima la sanzione irrogata dal Garante a un Comune per aver pubblicato sull’albo pretorio on line per oltre un anno una determina dirigenziale contenete dati personali di un dipendente.

Con l’ordinanza numero 18292 del 3 settembre 2020 la Corte di Cassazione ha chiarito che l’ostensione da parte di un comune dei dati personali (non sensibili) di un dipendente, mediante pubblicazione sull’albo pretorio di una determina dirigenziale per un periodo superiore a 15 giorni, viola il codice della privacy.

Nel caso di specie il Comune aveva mantenuto visibili per oltre un anno sul proprio albo pretorio on line una determinazione dirigenziale dalle quali risultavano dati quali il nome e il cognome del dipendente e l’esistenza di un contenzioso con il Comune (determina di nomina del difensore dell’amministrazione, con relativo impegno di spesa), ma anche lo stato di famiglia, nonché la circostanza che vivesse da solo, che avesse avanzato una domanda di rateizzazione del debito e che tale istanza fosse stata rigettata.

Il Garante per la protezione dei dati personali ritenendo illegittima la diffusione dei dati personali di un dipendente comunale per un periodo superiore di quindici giorni stabiliti come periodo necessario di pubblicazione delle delibere comunali nell’albo pretorio ex art. 124 del Tuel, ha sanzionato l’ente locale. In particolare, secondo l’Autorità le predette informazioni, in quanto non afferenti all’assetto organizzativo degli uffici e pertanto non riconducibili alle strette esigenze di trasparenza amministrativa, avrebbero dovuto essere archiviate e celate immediatamente dopo la scadenza del termine minimo di quindici giorni.

Secondo gli ermellini, dunque, decorso il termine minimo di pubblicazione obbligatoria sull’albo pretorio delle determinazioni del Comune, gli atti amministrativi contenenti dati personali (praticamente tutti) devono essere cancellati e resi non più accessibili.

Avv. Ginevra Proia

CoronaVirus: come limitare il contagio con l’Intelligenza Artificiale nel rispetto della privacy

A cura di Vincenzo Colarocco per Sanità24 de Il Sole 24 Ore. Continua a leggere

“Un anno di Regolamento UE 2016/679 – La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione dei Dati Personali”: di cosa si è discusso il 9 aprile 2019 presso la Sala Valente del Tribunale di Milano all’evento organizzato dall’Unione Giuristi per l’Impresa

Avv. Vincenzo Colarocco

Il 9 aprile 2019, presso la Sala Valente del Tribunale di Milano, si è tenuto l’evento organizzato da UGI – Unione Giuristi per l’Impresa, intitolato “Un anno di Regolamento UE 2016/679 – La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione dei Dati Personali”. Il Presidente di UGI, nonché General Counsel e Data Protection Officer del Gruppo Mondadori, Avv. Ugo Ettore Di Stefano, ha dato avvio ai lavori proponendo l’obiettivo di delineare, insieme ai relatori chiamati al confronto, l’attuale scenario dell’adeguamento al GDPR delle imprese italiane, tenuto conto di novità, sfide ed anche preoccupazioni. L’occasione è stata promotrice del nuovo “Commentario al Regolamento UE 2016/679 e al Codice della Privacy aggiornato”, a cura degli Avvocati Andrea d’Agostino, Luca R. Barlassina e Vincenzo Colarocco, con prefazione della Dott.ssa Augusta Iannini, Vicepresidente dell’Autorità Garante per la protezione dei dati personali, edito da Amazon ed il cui ricavato sarà in parte destinato alle vittime del cyberbullismo.

All’esito dell’introduzione dell’Avv. Ugo Ettore Di Stefano, è intervenuta proprio la Dott.ssa Iannini, ponendo l’accento sull’importanza del principio di accountability introdotto dal Regolamento e su come questo abbia profondamente inciso sulla consulenza in ambito privacy: l’Autorità garante ha ribadito come l’approccio alla normativa sia divenuto proattivo, propositivo ed anche creativo. È seguito l’intervento dell’Avv. Andrea d’Agostino, Vicepresidente di UGI, Senior Legal Counsel e Responsabile Privacy del Gruppo Mondadori, che ha raccontato l’esperienza dell’adeguamento del suo gruppo, in particolare soffermandosi sul tema della “sensibilizzazione” – più che “formazione” – delle figure interne all’azienda sul tema della privacy. L’adeguamento – ha spiegato d’Agostino – deve mettere al centro i lettori (i clienti, ndr), comprenderne le esigenze e soddisfarle nel pieno rispetto dei loro diritti, così come oggi riconosciuti. Non si tratta di una affannosa lotta alla più aderente soluzione alla fine della quale “ne rimarrà solo uno”, un po’ come se fossimo destinati al the last DPO: citando Guerre Stellari e facendo sapiente uso dell’ironia, d’Agostino puntualizza l’importanza del dialogo e della cooperazione tra la figura del Data Protection Officer e quella dell’Autorità di controllo. Dalla visione aziendale alla disciplina dei dati personali nel settore pubblico: il Dott. Francesco Modafferi dell’Autorità garante ha introdotto il tema del valore delle banche dati per le Pubbliche Amministrazioni e della gestione degli stessi, alla luce dell’evoluzione tecnologica. Francesco Modafferi si è soffermato sul ricorso agli algoritmi in ambito pubblico per l’elaborazione di determinate informazioni e sulle esigenze da questo scaturite: come assicurare la trasparenza della PA a fronte di un sistema “poco trasparente”? Il tema dell’impiego degli algoritmi non può non far sorgere interrogativi anche di responsabilità civile. Di Giangiacomo Olivi, partner di Dentons, l’intervento dedicato al rapporto tra GDPR e nuove tecnologie: la vera sfida, a fronte di una evidente obsolescenza programmata della tecnologia e della monetizzazione del dato, è costituita in realtà proprio dalla disciplina applicabile: le tecnologie vengono applicate a livello globale ma i singoli Stati continuano ad emanare normative differenti tra loro che non consentono un uso uniforme e condiviso dei servizi offerti dall’innovazione. Non poteva mancare un focus sui temi del marketing e della profilazione, curato dal Dott. Luca Natali dell’Autorità Garante. L’art. 130 del Codice Privacy, come novellato dal decreto di armonizzazione n. 101/2018, offre alternative basi giuridiche al trattamento dei dati per finalità di marketing, tenuto conto della concreta attività svolta: dal meccanismo dell’opt-in a quello dell’opt-out, tenendo ferma “la stella” dei diritti dell’interessato. La giornata è quindi proseguita con gli interventi pomeridiani: l’Avv. Di Stefano si è soffermato su alcune riflessioni di opportunità nello svolgimento dei compiti affidati al ruolo del DPO: ricorrente anche in quella sede il fondamentale dialogo con l’Autorità di controllo. Non solo: Di Stefano mette difronte ad un dato di fatto che è quello della fallibilità delle procedure, valorizzando l’attività di remediation da condurre ex post rispetto alla predisposizione delle stesse.

