RASSEGNA STAMPA DATA PROTECTION 29.03.2021

Contents

Data Governance Act, ecco i fronti critici secondo i Garanti privacy europei ........................... 2

Trasferimento dati verso il Regno Unito, la bozza della decisione Ue: tempistiche e prossimi

step ............................................................................................................................................. 4

Ora i dipendenti preferiscono WhatsApp alla mail: dati aziendali fuori controllo ................... 6

Come cambierà il mondo della pubblicità online senza i cookie di Google ............................... 7

Sistemi di controllo degli accessi contactless: i vantaggi delle credenziali smartphone ........... 9

Privacy ed evasione fiscale, quando prevale l’interesse pubblico sulla protezione dei dati .... 12

Schrems II, prima pronuncia privacy: così Mailchimp in Germania segna un precedente .... 17

Certificato verde digitale, come funziona e quali sono gli impatti privacy .............................. 19

French data protection watchdog casts doubt on Apple’s privacy compliance ....................... 21

Exclusive: Software vendors would have to disclose breaches to U.S. government users under

new order: draft ....................................................................................................................... 23

2

Data Governance Act, ecco i fronti critici secondo i Garanti privacy europei

Di Riccardo Berti e Franco Zumerle | 22 marzo 2021

Le due autorità EDPB ed EDPS si sono espresse in modo critico sulla proposta di testo del Data Governance Act avanzata dalla Commissione europea, evidenziando come alcuni aspetti rischiano di sovrapporsi alla disciplina del GDPR.

EDPB ed EDPS hanno rilevato numerosi fronti critici nella proposta della Commissione Europea in tema di Data Governance Act, dall’influenza della norma sul livello di protezione dei dati alla nomenclatura. Le due autorità ci hanno abituato a pareri molto rigorosi circa le ricadute del GDPR sulle varie normative europee, ad essa complementari, sottoposte ad un loro esame, dimostrato anche nell’opinion relativa alla Direttiva NIS e nello statement relativo al Regolamento e-Privacy.

L’obiettivo dichiarato delle due istituzioni è quello di evitare inutili sovrapposizioni fra normative dell’Unione e di garantire che non siano surrettiziamente introdotte nella disciplina UE delle disposizioni di fatto in deroga alle garanzie minime previste dal GDPR per i dati dei cittadini dell’Unione. Proprio in quest’ottica, l’EDPB ha individuato numerosi punti critici nella proposta di Data Governance Act che, nella versione attuale, rischia di comportare dannose sovrapposizioni con il GDPR. Vediamo i suggerimenti.

Le osservazioni dei Garanti privacy europei

Il Data Governance Act (DGA) è una nuova proposta di Regolamento Europeo che dovrebbe inserirsi nella strategia europea in materia di dati e mira a promuovere la disponibilità di dati nel settore pubblico e la loro condivisione a livello europeo. La proposta di Regolamento si propone di disciplinare i big data in possesso delle pubbliche amministrazioni favorendo il riutilizzo delle informazioni a livello comunitario e consentendone il trattamento per il tramite di un “intermediario per la condivisione dei dati personali”, figura che dovrebbe fungere da garante del rispetto del GDPR e del Data Governance Act nelle fasi di condivisione e riutilizzo dei dati.

Il Data Governance Act propone anche di monetizzare la condivisione di alcuni dei dati delle pubbliche amministrazioni con imprese private e di consentirne invece la condivisione gratuita per finalità meritevoli. Nell’opinion resa dal Gruppo Europeo dei Garanti e dal Garante Europeo vengono rilevate numerose criticità in quanto la normativa mal si coordina, sotto alcuni aspetti, con il GDPR. Wojciech Wiewiórowski, Garante Europeo, in una nota diffusa il 10 marzo, ha ribadito la propria posizione secondo cui da grandi database derivano grandi responsabilità, che rendono necessarie adeguate salvaguardie per la protezione dei dati. Da questa responsabilità deriva innanzitutto una responsabilizzazione del legislatore quando affronta questa delicata materia, a tutela dell’acquis comunitario in tema di protezione dei dati personali.

I Garanti iniziano quest’opera di “responsabilizzazione” censurando l’articolo 1 della proposta di DGA, proponendo l’inserimento di una disposizione che affermi in modo chiaro e inequivocabile che il DGA non incide in alcun modo sul livello di protezione dei dati personali dell’individuo prescritto ai sensi le disposizioni del diritto dell’Unione e nazionale e non altera gli obblighi e i diritti previsti dalla normativa sulla protezione dei dati. Questo “suggerimento” si rende necessario in quanto una simile premessa è presente nella bozza di DGA, ma all’articolo 9, dove sono disciplinati i Fornitori di servizi di condivisione dei dati, con ciò dando l’impressione che le ulteriori disposizioni della proposta di regolamento siano slegate da quest’obbligo invece essenziale.

Gli errori nelle definizioni

Ancora errori formali vengono rilevati dai Garanti nelle definizioni contenute nella normativa, che propone definizioni come “titolare dei dati” (il soggetto che ha diritto a consentire accesso a dati personali e non che siano “sotto il suo controllo”) e “utente dei dati” (il soggetto che ha legittimo accesso a determinati dati personali e non), definizioni che non paiono coordinate con il GDPR e che potrebbero essere fonte di confusione. In particolare l’EDPB e l’EDPS si

3

soffermano sulla definizione di “titolare dei dati”, figura non chiara nella sua sovrapposizione (che deve per forza essere precisa) con “titolare del trattamento” o “responsabile del trattamento” a seconda dei casi.

Il Garante poi avversa il Data Governance Act, nei punti in cui prevede la nomina di “autorità” che potrebbero entrare in conflitto con le Autorità Garanti nominate ai sensi del GDPR. Il Gruppo dei Garanti segnala il rischio di interferenze, di discrepanze nell’applicazione della normativa e di difficoltà nel monitoraggio. Quello che l’EDPB e l’EPDS vogliono evitare è la creazione di una sorta di “giurisdizione speciale privacy” quando si parla di big data in possesso alle pubbliche amministrazioni.

Il riutilizzo dei dati

Il Gruppo dei Garanti censura poi la normativa prevista in tema di riutilizzo dei dati da parte delle pubbliche amministrazioni, che mal si coordina non solo con il GDPR (dimenticando ad esempio di disciplinare la base del trattamento e la necessità di informativa agli interessati), ma anche con la Direttiva Open Data (Direttiva (UE) 2019/1024), che ad esempio propone delle disposizioni contrastanti in tema di costi di accesso ai dati (la Direttiva Open Data prescrive delle fee per coprire i costi di anonimizzazione dei dati, mentre la DGA non tiene conto del processo nell’imporre fee ai soggetti esterni che volessero avere accesso ai dati).

La proposta di regolamento poi appare mettere sullo stesso piano dati anonimi e pseudonimi, mentre per il GDPR esiste una distinzione fondamentale fra le due categorie di dati, mentre i dati anonimizzati non sono dati personali i dati pseudonimizzati rimangono infatti dati personali e vanno trattati di conseguenza nel pieno rispetto del GDPR.

Data sharing as a platform: i problemi

Ulteriore terreno di scontro è quello relativo al concetto di “data sharing as a platform”, ovvero una piattaforma che faccia da intermediario fra un numero indefinito di “titolari di dati” e “utenti dei dati”, progettata come una sorta di mercato dei dati aperto, che però risulta contrario ai principi di privacy by design e by default, trasparenza e limitazione delle finalità, questo a meno che la piattaforma non consenta una preselezione delle informazioni rilevanti basata sull’interesse del soggetto che vi accede.

Inoltre, i “data sharing service provider” dovrebbero essere sottoposti ad un regime di autorizzazione (mentre la direttiva propone unicamente un potere di veto basato sulla verifica di requisiti formali).

