Trasferimento dati verso Paesi terzi, cooperazione fra Autorità, Convenzione 108+ e convergenza delle legislazioni nazionali degli Stati terzi verso il modello europeo, sfide dell’innovazione come l’Intelligenza artificiale e il flusso globale di dati personali, giurisprudenza della Corte europea dei diritti dell’uomo.
Nello stato federale tedesco dell’Assia, le scuole non potranno più utilizzare Microsoft Office 365 per via di una violazione del Gdpr. Le contestazioni risalgono all’agosto 2017, quando il commissario dell’Assia per la protezione dei dati e della libertà d’informazione, a seguito di un’indagine sul cloud di Microsoft, aveva scoperto che questo non garantiva una protezione dei dati sufficiente secondo le regole comunitarie, poiché si appoggiava a server negli Stati Uniti.
Gira la voce tra alcuni reparti IT che le aziende che usano i servizi in cloud di Google, come la posta elettronica, gli applicativi office o il drive virtuale, siano completamente a norma: vero oppure falso? In effetti il CEO di Google ha rilasciato dichiarazioni che, da una superficiale lettura, danno adito a tutta una serie di implementazioni da parte di Google, con lo scopo di voler alzare l’asticella sulla protezione dei dati personali legandola ad alcuni strumenti messi a disposizione delle aziende clienti, il tutto proprio in funzione del decaduto Privacy Shield.
L'autorità austriaca per la protezione dei dati (Datenschutzbehörde) ha dichiarato illegale l'uso di Google Analytics perché viola il Gdpr, e come nel caso dell’invalidazione del Privacy Shield da parte della Corte di Giustizia UE e in altre pronunce che in passato hanno avuto pesanti impatti sulla protezione dei dati personali europea, ancora una volta c’è lo zampino dell’attivista Max Schrems.
E' sicuro che la decisione della Corte di Giustizia dell'Unione Europea nella causa C-311/18 del 16 luglio 2020 - la c.d. sentenza “Schrems II” - dovrà essere ricordata e metabolizzata per qualcosa di più che per il colpo di ghigliottina inferto al “Privacy Shield”. C'è, in buona sintesi, un argomento/punto – certo non nuovo! - su cui deve/dovrà concentrarsi l'attenzione degli interpreti e degli operatori. Con la domanda di pronuncia pregiudiziale, il giudice del rinvio ha interrogato la CGUE sulla applicabilità del Regolamento UE 2016/679 (d'ora in poi anche solo 'Regolamento') a trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella decisione 2010/87, sul livello di protezione richiesto nel quadro di un trasferimento siffatto e sugli obblighi correlativamente incombenti sulle autorità di controllo.
Il Garante per la protezione dei dati personali ha aperto un’istruttoria per valutare i potenziali rischi relativi al trattamento dei dati personali dei clienti italiani effettuato dalla società russa che fornisce il software antivirus Kaspersky.
Come noto la Corte di giustizia dell'Unione europea (CGUE) si è pronunciata lo scorso 16 luglio (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l'Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del "Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell'accordo "Safe Harbor".
Il Garante europeo della protezione dei dati (Edps) ha pubblicato un documento strategico volto a monitorare la conformità delle istituzioni, degli organi e degli organismi europei (IUE) alla sentenza "Schrems II" che lo scorso luglio ha invalidato il Privacy Shield in relazione ai trasferimenti di dati personali verso paesi terzi, e in particolare negli Stati Uniti.
Non finiscono i problemi di Facebook con l’Ue in seguito agli scandali sulla condivisione non autorizzata dei dati degli utenti europei che si sono susseguiti nelle ultime settimane. Con una sentenza, che potrebbe mettere fuori gioco gli strumenti giuridici utilizzati dalle società tecnologiche statunitensi per trasferire i dati degli utenti dell’Ue negli Stati Uniti, l’Alta Corte irlandese ha rifiutato il 2 maggio la richiesta del gigante californiano di non inviare al più alto tribunale europeo di un caso “decisivo” in materia di privacy.
In data 15 gennaio 2024 la Commissione europea ha stabilito che la nuova legge federale sulla protezione dei dati (nLPD) è equivalente al Regolamento generale sulla protezione dei dati (GDPR) in vigore nell'UE. Medesimo trattamento è stato accordato dalle autorità comunitarie al diritto di dieci altri Stati terzi.
