Era stata definita come la “applicazione mobile gratuita italiana, realizzata dal Dipartimento per la trasformazione digitale, in collaborazione con PagoPA S.p.A. e diversi volontari che hanno collaborato allo sviluppo, con l’obiettivo di rendere i servizi delle pubbliche amministrazioni accessibili ai cittadini su un’unica piattaforma”. Oggi si scopre che la app “IO” spedisce i dati degli utenti a diverse piattaforme straniere (Google, Mixpanel e Instabug) alla faccia della privacy e soprattutto approfittando del naturale rapporto di fiducia che lega il buon cittadino alle iniziative che portano il cappello dello Stato.
Via libera al trasferimento di dati liberi e sicuri tra l'Unione europea e Repubblica di Corea del sud, con uno standard elevato di protezione. La Commissione europea rende noto di aver adottato una "decisione di adeguatezza", il meccanismo previsto dalla legislazione sulla privacy per il trasferimento di dati personali dall'Ue a paesi terzi, a patto che questi garantiscano un livello di protezione paragonabile a quello europeo.
Con la sentenza nella causa C-311/18 del 16 luglio 2020, la Corte di Giustizia dell’Unione europea ha invalidato il "Privacy Shield", ovvero l’accordo largamente difuso con cui grandi organizzazioni e multinazionali potevano fino ad ora legittimare il trasferimento di dati personali tra Europa e Stati Uniti.
Il caso “Google Analytics” affrontato dall’Autorità Garante con il provvedimento del 09 giugno 2022 prende spunto dalla pronuncia C-311/18, del 16 luglio 2020 (c.d. Schrems II), con la quale la Corte di Giustizia dell’Unione Europea, nel dichiarare l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield), ha constatato che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act - di seguito “FISA 702”) comporti deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica.
L’articolo 45 del Gdpr stabilisce la possibilità di trasferire i dati personali in un paese extra UE e SEE se e quando il paese in questione riceve il nulla osta da parte della Commissione Europea tramite una “Decisione di Adeguatezza”. Al momento, come si può constatare sul sito ufficiale della Commissione Europea, vi sono solo dodici paesi la cui disciplina in ambito privacy è stata considerata equiparabile, rispetto agli standard di protezione, a quella Europea. A questi si aggiunge la Corea del Sud, al momento al vaglio della Commissione.
“Siamo un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese . . . “ così cominciava il 12 maggio scorso una pec indirizzata a numerosi soggetti pubblici da parte di un gruppo hacker con la quale si invitavano gli enti a rimuovere il noto cookie analitico di Google in favore di Web Analytics Italia minacciando una “ . . . segnalazione al Garante per la Protezione dei Dati e al Difensore Civico Digitale”.
Il GDPR, ovvero il Regolamento generale Privacy della UE, appare essere sempre più lo standard a cui tendono anche Paesi non Europei. E’ notizia di questi giorni che l’India perseguirà l’obiettivo di ottenere una decisione di “adeguatezza” ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dell’UE, dopo aver approvato la propria legge sulla protezione dei dati personali.
Nella prima relazione redatta e comunicata ai sensi dell'art. 97 del Regolamento UE 2016/679 (documento del 24 giugno 2020), la Commissione (oltre al resto) indirizzava una esortazione al Comitato europeo per la protezione dei dati nel senso di chiarire “l'interazione tra le norme sui trasferimenti internazionali di dati (capo V) e l'ambito di applicazione territoriale (articolo 3) del regolamento generale sulla protezione dei dati”. A distanza di oltre un anno, lo scorso 18 novembre il Board ha pubblicato sull'argomento le Linee Guida 05/2021 ed ha avviato una consultazione pubblica che si concluderà il 31 gennaio 2022.
Il Garante per la protezione di dati personali ha autorizzato la Consob a sottoscrivere un accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello spazio economico europeo (SEE) e quelle al di fuori del SEE.
In principio (si fa per dire) fu la sentenza C-311/18 della Corte di Giustizia dell'Unione Europea (c.d. “Schrems II”, del 16 luglio 2020) che invalidò di colpo (pur non essendo il classico fulmine a ciel sereno) lo Scudo Privacy (Privacy Shield), gettando milioni di operatori pubblici e privati in Unione Europea nelle ambasce di trasferimenti di dati personali 'senza rete' verso operatori stabiliti negli USA.
