La nuova Decisione di Adeguatezza, intervenuta il 28 giugno a favore del Regno Unito, è stata accolta con un sospiro di sollievo da entrambi i lati della Manica, in quanto mancavano solamente 48 ore allo scadere del periodo di grazia contrattato tra le parti tramite l’Accordo di Scambio e Cooperazione UE – UK. Una delle novità rispetto alle precedenti decisioni di adeguatezza è l’inserimento di una c.d. “sunset clause”, traducibile in italiano con “clausola di caducità” (anche se spesso si preferisce non tradurre il termine).

Il 4 giugno 2021, dopo oltre 11 anni dall’ultima decisione sul punto, la Commissione Europea ha adottato una nuova Decisione riguardante le Standard Contractual Clauses (d’ora in avanti SCC), per la quale si attende oramai, giusti alcuni accorgimenti, solamente la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea. La decisione comprende due set di SCC, uno per i rapporti tra titolari del trattamento e responsabili del trattamento e l’altro, oggetto del presente articolo, riguardante il trasferimento di dati verso paesi terzi. La necessità di una nuova Decisione sulla questione dei trasferimenti di dati personali al di fuori dallo spazio UE-SEE verso Paesi non coperti da una decisione di adeguatezza ex art. 45 del GDPR era, oramai, di vitale importanza.

La raccolta ed il trattamento dei dati personali per finalità di profilazione e di marketing personalizzato è uno, se non il maggiore, dei pilastri della Rivoluzione digitale.  Giganti dell’industria 4.0 come Google e Facebook non sarebbero mai sorti senza l’apporto economico dato dal modello di business della pubblicità targettizzata. Negli ultimi anni, però, abbiamo assistito a numerosi scandali provocati da “massive” violazioni di dati personali, come nel recente caso di Linkedin, o del loro utilizzo per fini poco leciti come nel caso Cambridge Analytica.

Fino a qualche tempo fa, il semplice chiudere a chiave la porta di casa poteva bastare come misura di sicurezza per evitare intrusioni all’interno delle proprie mura. Con l’avvento di Internet e degli assistenti virtuali come Alexa o Cortana, però, le misure di sicurezza cd. fisiche non sono più sufficienti. Dal televisore al frigorifero, dal campanello al microonde, quasi tutti gli oggetti di uso quotidiano possono venire connessi ad internet aprendo nuovi orizzonti e criticità. Ma, come sempre, il passaggio dall’analogico al digitale ci pone davanti a problematiche legate alla privacy e alla sicurezza informatica.

Le esigenze di contenimento dell’epidemia da Covid-19 hanno portato all’applicazione, tra le altre misure, della chiusura temporanea delle strutture per l’educazione, dagli asili nido alle università. Da una prima, momentanea, sospensione delle attività per permettere agli istituti scolastici ed universitari di attrezzarsi con i necessari strumenti informatici si è passati alla pratica della Didattica a Distanza (DaD).

Il 19 gennaio 2021, nell’ultimo giorno della sua presidenza, Donald J. Trump ha promulgato l’ordine esecutivo 13984 sulla “Applicazione di misure aggiuntive per la gestione dell’emergenza nazionale riguardante le significative attività cibernetiche ostili” (libera traduzione della versione inglese del titolo). Nonostante a tale ordine esecutivo debbano seguire le apposite e specifiche regolamentazioni da parte dei vari Ministeri statunitensi, è già possibile fare una prima stima delle conseguenze che avrà sul già teso rapporto tra Stati Uniti e Unione Europea in tema privacy.

Le esigenze lavorative ed aziendali sono in continua evoluzione, l’effetto, dilagante, della digitalizzazione dell’impresa e la crescente tendenza alla consolidazione nella cultura lavorativa italiana dello smart working o di forme analoghe pongono, quotidianamente, l’impresa davanti ad una serie di scelte importanti. Tra queste rientra, certamente, l’acquisto di attrezzature informatiche utili ai lavoratori per svolgere la propria attività. Ma questa non è l’unica scelta strategica, infatti, l’azienda potrebbe adottare, quale politica aziendale, l’implementazione di sistemi di c.d. “Bring Your Own Device” (noto anche come BYOD).

L’articolo 45 del Gdpr stabilisce la possibilità di trasferire i dati personali in un paese extra UE e SEE se e quando il paese in questione riceve il nulla osta da parte della Commissione Europea tramite una “Decisione di Adeguatezza”. Al momento, come si può constatare sul sito ufficiale della Commissione Europea, vi sono solo dodici paesi la cui disciplina in ambito privacy è stata considerata equiparabile, rispetto agli standard di protezione, a quella Europea. A questi si aggiunge la Corea del Sud, al momento al vaglio della Commissione.

La gestione del marketing e la salvaguardia dei dati personali, questione irrisolta? Il Codice Privacy prima e il Gdpr, poi, non hanno risolto l’annosa questione relativa al trattamento dei dati per finalità di marketing. I coni di ombra derivati dalle più disparate interpretazioni hanno favorito un clima di incertezza in coloro che trattano dati per finalità di marketing diretto. Una delle principali indecisioni è l’individuazione di una corretta base giuridica che legittimi il trattamento di dati personali dell’Interessato che verrà contattato.

Uno dei rischi a cui la versione 1.0 delle linee guida n. 8/2020 (in consultazione) dell’EDPB, sul targeting degli utenti dei social media, è rappresentato dal non corretto utilizzo dei dati inferiti. Si premette come i dati inferiti siano il risultato della combinazione tra i dati forniti dall’utente del social media e i dati che quest’ultimo acquisisce da terze parti, sempre con riferimento al medesimo interessato.