Data altruism, come funziona

Infine, il Gruppo dei Garanti censura la disciplina riservata al c.d. data altruism (ovvero l’utilizzo dei big data custoditi dalle amministrazioni per ragioni di interesse generale come ricerche scientifiche o il miglioramento di servizi pubblici). L’idea, senz’altro da accogliere con favore nei suoi intenti, viene censurata nelle modalità da EDPS e EDPS, che chiedono una modifica della disciplina con maggior rigore circa la raccolta del consenso al data altruism e sulla possibilità di revocarlo, nonché una miglior definizione delle finalità per cui i dati possono essere riutilizzati.

Il parere si chiude con una richiesta di rinominare la “European Data Innovation Board” introdotta con il DGA in “Commission Expert Group on Data Governance”, per evitare confusione con EDPB o EDPS.

Insomma, il Gruppo dei Garanti non “promuove” la DGA nemmeno nella scelta delle nomenclature ed è quindi evidente che la proposta di Regolamento dovrà passare per un lungo processo di revisione prima di poter superare incolume il vaglio dei Garanti comunitari (i pareri di EDPB e EDPS non sono vincolanti ma sono sempre tenuti in massima considerazione dal legislatore comunitario).

Lo scenario futuro

4

Il recente irrigidimento del Garante Europeo e dei Garanti nazionali è da ricondurre al fatto che il GDPR è ormai uno strumento normativo maturo e rodato e chiede un compiuto adeguamento non solo da parte dei soggetti a cui si applica la disciplina, ma anche da parte del legislatore quando accidentalmente “dimentica” la tutela della riservatezza nel normare aspetti complementari al GDPR. Il ruolo delle istituzioni autonome create in tema privacy è quello di ricordarci che il GDPR è la norma fondamentale in tema di protezione dei dati personali, e che i diritti che tutela non possono essere più considerati diritti di serie B in seno all’Unione.

Al “consolidamento” del GDPR come normativa ormai acquisita e approfondita da tutti i punti di vista, fa eco l’attività dei Garanti, sempre meno preoccupati del fatto che le loro sanzioni possano essere censurate perché premature e “ingiuste” nei confronti delle aziende e degli enti, e sempre meno in soggezione nei confronti delle amministrazioni pubbliche di cui sono emanazione (come dimostra la recente sanzione al MISE per la mancata nomina di un DPO). Il trend, ben rappresentato nel puntuale e rigido esame normativo destinato al Data Governance Act, verosimilmente non è destinato a cambiare, anzi, la privacy diventerà sempre più centrale con il passare del tempo e il consolidarsi della normativa GDPR porterà le autorità indipendenti ad una sua applicazione integrale e completa, senza più sconti per “errori di gioventù” che finora hanno graziato specie le piccole e medie imprese e le amministrazioni.

D’altro lato, solo questo sviluppo dell’attività dei Garanti è la chiave per una vera evoluzione del GDPR, finora poco messo alla prova nelle sue pur presenti idiosincrasie dal tutto sommato scarso contenzioso che l’ha interessato.

Articolo pubblicato su: agendadigitale.eu

* * *

Trasferimento dati verso il Regno Unito, la bozza della decisione Ue: tempistiche

e prossimi step

di Chiara Benvenuto e Marcello Ferraresi | 23 marzo 2021

La Ue ha presentato una bozza della decisione di adeguatezza per il Regno Unito, allontanando l’ipotesi di applicazione di altri strumenti per il trasferimento. La novità è che la decisione dovrebbe avere durata di quattro anni a partire dalla sua entrata in vigore, trascorsi i quali l’adeguatezza dovrà essere riconfermata.

Il 19 febbraio 2021, la Commissione europea ha presentato una bozza della decisione di adeguatezza per il Regno Unito ai sensi dell’art. 45, comma 3 del GDPR, allontanando quindi l’ipotesi dell’applicazione dell’articolo 46 per il trasferimento di dati personali di cittadini Ue verso Il Paese, sul quale torneremo di seguito.

La bozza analizza a fondo e dettagliatamente il quadro normativo che regola la protezione dei dati nel Regno Unito, reputandola adeguata agli standard europei.

Esso reca con sé un’importanza ancor maggiore se si pensa che si tratta non solo della prima decisione di adeguatezza riguardante un Paese che fino a poco tempo fa adottava il GDPR, ma anche della prima e unica decisione dopo la sentenza “Schrems II” della Corte di Giustizia Europea, che aveva annullato il cosiddetto Privacy Shield nei confronti degli Stati Uniti.

La bozza della decisione di adeguatezza

Con riferimento alle “Regole applicabili al trattamento dei dati personali”, la bozza si occupa di esaminare minuziosamente l’ordinamento inglese in materia, dall’Human Rights Act del 1998 al cosiddetto UK GDPR.

La Commissione valuta con attenzione l’ambito materiale, territoriale e le definizioni utilizzate, nonché il regime dei trasferimenti internazionali di dati personali e le restrizioni ai diritti individuali previsti in determinati contesti, concludendo per l’individuazione di tutele e garanzie idonee a soddisfare pienamente i requisiti richiesti dal Regolamento europeo n. 679/2016.

5

Il draft prosegue la sua indagine valutando l’operato dell’Autorità indipendente inglese per la protezione dei dati (Information Comissioner’s Office), senz’altro imparziale e indipendente. Infine, la Commissione giudica positivamente le possibilità garantite ai cittadini circa l’accesso a organi amministrativi e giudiziari al fine di ottenere una protezione adeguata dei propri diritti nell’ambito della data protection.

La sezione più corposa del documento è quella “Accesso e utilizzo di dati personali trasferiti dall’ Unione Europea da parte delle autorità pubbliche inglesi” nella quale la Commissione descrive minuziosamente le basi legali, i limiti e le garanzie dei vari strumenti che le agenzie di polizia e i servizi di intelligence hanno attualmente a loro disposizione per il trattamento dei dati personali dei cittadini, così come il meccanismo di ricorso disponibile per gli interessati. A parere della Commissione, l’accesso ai dati da parte delle autorità pubbliche è consentito esclusivamente in ottemperanza a disposizioni di legge e per fini di interesse pubblico tassativamente limitati.

Conclusa l’esperienza europea del Regno Unito

A partire dal primo gennaio 2021, il periodo di transizione concesso al Regno Unito al fine di uscire dall’ Unione Europea è ufficialmente terminato. Tutti i necessari step formali sono stati completati e da questa data si può dunque ritenere conclusa l’esperienza europea della Gran Bretagna, iniziata il primo gennaio 1973 con l’ingresso nella Comunità Economica Europea.

L’uscita del Regno Unito dall’ Unione Europea comporta ovviamente una serie di sostanziali cambiamenti nei rapporti politici e giuridici tra le due realtà, ed è stato – e lo sarà ancora nel prossimo futuro – necessario uno sforzo congiunto al fine di raggiungere le soluzioni ottimali per il prosieguo della relazione tra l’Unione Europea e il Regno Unito, quest’ultimo ormai da considerarsi in toto alla stregua di uno Stato terzo.

Una decisione soggetta a scadenza

Le ultime tre sezioni sanciscono l’effetto vincolante della decisione per tutti gli Stati membri, stabiliscono le modalità di controllo e modifica della stessa e dispongono che essa abbia una durata di quattro anni a partire dalla sua entrata in vigore, trascorsi i quali l’adeguatezza dovrà essere riconfermata dalla Commissione, pena il suo decadimento.

Questo termine è un quid novi rispetto alle decisioni di adeguatezza viste in passato, le quali prevedevano sì un sistema di controllo continuo ma non una vera e propria scadenza.

La ratio di questa scelta risiede nella situazione peculiare nata dalla Brexit: era infatti presumibile che il Regno Unito – ad oggi – fosse dotato di una legislazione adeguata in tema di protezione dei dati.

I problemi e le differenze potrebbero invece sorgere in futuro, a causa di eventuali modifiche del quadro normativo attuale di matrice europea, e da qui la scelta di apporre un termine finale alla decisione di adeguatezza.