Dal ruolo del DPO a quello del consulente in ambito privacy: l’Avv. Stefano Previti, titolare dello Studio Previti Associazione Professionale, ha riflettuto sulle molteplici sfaccettature del consulente al giorno d’oggi. Il consulente, infatti, non può e non deve più limitarsi a dare stretta applicazione alla normativa, ma deve sviluppare peculiari skills, tra cui rientrano la competenza manageriale, la conoscenza in ambito informatico e l’attitudine alla formazione del personale, in questo modo rappresentandosi come una risorsa polivalente per il titolare del trattamento, capace di guidarlo anche nelle scelte di business. Per chiudere il cerchio sulle figure soggettive, sono intervenuti l’Avv. Gaetano Arnò, DPO di PricewaterhouseCoopers TLS e a seguire il Dott. Filiberto E. Brozzetti dell’Autorità di controllo, con un compiuto excursus sulle figure di titolare, responsabile esterno e sub-responsabile del trattamento e sulle criticità spesso rilevate nella gestione contrattuale di tali ruoli.

L’intensa giornata di GDPR si è conclusa con gli autorevoli interventi sul quadro sanzionatorio delineato dal Regolamento e sulle modalità ispettive in ambito privacy dell’Avv. Daniele Vecchi, Partner di Gianni, Origoni, Grippo, Cappelli & Partners, dell’Avv. Veronica Pinotti, Partner di White Case LLP e del Colonnello Marco Menegazzo, Comandante del Nucleo Speciale Privacy della Guardia di Finanza. L’Avv. Vecchi, ripercorrendo molteplici case study, ha sostenuto che se, da un lato, con il GDPR si è giunti finalmente ad una disciplina unitaria di matrice europea sul trattamento dei dati personali, dall’altro, sussistono ancora oggi evidenti lacune normative che lo stesso GDPR non è in grado di colmare, oltre a scenari problematici anche recenti, quale può rappresentarsi la disciplina dei dati personali a fronte di una ipotesi di Hard Brexit. Il tema della “patologia” della privacy, e dunque dei possibili accertamenti amministrativi e dell’irrogazione delle sanzioni, è stato affrontato attraverso due differenti (ma comunque non distanti) visioni: quella del consulente del titolare del trattamento, portata sul tavolo dall’esperienza dell’Avv. Pinotti, e quella del Colonnello Menegazzo, il quale si è fatto promotore di un atteggiamento condiviso di cooperazione e collaborazione nell’ottica del primario interesse della tutela degli interessati.

All’esito della giornata, si può dire che l’obiettivo primario, in apertura introdotto dall’Avv. Di Stefano, sia stato ampiamente raggiunto, e non solo: il confronto sul tema dell’adeguamento, in ambito privato ma anche pubblico, ha consentito di riflettere insieme su alcuni scenari ancora oggi dubbi e di ottenerne le soluzioni medio tempore con l’ausilio dell’Autorità di controllo, di analizzare in prospettiva i ruoli coinvolti nello stesso, di poter affermare, in definitiva, come tale processo sia destinato a divenire continuativo e mai a cristallizzarsi.

Arrivano le prime Linee Guida del Comitato Europeo per la Protezione dei Dati Personali

Il Comitato Europeo per la Protezione dei Dati Personali (EDPB) ha pubblicato lo scorso 30 maggio la versione definitiva delle Linee Guida 2/2018 sul trasferimento di dati personali verso paesi terzi, nonché la bozza delle Linee Guida 1/2018 sui criteri generali che possono essere rilevanti per tutti i tipi di meccanismi di certificazione emessi in conformità agli articoli 42 e 43 del GDPR. In particolare, detta linea guida è sottoposta a consultazione pubblica sino al 12 luglio 2018.