Non finiscono i problemi di Facebook con l’Ue in seguito agli scandali sulla condivisione non autorizzata dei dati degli utenti europei che si sono susseguiti nelle ultime settimane. Con una sentenza, che potrebbe mettere fuori gioco gli strumenti giuridici utilizzati dalle società tecnologiche statunitensi per trasferire i dati degli utenti dell’Ue negli Stati Uniti, l’Alta Corte irlandese ha rifiutato il 2 maggio la richiesta del gigante californiano di non inviare al più alto tribunale europeo di un caso “decisivo” in materia di privacy.
In data 15 gennaio 2024 la Commissione europea ha stabilito che la nuova legge federale sulla protezione dei dati (nLPD) è equivalente al Regolamento generale sulla protezione dei dati (GDPR) in vigore nell'UE. Medesimo trattamento è stato accordato dalle autorità comunitarie al diritto di dieci altri Stati terzi.
Era stata definita come la “applicazione mobile gratuita italiana, realizzata dal Dipartimento per la trasformazione digitale, in collaborazione con PagoPA S.p.A. e diversi volontari che hanno collaborato allo sviluppo, con l’obiettivo di rendere i servizi delle pubbliche amministrazioni accessibili ai cittadini su un’unica piattaforma”. Oggi si scopre che la app “IO” spedisce i dati degli utenti a diverse piattaforme straniere (Google, Mixpanel e Instabug) alla faccia della privacy e soprattutto approfittando del naturale rapporto di fiducia che lega il buon cittadino alle iniziative che portano il cappello dello Stato.
Via libera al trasferimento di dati liberi e sicuri tra l'Unione europea e Repubblica di Corea del sud, con uno standard elevato di protezione. La Commissione europea rende noto di aver adottato una "decisione di adeguatezza", il meccanismo previsto dalla legislazione sulla privacy per il trasferimento di dati personali dall'Ue a paesi terzi, a patto che questi garantiscano un livello di protezione paragonabile a quello europeo.
Con la sentenza nella causa C-311/18 del 16 luglio 2020, la Corte di Giustizia dell’Unione europea ha invalidato il "Privacy Shield", ovvero l’accordo largamente difuso con cui grandi organizzazioni e multinazionali potevano fino ad ora legittimare il trasferimento di dati personali tra Europa e Stati Uniti.
Con sentenza nella causa T-553/23, la Corte di Giustizia dell’Unione Europea ha respinto il ricorso presentato dall’eurodeputato Philippe Latombe, confermando la legittimità del Data Privacy Framework (DPF), lo strumento giuridico che dal 2023 disciplina i trasferimenti di dati personali dall’Unione europea verso gli Stati Uniti.
Il caso “Google Analytics” affrontato dall’Autorità Garante con il provvedimento del 09 giugno 2022 prende spunto dalla pronuncia C-311/18, del 16 luglio 2020 (c.d. Schrems II), con la quale la Corte di Giustizia dell’Unione Europea, nel dichiarare l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield), ha constatato che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act - di seguito “FISA 702”) comporti deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica.
L’articolo 45 del Gdpr stabilisce la possibilità di trasferire i dati personali in un paese extra UE e SEE se e quando il paese in questione riceve il nulla osta da parte della Commissione Europea tramite una “Decisione di Adeguatezza”. Al momento, come si può constatare sul sito ufficiale della Commissione Europea, vi sono solo dodici paesi la cui disciplina in ambito privacy è stata considerata equiparabile, rispetto agli standard di protezione, a quella Europea. A questi si aggiunge la Corea del Sud, al momento al vaglio della Commissione.
L'aggiornamento legislativo statunitense rappresentato dalla proroga della Sezione 702 del Foreign Intelligence Surveillance Act (FISA) merita un'analisi approfondita, specialmente alla luce delle sue ramificazioni per la privacy dei cittadini europei protetti dal Regolamento Generale sulla Protezione dei Dati (GDPR).
“Siamo un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese . . . “ così cominciava il 12 maggio scorso una pec indirizzata a numerosi soggetti pubblici da parte di un gruppo hacker con la quale si invitavano gli enti a rimuovere il noto cookie analitico di Google in favore di Web Analytics Italia minacciando una “ . . . segnalazione al Garante per la Protezione dei Dati e al Difensore Civico Digitale”.