Si può affermare, dunque, che l’ordinamento del Regno Unito garantisca un livello di protezione dei dati personali trasferiti dall’Unione europea che è essenzialmente equivalente a quello sancito dal GDPR.

L’art. 46 del GDPR e il trasferimento dei dati extra UE

In caso di mancato riscontro del già menzionato equivalente livello di protezione, prendendo in esame l’ambito del trasferimento dei dati nei Paesi terzi, e dunque il GDPR, la Brexit avrebbe richiesto l’applicazione dell’art. 46 del GDPR al Regno Unito in quanto Paese esterno all’ Unione Europea.

L’articolo sopracitato, prevede che “il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi”.

6

Lo strumento più diffuso al fine di eseguire un trasferimento di dati extra UE conforme al GDPR consiste nell’utilizzo di clausole contrattuali generali di protezione dei dati (SCC – Standard Contractual Clauses) adottate dalla Commissione Europea, ma sono previsti anche ulteriori e più gravosi obblighi e controlli per raggiungere gli standard di sicurezza necessari.

Attualmente però, vige quanto stabilito dal nuovo Accordo sugli scambi e la cooperazione (Trade and Cooperation Agreement, TAC) stipulato in data 24 dicembre 2020, il quale prevede che la trasmissione di dati personali dall’ Unione al Regno Unito non sia considerata trasferimento verso un Paese terzo, ai sensi del diritto europeo, per un periodo transitorio che terminerà qualora la Commissione avrà adottato decisioni di adeguatezza in relazione al Regno Unito, oppure quattro mesi dopo la sua entrata in vigore.

Le tempistiche e i prossimi step

Il progetto di decisione dovrà ora ottenere il parere dello European Data Protection Board, nonché l’approvazione di un comitato composto dai rappresentanti degli Stati Membri.

Dopodiché, potrà essere ufficialmente adottata dalla Commissione.

Questa decisione può garantire il necessario livello di certezza giuridica circa i rapporti con il Regno Unito in questo ambito, favorendo così il commercio e le relazioni economiche con un partner storicamente fondamentale per la zona euro.

Il regime provvisorio che garantisce il trasferimento dei dati tra lo spazio economico europeo e il Regno unito – nato dall’ Accordo sugli scambi e la cooperazione attualmente in vigore – scade il 30 giugno 2021 e i lavori per l’approvazione della decisione dovrebbero terminare dunque prima di quella data.

Conclusioni

La presentazione della bozza effettuata pochi giorni or sono fa ben sperare circa il raggiungimento di quest’obiettivo, ma è ancora presto per dirlo: a giudicare infatti dalla storia recente delle vicende post Brexit – sistematicamente caratterizzata da trattative travagliate e scadenze non rispettate – l’epilogo di questa vicenda non può ancora definirsi certo.

Articolo pubblicato su: agendadigitale.eu

* * *

Ora i dipendenti preferiscono WhatsApp alla mail: dati aziendali fuori controllo

Fonte: Federprivacy | 23 marzo 2021

Oltre il 70% degli impiegati utilizza app di messaggistica per condividere dati sensibili e informazioni critiche dell'azienda, e il 52% di professionisti e manager d’impresa fotografa documenti di lavoro riservati e li spedisce tramite WhatsApp, ma uno su quattro di essi (24%) sbaglia destinatario. Rapetto: “Si consegnano inconsapevolmente le chiavi dell’ufficio e in particolare quelle dei cassetti più riservati”. Bernardi:” Molte aziende hanno perso il controllo dei propri dati personali a causa delle app”. Decalogo di Federprivacy per aiutare le imprese a disciplinare l’uso di servizi aziendali di chat e messaggistica elettronica in conformità al Gdpr.

Quella di messaggiare tramite WhatsApp è ormai diventata una vera e propria mania, e non più solo per tenersi in contatto con gli amici e i propri cari, ma ora anche per scambiarsi ogni genere di comunicazioni di lavoro.

Il 75% dei dipendenti usa infatti WhatsApp o altre app di messaggistica e software di videoconferenza online per condividere dati sensibili, e il 71% di essi confessa di usare queste applicazioni per inviare informazioni critiche dell’azienda per cui lavora. Ad evidenziarlo è uno studio di Veritas Technologies, azienda specializzata nella produzione di soluzioni tecnologiche per la protezione dei dati, che ha intervistato 12.500 colletti bianchi di quattro continenti.

A completare il quadro è un sondaggio condotto da Federprivacy su un campione di circa mille professionisti e manager d’impresa italiani, dal quale è emerso che la metà degli intervistati

7

(52%) utilizza - più o meno spesso - il proprio smartphone per fotografare documenti di lavoro riservati e spedirli tramite WhatsApp o un’altra app simile. Peccato che circa uno su quattro di essi (24%) ammetta anche che ogni tanto sbaglia destinatario, e a preoccupare maggiormente è il fatto che tra le informazioni scambiate tramite queste applicazioni vi sono password aziendali, dettagli delle carte di credito, dati dei clienti, piani strategici, informazioni bancarie e salariali, e persino risultati dei test Covid-19 dei dipendenti con relativi dettagli medici.

Fiumi di informazioni confidenziali che scorrono quindi attraverso le app di micro chat che vengono preferite dal 54% degli utenti professionali perché le trovano più pratiche rispetto alla tradizionale posta elettronica, anche se in questi casi la rapidità dello strumento presta il fianco a notevoli rischi per le aziende, come avverte il Generale Umberto Rapetto:

“WhatsApp diventa il Mercurio dell’Olimpo dello smart working, il fedele servitore di chi vuole sbrigarsi e non perdere tempo: gli si affidano comunicazioni delicate, gli si dà il compito di veicolare documenti di estrema criticità, gli si delega il recapito di foto e audio con i dettagli di attività che dovrebbero restare segrete, gli si consegnano inconsapevolmente le chiavi dell’ufficio e in particolare quelle dei cassetti più riservati.”

E anche se è durante la pandemia che si è riscontrato il maggior aumento dell’uso di WhatsApp e delle varie piattaforme online per motivi di lavoro, a quanto pare non siamo però di fronte a un fenomeno passeggero, perché nello studio di Veritas il 79% degli intervistati ha affermato che in futuro si troverà di nuovo ad usare tali app per condividere informazioni aziendali e dati sensibili, nonostante che quasi un terzo (30%) degli impiegati sia stato già ammonito dai propri responsabili per aver inviato dati confidenziali tramite canali vietati dalle procedure interne.

“Se da una parte le aziende investono risorse e denaro per mantenere un adeguato livello di conformità generale al Gdpr, la realtà è che in molti casi esse hanno perso il controllo dei propri dati personali a causa del fatto che molti dipendenti si sono abituati a ricorrere spesso alla scorciatoia dell’app per trasmettere informazioni riservate ignorando le policy aziendali – spiega Nicola Bernardi, presidente di Federprivacy – Se le imprese non correranno presto ai ripari, sarà inevitabile assistere a una progressiva crescita di contenziosi e violazioni derivanti dall’uso irresponsabile di tali applicazioni”.

Secondo il sondaggio di Federprivacy, nel 60% delle imprese intervistate esiste già una policy che disciplina le app di messaggistica, e sono previste anche sanzioni disciplinari per chi infrange le regole, ma evidentemente le misure organizzative finora adottate non sono sufficienti ad arginare il problema. Per dare un aiuto pratico alle imprese che devono disciplinare l’uso di servizi aziendali di chat e messaggistica elettronica in conformità al Gdpr, Federprivacy ha elaborato anche un decalogo messo a disposizione degli associati con la Circolare 1-2021.

