Ha suscitato scalpore il caso di Cambridge Analytica, come se non sapessimo che Facebook non è proprio il miglior amico della nostra privacy. Assorbiti dai suoi aspetti ludici a suon di condivisioni e “like”, avevamo forse dimenticato che se un’azienda fattura 40 miliardi di dollari l’anno fornendo servizi gratuiti ai propri utenti, c'è la concreta possibilità che il reale prodotto siamo noi con le informazioni personali che ci riguardano.
Nonostante le rassicurazioni di Google, a quanto pare Privacy Sandbox non verrà appoggiata dagli editori tedeschi. Alex Springer (proprietario di Bild, Politico e Business Insider) e altre aziende del settore hanno infatti chiesto l'intervento della Commissione europea per bloccare l'entrata in vigore dell'iniziativa prevista nel corso del 2023. Il progetto Privacy Sandbox è stato avviato da Google nel 2019 con l'obiettivo di trovare un'alternativa ai cookie di terze parti per applicare i principi stabiliti all’art. 25 del Gdpr sulla “Data Protection by Design e by Default” in merito al tracciamento dei propri utenti.
Con la pubblicazione delle Linee Guida sottoposte a consultazione pubblica, anche considerando la particolare invasività che possono avere nell´ambito della sfera privata degli utenti, l’Autorità Garante ha ritenuto opportuno affrontare nuovamente il tema dell'utilizzo dei cookie così come gli altri strumenti di tracciamento. Seppur il GDPR non sia intervenuto direttamente sul punto, le norme sul consenso ma, anche in misura non secondaria, le norme sull'attuazione dei principi di protezione dati già dalla progettazione e per impostazioni predefinite (cd. "privacy by design e by default" o DPbDD) hanno sicuramente innovato il panorama giuridico di riferimento relativo ai cookie. La sopravvenuta normativa ha, quindi, richiesto la recente presa di posizione dell’Autorità Garante.
Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board.
I sistemi di videosorveglianza sia che perseguano finalità di “security” che di mera “tutela del patrimonio” devono essere progettati tenendo conto, sotto il profilo della protezione dei dati personali dei principi della c.d. privacy by design e by default. Con l’espressione data protection by design , disciplinata dal paragrafo 1 dell’articolo 25 del RGPD 679/2016, si intende l’obbligo in capo al Titolare, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura e delle finalità del trattamento, di mettere in atto misure tecniche e organizzative adeguate, per integrare nel trattamento le necessarie garanzie volte a tutelare i diritti degli interessati.
La raccolta ed il trattamento dei dati personali per finalità di profilazione e di marketing personalizzato è uno, se non il maggiore, dei pilastri della Rivoluzione digitale. Giganti dell’industria 4.0 come Google e Facebook non sarebbero mai sorti senza l’apporto economico dato dal modello di business della pubblicità targettizzata. Negli ultimi anni, però, abbiamo assistito a numerosi scandali provocati da “massive” violazioni di dati personali, come nel recente caso di Linkedin, o del loro utilizzo per fini poco leciti come nel caso Cambridge Analytica.
L'autorità privacy spagnola – Agencia Española de Protección de Datos (AEPD) – ha pubblicato un’interessante Guida sul principio della protezione dei dati per impostazione predefinita, comunemente noto come (Privacy) Data-Protection-by-Default, Art. 26.2 GDPR. Tale Guida si presenta come un “percorso pratico” preordinato ad aiutare i titolari del trattamento ad essere conformi alle disposizioni del GDPR e delle Linee Guida del Comitato Europeo per la Protezione dei Dati.
L’European Data Protection Board (EDPB), nell’ambito dei propri compiti e per promuovere l’applicazione coerente del Regolamento UE 679/2016, ha adottato in data 13 novembre 2019 un progetto di linee guida (4/2019), sottoposto a pubblica consultazione sino al 16 gennaio 2020. Successivamente, effettuate eventuali modifiche, le Linee Guida verranno definitamente adottate.
A pochi giorni dall’inaugurazione in pompa magna del Global Cyber Security and Privacy Protection Transparency Center, gestito da Huawei e ubicato a Dongguan in Cina, e vista la discussione che sta avvenendo all’interno degli organi istituzionali del nostro Paese in merito al decreto-legge sull’Agenzia sulla cybersicurezza, ci indicano ancora una volta con chiarezza quanto il tema della privacy sia fondamentale quando si parla di cyber security.
In data 10 Giugno 2021 [doc. web 9685922] l’Autorità Garante ha sanzionato un titolare del trattamento per aver implemento senza una valutazione di impatto privacy una piattaforma ai fini della gestione del whistleblowing in violazione dei principi della privacy by design e by default.
