È una decisione destinata a destare scalpore (e forse anche a fare scuola) quella della Commissione irlandese per la protezione dei dati che, prima tra i regolatore della privacy dell’Unione Europea ha inviato a Facebook un ordine preliminare per sospendere i trasferimenti di dati negli Stati Uniti sui suoi utenti dell’UE. Si tratta del primo passo significativo che le autorità di regolamentazione dell’UE hanno compiuto per applicare una sentenza di luglio sui trasferimenti di dati della Corte d Giustizia Europea che limita il modo in cui aziende come Facebook possono inviare informazioni personali sugli europei al suolo statunitense, nel timore che i dati degli utenti europei vengano ‘spiati’ e schedati.
Al setaccio i contratti con i fornitori di servizi elettronici: le scuole, una per una, devono verificare se questi applicativi esportano dati al di fuori dell'Unione Europea nel rispetto del Gdpr. Inoltre, gli istituti devono anche configurare i sistemi in maniera da evitare l'indebito invio di informazioni relative a personale, studenti e famiglie verso Stati che non garantiscono una tutela dei dati equiparabile a quella del Regolamento Ue sulla privacy n. 2016/679 (Gdpr). Sono queste alcune indicazioni desumibili dalla nota del ministero dell'istruzione e del merito (Mim) protocollo n. 706 - del 20 marzo 2023, recapitata a tutti gli uffici scolastici regionali e agli organi scolastici delle autonomie.
Il 4 giugno 2021, dopo oltre 11 anni dall’ultima decisione sul punto, la Commissione Europea ha adottato una nuova Decisione riguardante le Standard Contractual Clauses (d’ora in avanti SCC), per la quale si attende oramai, giusti alcuni accorgimenti, solamente la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea. La decisione comprende due set di SCC, uno per i rapporti tra titolari del trattamento e responsabili del trattamento e l’altro, oggetto del presente articolo, riguardante il trasferimento di dati verso paesi terzi. La necessità di una nuova Decisione sulla questione dei trasferimenti di dati personali al di fuori dallo spazio UE-SEE verso Paesi non coperti da una decisione di adeguatezza ex art. 45 del GDPR era, oramai, di vitale importanza.
Al “Privacy Shield” è toccato, in sostanza, il destino del “Safe Harbor” – Nella decisione della Corte di Giustizia ha pesato, segnatamente, il primato delle esigenze di sicurezza nazionale, interesse pubblico e amministrazione della giustizia, tale da consentire ingerenze del governo nei diritti fondamentali delle persone fisiche i cui dati sono trasferiti alle imprese U.S.A. – A ciò si è aggiunta la verifica della mancanza di garanzie di indipendenza, rispetto al Dipartimento di Stato U.S.A., della figura del Mediatore dello “Scudo Privacy”, in contrasto con l’articolo 47 della Carta dei Diritti Fondamentali dell'Unione Europea.
L'Autorità italiana ha condotto una complessa istruttoria sui prodotti di riconoscimento facciale della società statunitense Clearview AI Inc , infliggendole – tra l'altro - una sanzione di 20 milioni di euro per aver messo in atto un monitoraggio biometrico di persone che si trovano nel territorio italiano.
Il sito web austriaco NetDoktor, che si occupa di notizie mediche, funziona come milioni di altri: l’utente naviga sul sito e un cookie di Google Analytics viene posizionato sul dispositivo del medesimo utente, tracciando ciò che fa durante la sua visita. Questa funzione può includere le pagine che vengono lette, quanto tempo si rimane sul sito e informazioni sul dispositivo dello stesso utente, con assegnazione da parte di Google di un numero di identificazione che può essere collegato ad altri dati.
Sarà formalmente aperto al traffico giovedì 12 ottobre il ponte di dati tra Regno Unito e Stati Uniti, che consentirà alle aziende e alle organizzazioni britanniche di trasferire dati a organizzazioni certificate negli Stati Uniti.
Uno degli aspetti meno appariscenti della recente legge 171/2018 è che permetterà a San Marino di superare il protezionismo dell’Unione Europea relativamente al trattamento di dati personali. Questo significa che le imprese sammarinesi potranno scambiare beni e servizi con imprese UE senza “pagare dazio” sulle modalità di trattamento dei dati personali.
Per le ricette transfontaliere occorrono maggiori garanzie e il Garante per la protezione dei dati personali è pronto ad offrire la sua collaborazione al Ministero della salute per un sistema di assistenza transfrontaliera a prova di privacy.
Scatta il rischio sanzioni privacy per chi, sui propri siti Internet, continua a usare e anche per chi ha usato in passato Google Analytics 3 o servizi simili. Sono servizi per avere statistiche su chi visita le pagine web, ma sono illegittime se trasferiscono dati verso gli Usa, senza garanzie per gli interessati. Il Garante italiano, seguendo i precedenti conformi dei garanti austriaco e francese, ha, infatti, bocciato la versione 3 di Google Analytics (GA) con il provvedimento n. 224 del 9 giugno 2022, a latere del quale ha avvisato aziende e pubbliche amministrazione che, a partire dal novantesimo giorno successivo alla notifica del provvedimento citato all'operatore coinvolto, sarebbero state avviate ispezioni per accertare chi è in regola e chi no con il Gdpr.