Articolo pubblicato su: federprivacy.org * * *

Come cambierà il mondo della pubblicità online senza i cookie di Google

di Mattia Salerno | 24 marzo 2021

A partire dal 2022, assisteremo ad una vera e propria rivoluzione del mercato del digital advertising, una rivoluzione privacy-oriented (perlomeno nelle intenzioni). Difatti, il prossimo anno, Google renderà pienamente operativa la Privacy Sandbox, una nuova soluzione che consentirà di raccogliere i dati e le informazioni relativi agli utenti dei prodotti e dei servizi digitali con modalità asseritamente più rispettose della protezione dei dati personali degli interessati. La Sandbox (che, nel gergo degli ingegneri, significa “ambiente protetto”), mira infatti a “ricostruire” la fiducia degli utenti nella digital economy, erosa dal massiccio utilizzo di cookie di terze parti operato da digital advertiser e da organizzazioni di ogni tipo e dalla sempre maggiore percezione di essere costantemente monitorati in tutte le azioni che compiamo online.

8

Il “pensionamento” dei cookie di terze parti – strumenti ad oggi essenziali per tutte le attività di digital marketing in quanto ideati per tracciare l’attività del singolo utente su diversi siti web – non è un’iniziativa recente: Safari e Firefox hanno già sposato da tempo la filosofia del “cookieless”. Tuttavia, l’avvento della Privacy Sandbox avrà comunque un effetto dirompente sul settore del digital advertising, considerato che Google Chrome rappresenta circa il 64% del mercato globale dei browser.

La “messa a terra” della Sandbox segnerà un importante cambiamento, in quanto essa si propone di sopperire alle esigenze di tracciamento dei digital advertiser senza trattare dati personali o, comunque, limitandone al minimo l’utilizzo, sfruttando diverse tecniche avanzate di raccolta e analisi dei dati. In particolare, la nuova soluzione prospettata da Google si compone di diverse Application Programming Interface, o “API” (i.e. procedure informatiche), tra le quali si ricordano, in quanto maggiormente significative:

Trust Token API: sostituisce i CAPTCHA e consente di creare dei c.d. “trust token” anonimi e crittografati, volti a dimostrare l’autenticità dell’utente (i.e. che la connessione al sito web proviene da un essere umano) anche su diversi siti web;

Privacy Budget API: limita la quantità di informazioni relative ai singoli utenti ottenibili dai siti web attraverso l’assegnazione di un “budget” a ciascuno di essi. Una volta esaurito il budget, l’API previene la raccolta di ulteriori informazioni;

Click Through Attribution Reporting API: strumento di conversion measurement volto a consentire all’advertiser di sapere se l’utente ha effettivamente acquistato il prodotto promozionato/è stato reindirizzato alla pagina promossa cliccando sull’ad senza poter risalire all’utente stesso;

Federated Learning of Cohorts (FLoC): una delle novità più rilevanti e maggiormente discusse della Privacy Sandbox, consente di analizzare le abitudini di navigazione – partendo anche dalla cronologia – di gruppi omogenei di individui (c.d. “coorti”) sfruttando tecniche di machine learning;

Turtledove: consiste nell’effettuazione di un’“asta” per mostrare all’utente – individuato in quanto appartenente a uno o più “interest group” – l’annuncio più pertinente, sfruttando informazioni in merito agli inserzionisti verso cui l’utente ha espresso interesse in precedenza, nonché quelle relative alla pagina web attualmente visualizzata.

I dati di prima mano

Ulteriore aspetto di primaria rilevanza della Privacy Sandbox è che essa prevede la conservazione e l’analisi dei dati direttamente sul browser – e non, quindi, sui dispositivi degli utenti, come avviene invece con i cookie. Nell’intento di Google (o Alphabet, che dir si voglia), i dati e le informazioni che “lasceranno” i nostri dispositivi saranno infatti trasmessi al browser in forma anonima e successivamente aggregati al fine di poter eseguire sofisticate analisi comportamentali e consentire alle varie API di operare efficacemente.

A prescindere dalle considerazioni strettamente legate alla tutela dei dati personali e dal fatto che la Sandbox è ancora in fase sperimentale, ben lontana dal poter essere implementata, è chiaro che la sua introduzione costringerà organizzazioni di ogni tipo (non solo società di marketing ma anche testate giornalistiche, piattaforme di e-commerce e di delivery, retailer, assicurazioni, intermediari finanziari ecc.) a modificare radicalmente le proprie strategie di marketing e gli strumenti con cui queste verranno attuate.

A tal riguardo, è ragionevole attendersi che, nel prossimo futuro, le aziende maggiormente impattate dall’iniziativa ricorreranno sempre di più a cookie proprietari e, in generale, a soluzioni che prediligano l’utilizzo dei first-party data (i.e. dati raccolti direttamente dall’utente/consumatore, non ottenuti da terze parti), al fine di sopperire alla “carenza” di dati personali. Tale strategia, combinata con un approccio “omnicanale”, ovverosia finalizzato a massimizzare la raccolta di dati (personali e non) presso tutti i “touchpoint” – i punti di interazione tra azienda e consumatore –, sia online che offline, potrebbe consentire alle

9

organizzazioni di ottenere una panoramica completa della propria clientela e di valorizzare al massimo informazioni già possedute ma non sfruttate appieno. L’adozione di nuovi modelli di business basati sui first-party data, tuttavia, potrebbe comunque rivelarsi onerosa, in quanto presuppone la capacità di collegare, analizzare e ricondurre al singolo cliente/utente dati estremamente disparati, come i dati relativi al comportamento del cliente sul sito web/nell’app, i dati raccolti nel contesto di programmi di loyalty, i dati relativi alle interazioni con le pubblicità online, le informazioni raccolte per mezzo di survey, giochi e contest, i dati raccolti in occasione di eventi e iniziative promozionali ecc..

Alla luce delle forti perplessità sollevate da parte degli advertiser – e, in generale, dalla società civile – in merito all’impatto dell’introduzione della Privacy Sandbox sul mercato della pubblicità online, alcune autorità antitrust si sono attivate per verificarne i potenziali effetti anticoncorrenziali. La Competition and Markets Authority (CMA) del Regno Unito ha, infatti, recentemente avviato un’indagine nei confronti di Google per abuso di posizione dominante, temendo che la nuova soluzione possa pregiudicare la capacità dei publisher di generare entrate e ricavi e, al contempo, minare la concorrenza nel digital advertising, rafforzando ulteriormente la posizione di Mountain View.

Tra tecnologie vecchie e nuove, progetti ancora in via di definizione e un possibile monopolio nel mercato del digital advertising, è chiaro che l’introduzione della Privacy Sandbox ha il potenziale per modificare sensibilmente le dinamiche e le modalità con cui fruiamo dei servizi e dei prodotti digitali, introducendo tecniche di profilazione estremamente avanzate. Tuttavia, a parere di chi scrive, la strada per garantire, da una parte, un accesso equo al mercato del digital advertising a tutte le organizzazioni e, dall’altra, la privacy degli utenti, appare essere ancora incerta e piena di insidie.

Articolo pubblicato su: wired.it

* * *

Sistemi di controllo degli accessi contactless: i vantaggi delle credenziali

smartphone

di Claudio Bellino | 24 marzo 2021

I sistemi di controllo degli accessi contactless basati sull’uso di credenziali mobile offrono numerosi vantaggi in termini di sicurezza, privacy e convenienza, garantendo versatilità a qualsiasi tipo di azienda, indipendentemente dalla dimensione e dal settore di riferimento.

Le misure di sicurezza per la Covid-19 stanno spingendo le organizzazioni e le aziende a riconsiderare il loro approccio al controllo degli accessi nei propri edifici e a utilizzare una tecnologia come quella dei sistemi contactless che garantisca un ambiente di lavoro sicuro per tutti i dipendenti.

La pandemia ha aperto nuove sfide soprattutto nel contesto degli immobili in cui risiedono più aziende e dove i punti di contatto sono ad alta frequenza.

Controllo degli accessi contactless: cosa sono

Dal momento che pare passerà ancora diverso tempo prima di poter tornare a una parvenza di normalità e che le persone necessitano di riprendere le proprie abitudini, dovremo imparare a convivere con il virus e sarà quindi necessario mettere in atto misure più rigorose, per ridurre i rischi. Un esempio sono i sistemi di controllo degli accessi contactless.

Le key card e i tastierini numerici che molti utilizzavano per accedere all’ufficio non avranno più posto negli edifici del futuro. Infatti, il virus può rimanere vitale su queste superfici per diverse ore, aumentando così il rischio di diffusione del contagio. I sistemi di accesso mobile eliminano la necessità di condividere le superfici, fornendo quindi un’esperienza di accesso all’ufficio sempre sicura e protetta.

Il mercato delle credenziali mobile

10

Nel 2018, i tassi di crescita dei download annuali di credenziali mobile in tutto il mondo hanno superato il 150% e la dimensione del mercato è cresciuta fino a quasi 4,1 milioni di download. Entro il 2023, le credenziali mobile diventeranno il 14% del totale delle credenziali emesse annualmente (rispetto all’1% attuale) e rappresenteranno un’importante alternativa alle credenziali fisiche in tutto il mondo. IHS Markit ha rilevato che i download annuali di credenziali mobili hanno superato i 9,8 milioni nel 2019, i 20 milioni nel 2020 e prevede che arriveranno a 120 milioni entro il 2023.

A causa dei timori diffusi, in termini di privacy e sicurezza, nei confronti della tecnologia di riconoscimento facciale e grazie al fatto di offrire ai datori di lavoro una soluzione efficace e conveniente senza contatto per il proprio personale, le credenziali mobile sono considerate sempre più un’alternativa credibile e sicura ai touchscreen e alle key card.

Vantaggi dei sistemi di controllo degli accessi contactless

In questo momento storico, comunque, i vantaggi dei sistemi di controllo degli accessi contactless, del controllo remoto degli accessi dei visitatori e dei videocitofoni a distanza sono sempre più evidenti.

Ad esempio, assistiamo già a un aumento considerevole della gestione via smartphone delle consegne a domicilio di generi alimentari e altri articoli.

L’uso di una tecnologia innovativa può dare alle persone la tranquillità di continuare a ricevere consegne a domicilio in modo sicuro e conveniente in ogni momento.

Anche da remoto, un’app connessa al video-citofono permette all’utente di abilitare l’accesso dei fattorini o di altri visitatori in determinate aree dell’edificio, per una consegna sicura, che sia l’atrio di un condominio o l’ingresso di un’azienda. Inoltre, questa tecnologia è facile da installare per chiunque, semplicemente collegandosi al Wi-Fi.

In generale, questi sono i principali vantaggi dell’uso dello smartphone nella gestione del controllo degli accessi negli uffici:

Convenienza

Le persone fanno sempre più affidamento al proprio smartphone in qualsiasi occasione. Le carte fedeltà dei negozi, per esempio, sono sostituite dalle app, così da non dover riempire il portafogli o la borsa di carte.

Lo stesso vale per il controllo degli accessi: le credenziali mobile di oggi usano il Bluetooth, che è supportato da tutti i produttori di smartphone, ed è quindi disponibile praticamente per tutti coloro che hanno un dispositivo intelligente.

Inoltre, rappresentano un fattore di convenienza anche per gli amministratori. Le credenziali mobile, infatti, possono essere generate rapidamente e rilasciate in remoto all’utente e sono facilmente sostituibili in caso di perdita o furto dello smartphone.

Oltre a consentire l’ingresso tramite app, molti di questi sistemi offrono altri mezzi per l’abilitazione degli accessi. La modalità “prossimità” senza contatto permette di aprire la porta con la sola presenza del dispositivo mobile nelle vicinanze del lettore.

Una modalità “a basso contatto”, più sicura, richiede invece un’ulteriore conferma dell’utente che deve cliccare l’autenticazione Bluetooth sul lettore. In alcuni casi, questo può essere possibile anche se si indossano guanti o abiti spessi.

Riduzione dei contatti

La Covid-19 ha portato nuove sfide per gli edifici aziendali in cui i contatti sono più numerosi e frequenti. Le credenziali per smartphone offrono una soluzione contactless efficace e conveniente per il controllo degli accessi che riduce i rischi per la sicurezza degli utenti finali.

Stabilendo una comunicazione sicura e criptata col lettore tramite l’utilizzo di Bluetooth Low Energy (BLE), le credenziali mobile non richiedono neanche una conferma visiva.

11

Senza questa limitazione, sono adatte anche ai casi in cui l’accesso avviene tramite veicolo. Non serve scendere dall’auto e sostare di fronte a una telecamera, poiché è sufficiente aprire l’app e attivare a distanza i cancelli, la porta del garage o la barriera del parcheggio.

Sicurezza

Nessuna tecnologia di controllo degli accessi, per quanto conveniente, può scendere a compromessi in termini di sicurezza. Fortunatamente, le credenziali Bluetooth possono utilizzare gli standard di crittografia “Government grade” (AES128), assicurando che la comunicazione sia completamente sicura.

Inoltre, la perdita di tessere fisiche è più comune – diverse ricerche stimano una media di quasi il 20% di card aziendali perse in un anno – mentre gli individui sono di norma molto più propensi a notare se il loro smartphone sparisce. I telefoni hanno anche caratteristiche di sicurezza integrate che ne impediscono l’uso improprio nel caso in cui vengano rubati.

Costo

Le smart card per il controllo degli accessi costano tipicamente tra i 5 e i 10 euro, ma possono essere vendute anche al doppio.

Anche la loro sostituzione comporta dei costi, a differenza delle credenziali via smartphone. I lettori Bluetooth sono relativamente poco costosi e possono essere facilmente distribuiti per controllare l’accesso a singole stanze o zone, per facilitare il compito degli amministratori che spesso devono tenere sotto controllo gli accessi in tutto l’edificio e non solo gli ingressi principali dotati di videocitofono.

Privacy

Le credenziali smartphone non sono legate a nessuna caratteristica fisica immutabile dell’utente a cui sono associate, quindi se un telefono viene perso o rubato, le credenziali che contiene sono facilmente sostituibili.

Lo stesso non vale nel caso del riconoscimento facciale o delle impronte digitali, poiché i dati biometrici sono immutabili.

Questo significa anche che le credenziali mobile non devono affrontare le sfide normative che stanno ostacolando la crescita della tecnologia biometrica.

Competitività

Il settore immobiliare è destinato a diventare ancora più competitivo a seguito del COVID-19, per cui qualsiasi tecnologia che possa attirare nuovi potenziali clienti sarà apprezzata.

Le credenziali smartphone sono ancora considerate trendy e innovative e quindi possono dare ai gestori immobiliari un vantaggio competitivo.

Sistemi di controllo degli accessi contactless: un caso d’uso

Le credenziali mobile, infine, garantiscono versatilità a qualsiasi tipo di azienda, indipendentemente dalla dimensione e dal settore di riferimento, in risposta alle esigenze specifiche degli edifici e alle richieste degli amministratori in termini di controllo degli accessi.

Un esempio è dato da una concessionaria automobilistica di Praga: showroom e servizio di assistenza coprono un’area di quattromila metri quadri cui accedono oltre 100 dipendenti. Era dunque necessario adottare un sistema di accesso affidabile e Bluetooth per sostituire le carte d’accesso e fornire autorizzazioni predefinite ai diversi dipendenti, che fosse semplice da installare e gestire e prestasse particolare attenzione al design e alla qualità dei materiali.

Con le credenziali smartphone ora i dipendenti possono accedere agli edifici in modo affidabile, veloce e sicuro, tramite 40 unità di accesso Bluetooth dal design elegante e di lusso, installate agli ingressi.

L’accesso è consentito sulla base di autorizzazioni specifiche per gli uffici amministrativi, lo showroom e le altre aree dell’azienda, semplicemente con un clic della app o toccando il lettore.

12

La reception, inoltre, può comunicare a distanza con eventuali visitatori tramite i videocitofoni smart e l’intera configurazione è gestibile centralmente in modo intuitivo, grazie a un’interfaccia grafica con la quale è possibile modificare i permessi di accesso, registrare gli orari e le presenze e molto altro.

Articolo pubblicato su: cybersecurity360.it

* * *

Privacy ed evasione fiscale, quando prevale l’interesse pubblico sulla protezione

dei dati

di Riccardo Berti e Daria Sartori | 25 marzo 2021

Una sentenza della Corte europea dei diritti dell’uomo permette di far chiarezza sul rapporto tra interesse pubblico e data protection, in relazione alla causa intentata da un soggetto inserito in una black list ungherese di evasori fiscali.

a decisione assunta dalla Corte europea dei diritti dell’uomo relativa alla pubblicazione dei dati personali di un evasore fiscale in una black list è interessante perché ammette la legittimità, nel caso concreto, della prevalenza dell’interesse pubblico al buon funzionamento del sistema contributivo (e dell’interesse dei potenziali business partners all’identificazione degli evasori fiscali) sul diritto alla riservatezza dell’individuo.

Infatti, il 12 gennaio 2021, con sentenza nel caso L.B. c. Ungheria, la Corte Europea dei Diritti dell’Uomo ha concluso che la pubblicazione dei dati personali di un evasore fiscale in una “black list” governativa ampiamente accessibile sul web non costituisce violazione del suo diritto alla privacy. La pronuncia origina nel ricorso di un cittadino ungherese che lamentava la non conformità all’articolo 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU) dei metodi utilizzati dal suo governo per “incentivare” persone e imprese a rientrare dei propri debiti con il fisco.

L’antefatto e la causa

Nel 2016 la National Tax and Customs Authority ungherese aveva pubblicato i dati identificativi del ricorrente nelle liste di evasori fiscali presenti sul proprio sito. La pubblicazione, prevista da una normativa entrata in vigore nel 2003, riguarda gli evasori il cui debito col fisco sia superiore ai 10 milioni di fiorini ungheresi (al tasso attuale corrispondente a circa 30 mila Euro) accertato “con decisione definitiva” dall’Authority, nonché i c.d. “grandi evasori”, ovvero soggetti il cui debito oltre i 10 milioni di fiorini non sia rientrato entro 180 giorni. Il ricorrente era stato incluso in entrambe le liste.

È importante sottolineare che, in base a questa normativa, oltre al nome e cognome dell’evasore, ne è pubblicato anche il codice fiscale, l’ammontare del debito e addirittura l’indirizzo di residenza. Nel 2016 un sito web privato aveva poi realizzato, sulla base dei dati pubblicati dall’Erario, una mappa interattiva degli evasori. Cliccando sui vari punti evidenziati nella mappa era possibile ottenere i dati dell’evasore così collocato geograficamente. Sul punto era intervenuto, fin dal 2012, l’omologo ungherese del Garante Privacy, in un caso relativo ad un’amministrazione locale, richiamando la necessità di eliminare dal sito web dell’amministrazione i dati degli evasori persone fisiche e lasciando unicamente i dati delle aziende debitrici. Davanti la Corte europea dei diritti dell’uomo, il ricorrente lamentava una violazione dell’articolo 8 CEDU (diritto al rispetto della vita privata e familiare).

La normativa di riferimento

Il primo aspetto da evidenziare è che nel caso in esame non è stata presa in considerazione dalla Corte la normativa GDPR, normativa che, verosimilmente, avrebbe influito sulla decisione. Il ricorso risale infatti all’inizio del 2016 ed allora il GDPR doveva ancora essere adottato. C’è da dire però che l’attività di pubblicazione della black list degli evasori in Ungheria prosegue ancora oggi a dimostrazione del fatto che l’entrata in vigore del Reg. UE 679/2016 non ha inciso sulle pratiche dell’amministrazione fiscale del paese.

13

In ogni caso, all’epoca dei fatti, era in vigore in Ungheria una normativa privacy fondata sulla Direttiva 95/46/CE (che aveva portato all’istituzione di un’Autorità Garante, oppostasi, in casi analoghi, alla pubblicazione tramite internet dei dati degli evasori). La decisione della Corte si fonda dunque sulla normativa pre-GDPR in vigore in Ungheria, analizzandone la compatibilità con l’articolo 8 CEDU. L’articolo in questione tutela il diritto al rispetto della vita privata e familiare, consentendone limitazioni che abbiano un fondamento legale e siano proporzionate al raggiungimento di uno scopo legittimo tra quelli individuati dalla stessa previsione (tra cui figurano il benessere economico del paese e la tutela dei diritti di terzi).

I motivi della decisione della Corte

La Corte precisa innanzitutto che il ricorso non è rivolto a censurare la diffusione dei dati fatta tramite il sito web che aveva realizzato la “mappatura” degli evasori, ma unicamente a contestare l’attività di diffusione (a detta della Corte meno incisiva) fatta dall’Amministrazione finanziaria sul proprio sito web. La Corte non nega che l’attività dell’Erario ungherese costituisca un’interferenza nel diritto al rispetto della vita privata e familiare del ricorrente, soprattutto (ma non solo) per quanto concerne la pubblicazione del suo indirizzo di residenza.

Allo stesso tempo, la Corte sottolinea che tale interferenza trovava fondamento in una norma di legge, e si dichiara “pronta ad accettare” che essa persegua il duplice scopo legittimo avanzato dal Governo: tutela dell’interesse pubblico al “miglioramento della disciplina del pagamento delle imposte” e dell’interesse dei terzi, potenziali business partners, a conoscere la situazione finanziaria degli evasori fiscali. Il ricorrente sosteneva, invece, che questa attività dell’amministrazione finanziaria fosse tesa esclusivamente al public shaming, con il sito web che svolge, silenziosamente, il ruolo che ad esempio nella Repubblica di Venezia era affidato delle “pittime”, che con le loro grida e lamenti seguivano il debitore fino a “convincerlo” a saldare.

Evidenziata l’esistenza di un fondamento legale e di un (duplice) scopo legittimo, la Corte verifica se nel caso di specie sia stato rispettato il requisito della proporzionalità tra le limitazioni imposte al diritto alla riservatezza ed i contrapposti interessi, pubblico e di terzi. Nel fare ciò, la Corte sottolinea innanzitutto l’ampiezza del margine di apprezzamento lasciato agli Stati nell’adozione di policy e misure generali di natura economica e finanziaria. Questo punto del ragionamento è particolarmente importante, perché la Corte EDU spesso “alza le mani” dinanzi alle scelte operate degli Stati in materie (come quella fiscale) laddove essa ritiene di dover rispettare maggiormente la sovranità statale. Nel caso di specie, dunque, la Corte chiarisce che il margine di apprezzamento (ergo, lo spazio entro cui opera il bilanciamento tra interessi contrapposti) è ampio, e ciò significa che un suo intervento “censore” potrà avvenire solo laddove il bilanciamento tra interessi effettuato dallo Stato conduca a risultati “manifestamente irragionevoli”.

Per verificare la non manifesta irragionevolezza del bilanciamento, la Corte si domanda innanzitutto se la misura della pubblicazione online di dati personali degli evasori sia necessaria per ottenere lo scopo di interesse pubblico che si prefigge il governo ungherese (miglioramento della disciplina del pagamento delle imposte).

Gli aspetti critici

Ed è qui che il ragionamento della Corte mostra una prima debolezza. Essa infatti riconosce che non vi è certezza del fatto che la pubblicazione dei dati degli evasori abbia un reale impatto sulla lotta all’evasione fiscale in genere. Di fronte alle contrapposte affermazioni di ricorrente e Governo sul punto, la Corte finisce per concludere che “non è irragionevole” che l’amministrazione ungherese ritenga questa pubblicazione essenziale per ottenere una soglia di adempimento elevata nel pagamento delle imposte.

La Corte, poi, condivide l’argomento avanzato dal Governo per cui la pubblicazione dei dati degli evasori “aiuta” i privati a scegliere con chi avere rapporti economici, e quindi qualifica la diffusione sul web dei dati non come semplice strumento per la soddisfazione della curiosità dei terzi, ma come diffusione di informazioni utili nell’interesse generale del pubblico. Un

14

elemento che la Corte ritiene importante del “non irragionevole” bilanciamento tra interessi operato dall’amministrazione ungherese, è il fatto che siano pubblicati solo i dati dei c.d. grandi evasori. Questo, secondo la CtEDU, dimostrerebbe che l’amministrazione limita il sacrificio della privacy solo nei casi di evasione fiscale più “grave”. Nel giungere a tale conclusione, tuttavia, non una parola è spesa sull’ammontare di evasione sufficiente per essere inseriti nella black list governativa secondo la normativa ungherese. 10 milioni di fiorini ungheresi al tasso attuale corrispondono a circa 30 mila Euro. Anche volendo considerare il diverso tenore di vita (in Ungheria lo stipendio medio corrisponde a circa 500 Euro al mese, a fronte dei circa 1.500 Euro italiani), si conclude facilmente che la somma individuata dalle autorità ungheresi non è poi particolarmente alta.

I dati pubblicati

Venendo alla tipologia dei dati pubblicati, la Corte, con ragionamento francamente non del tutto lineare, afferma che inserire solamente il nome e il cognome dell’evasore non è sufficiente visto lo scopo perseguito dall’amministrazione, in quanto c’è la possibilità che il soggetto non possa essere identificato o che vi siano scambi di persone. Serve quindi un’identificazione univoca del cattivo pagatore. Peccato che la Corte non si soffermi sul perché non sia sufficiente l’indicazione del nome e cognome accompagnata dal codice fiscale per ottenere l’identificazione univoca che si prefigge il legislatore ungherese, senza che sia necessario indicare l’indirizzo di residenza, dato la cui diffusione peraltro, come riconosce la Corte stessa in sentenza, può comportare gravi conseguenze per l’interessato.

L’ultimo profilo esaminato dalla Corte è quello della diffusione dei dati personali dell’evasore, diffusione potenzialmente globale e, secondo il ricorrente, del tutto sproporzionata rispetto allo scopo perseguito (una comunicazione dei dati dietro accesso consentito ai soli interessati identificati avrebbe infatti limitato gli accessi e avrebbe inoltre verosimilmente evitato iniziative come quelle del sito web che aveva offerto il servizio di mappatura degli evasori, rendendo evidente il fatto che i dati non erano suscettibili di diffusione).

La Corte osserva però che questa diffusione è necessaria per ottenere gli obiettivi che si è prefissa l’amministrazione, e che comunque la stessa non è stata fatta su un sito che gode di ampia visibilità (come ad esempio una testata giornalistica). Del resto, sottolinea la Corte, non si ha evidenza di un interesse globale all’elenco dei cattivi pagatori ungheresi, la cui conoscenza sarebbe appannaggio di un ristretto gruppo di interessati che scelgono di recarsi sul sito del fisco, di raggiungere la pagina contenente l’elenco degli evasori e di ricercare il nome degli stessi nell’elenco.

In questo modo la CEDU traccia un distinguo fondamentale, destinato ad avere ripercussioni, fra quello che viene semplicemente diffuso online e quello che è noto online, parametrando il disvalore non sulla condotta di chi diffonde, bensì sulla condotta del pubblico che sceglie se prestare attenzione o meno al contenuto diffuso. La Corte infatti conclude che la pubblicazione dei dati “solo” su una pagina ad hoc nel sito dell’Erario ungherese sia ragionevole e proporzionata rispetto agli scopi perseguiti dall’amministrazione.

Compatibilità con il GDPR

La pronuncia della CEDU, di sicuro rilievo, non affronta però la questione della compatibilità della pratica del governo ungherese con la normativa GDPR che oggi regola il diritto alla protezione dei dati personali negli stati dell’Unione Europea, perché, come detto, non applicabile ai fatti di causa. Rispetto al 2016, la normativa privacy ha subito rilevantissime innovazioni, specie con riguardo ai principi che devono essere rispettati dal titolare del trattamento.

Il principio contenuto nel GDPR e che sarebbe stato di maggior significato ove applicabile nel caso all’esame della CEDU è quello della minimizzazione del dato, che prescrive l’adozione di tutte le misure tecniche ed organizzative affinché il trattamento dei dati sia adeguato, pertinente e limitato a quanto necessario rispetto alla finalità per le quali i dati stessi sono trattati.

15

Alla luce di tale principio le modalità adottate dal Fisco ungherese sembrano in difetto sia nel momento in cui viene associato al dato identificativo dell’evasore il suo indirizzo di residenza, sia nel momento in cui non viene dato corso a quel filtro minimo derivante dall’identificazione del soggetto che chiede l’accesso.

Black list nel Regolamento europeo

Va però evidenziato che anche secondo la normativa GDPR è possibile pubblicare black list di cattivi pagatori ed anzi la stessa Unione Europea ha predisposto un Early Warning System (EWS) per elencare i soggetti che possono presentare un rischio finanziario per le istituzioni europee. L’elenco, predisposto per essere accessibile alle sole autorità dell’Unione, è stato sottoposto all’esame del Garante Europeo e dell’Ombudsman della Commissione e ritenuto legittimo.

Il Considerando 154 del GDPR afferma poi che: “Il presente regolamento ammette, nell’applicazione delle sue disposizioni, che si tenga conto del principio del pubblico accesso ai documenti ufficiali. L’accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico. I dati personali contenuti in documenti conservati da un’autorità pubblica o da un organismo pubblico dovrebbero poter essere diffusi da detta autorità o organismo se la diffusione è prevista dal diritto dell’Unione o degli Stati membri cui l’autorità pubblica o l’organismo pubblico sono soggetti”. Se una legge dello stato lo consente, quindi, i documenti pubblici ufficiali (anche se contenenti dati personali) possono quindi essere oggetto di accesso e/o diffusi.

La questione non è quindi tanto se sia possibile o meno per le amministrazioni fiscali dei vari stati membri dell’Unione predisporre black list degli evasori, quanto piuttosto come questa attività debba essere implementata.

Non si dubita infatti della possibilità di pubblicazione da parte della pubblicazione di un elenco di cattivi pagatori (come avviene anche in Italia con il CRIF o il Registro dei protesti), ma la normativa europea in tema di protezione dei dati impone una valutazione preventiva che deve riguardare da un lato la certezza del dato e la possibilità di sua tempestiva rettifica o cancellazione e dall’altro lato la minimizzazione del trattamento in relazione allo scopo perseguito.

E quest’ultima valutazione sembra dover essere ben più stringente di quella fatta propria dalla CEDU nella sentenza in esame.

Nel caso italiano, ad esempio, i dati non sono disponibili pubblicamente ma sono accessibili dietro richiesta (nel caso dei Sistemi di Informazione Creditizia come il CRIF la richiesta deve provenire da parte di soggetti qualificati ed individuati dalla legge).

Va anche evidenziato che l’Ungheria non è sola in Europa in questa attività di pubblicazione “estesa” dei dati degli evasori. Anche l’Irlanda ad esempio compila liste simili (sebbene basate su diversi criteri ovvero quello dell’entità delle sanzioni fiscali comminate con sentenza o pagate con accordo) indicando, oltre all’indirizzo dell’evasore, anche il settore lavorativo.

Al di fuori dell’Unione lo strumento delle liste degli evasori è molto diffuso, ad esempio in Turchia vengono pubblicati i dati dei grandi evasori ma si evita di indicare il loro indirizzo, mentre in Cina il sistema è simile a quello ungherese, ma l’elenco delle fattispecie che possono comportare l’inserimento del nominativo nell’elenco è esteso ad un variegato numero di violazioni fiscali, invece in Messico l’interesse governativo si sposta sui soggetti che emettono fatture false, i cui dati vengono pubblicati online, comportando una presunzione di connivenza difficile da superare per la controparte contrattuale nel caso in cui l’azienda inserita in black list si dimostri recidiva.

Il “registro parallelo” su sito web privato

Anche la questione della rielaborazione dei dati relativi alla black list governativa predisposta da un terzo soggetto, pur non esaminata dalla Corte, è di sicuro interesse.

16

La maggior fruibilità dei dati resa possibile dalla loro presentazione su mappa, grazie all’attività di un privato, ha sicuramente contribuito ad aumentare l’invasione della privacy del soggetto inserito nell’elenco.

La pubblicazione, poi, non trova copertura nella normativa GDPR che, nel Considerando 154, fa riferimento alla sola pubblicazione da parte della pubblica autorità.

Ma il problema principale è quello relativo all’esercizio dei diritti previsti dalla normativa privacy con riferimento alla serie di “archivi paralleli” che rischiano di crearsi sulla base del dato iniziale pubblico.

Mentre l’autorità pubblica è tenuta (o almeno dovrebbe esserlo) a rigide procedure per la tempestiva rettifica e cancellazione dei dati errati o superati, le varie banche dati che prendono spunto da tali dati potrebbero non essere altrettanto solerti nell’aggiornamento e causare in questo modo disfunzioni e danni agli interessati.

Sul punto il Garante Privacy italiano ha avuto modo di confrontarsi, ancora nel 2002 (Provvedimento 29824 del 07.02.2002), con la problematica degli archivi paralleli al Registro dei Protesti i quali, gestiti da privati, a volte conservavano per maggior durata i dati dei soggetti protestati.

Nel proprio provvedimento il Garante evidenzia come alla cancellazione del dato dal Registro Ufficiale dei Protesti debba seguire la cancellazione del dato nei vari archivi paralleli che prendono spunto dalle informazioni rese pubbliche dall’amministrazione.

Conclusioni

Con questa sentenza, la Corte EDU ha sancito la legittimità ai sensi della CEDU della pubblicazione di dati personali di un evasore fiscale in una “black list” governativa pubblicata sul web e ampiamente accessibile agli internauti, che aveva consentito ad un sito privato di realizzare una mappa interattiva degli evasori identificabili geograficamente.

Sebbene rimanga all’operatore la “consolazione” per cui il GDPR, ove in vigore all’epoca dei fatti, avrebbe forse inciso sulla decisione della Corte, ciò non toglie che la pronuncia sia criticabile in quanto la sua motivazione mostra vari punti di debolezza, e soprattutto perché essa dimostra l’ampio (probabilmente eccessivo) margine di apprezzamento che la CtEDU riconosce agli Stati quando siano in gioco policy di natura economica in senso ampio.

La protezione dei dati personali, di cui la stessa Corte riconosce (almeno a parole) il ruolo fondamentale nella garanzia del rispetto del diritto alla vita privata di cui all’articolo 8 CEDU, cede miseramente di fronte ad esigenze “di interesse pubblico” relative alla materia fiscale, sebbene tali esigenze (come la stessa Corte concede nel caso di specie) non siano chiaramente dimostrate, e nonostante l’ampiezza dei dati in gioco e della loro diffusione (non solo potenziale, viste le ricadute pratiche nel caso concreto).

Pur ammettendo la legittimità della creazione di registri di evasori fiscali, il sacrificio della privacy subito dal ricorrente appare, nel caso concreto, decisamente eccessivo, e motivato in via pressoché esclusiva da un atteggiamento “non interventista” della Corte rispetto alle policy economiche degli Stati.

In parole povere, il diritto alla privacy dell’individuo non trova tutela di fronte alla Corte EDU perché allo Stato è riconosciuta pressoché totale libertà di far prevalere asseriti interessi di natura pubblica.

Il ragionamento, a tratti fallace, della Corte EDU lascia perplessi soprattutto perché tocca un ambito, quello della privacy, che assume oggi sempre maggiore rilevanza a livello nazionale e internazionale.

Articolo pubblicato su: agendadigitale.eu

* * *

17

Schrems II, prima pronuncia privacy: così Mailchimp in Germania segna un

precedente

di Diego Dimalta | 25 marzo 2021

Il Garante Privacy bavarese si è in questi giorni pronunciato contro Mailchimp in ragione del mancato rispetto delle indicazioni rinvenibili nella sentenza Schrems II in merito al trasferimento dei dati in USA. Nessuna sanzione ma un punto fermo, che farà forse da precedente per altre autorità europee: l’invio dei dati verso gli Stati Uniti, anche se basato su Clausole Contrattuali Standard è illegittimo se non seguito da misure ulteriori.

In base a quanto riporta GDPR Hub, database on line delle principali sanzioni in abito GDPR, l’Autorità di Controllo, Garante Privacy, bavarese si è in questi giorni pronunciata contro Mailchimp in ragione del mancato rispetto delle indicazioni rinvenibili nella sentenza Schrems II in merito al trasferimento dei dati in USA.

Questa decisione che, si precisa sin d’ora, non ha portato a sanzioni monetarie, è comunque molto importante per tutta una serie di motivi che andiamo infra ad esaminare.

Come è facile comprendere, il valore di questa decisione è più simbolico che altro. Si tratta difatti del primo caso post Schrems II oggetto di una decisione formale da parte di una Autorità, circostanza questa che creerà necessariamente un precedente. Per questo gli occhi di tutti non possono che essere concentrati su quanto statuito dall’Autorità di Controllo in questione.

Sappiamo difatti che, a seguito della decisione Schrems II non è più possibile servirsi del Privacy Shield per l’invio di dati in USA. Non solo, anche l’utilizzo delle clausole contrattuali standard risulta fortemente ridimensionato in quanto utilizzabili solo in presenza di “misure ulteriori”. Ma, posto che, di fatto, le big tech non si stanno mostrando molto sensibili all’argomento, con la conseguenza che gran parte delle aziende UE non appaiono compliant sotto questo aspetto, come si comporteranno le Authority? Questa è una domanda che in molti si sono fatti e che adesso trova finalmente parziale risposta.

Data transfer dopo la sentenza Schrems II: luci e ombre delle raccomandazioni EDPB

Ora, un cittadino bavarese, vedendosi recapitare una mailing list per conto di un magazine locale, utilizzando il servizio Mailchimp, ha deciso di presentare reclamo all’autorità competente.

Ebbene, l’Autorità ha sin da subito voluto chiarire una cosa: l’invio di dati in USA non è sempre illegittimo; lo è solo se non si rispettano i dettami del GDPR così come interpretati dalla Corte di Giustizia Europea. Questo significa che il servizio Mailchimp non può essere sanzionato a priori perché porta alcuni dati negli Stati Uniti essendo invece necessario approfondire le modalità ed i meccanismi adottati per rendere legittimo tale trasferimento.

In tal senso, la società americana avrebbe evidenziato che le Recommendations 01/2020 contenenti indicazioni su come interpretare in concreto il concetto di “misure ulteriori” di cui alla decisione Schrems II, non sono ancora state pubblicate nella loro versione definitiva, non potendo fungere da punto di riferimento. Sul punto l’Autorità di Controllo ha effettivamente dato ragione a Mailchimp precisando tuttavia che, di contro, la decisione Schrems II prevede comunque l’utilizzo di misure ulteriori. Per questo, Mailchimp avrebbe dovuto per lo meno porsi il problema dell’invio di dati in USA, valutando il grado di rischio effettuando una DPIA. Circostanza questa non verificatasi, dovendosi il trattamento ritenere illegittimo così come affermato dalla Autorità.

È importante evidenziare però che la mancata pubblicazione delle versioni definitive delle Raccomandazioni dell’EDPB non è passata del tutto inosservata all’Autorità la quale, anche in ragione di questa incertezza ha ritenuto di non sanzionare economicamente né Mailchimp, né tantomeno il titolare del trattamento che utilizzava tale servizio per l’invio di newsletter.

Si tratta di una circostanza importante in quanto, di fatto, ad un primo sguardo parrebbe quasi legittimare questa sorta di immobilismo di molte imprese europee, precisando che sì, non è

18

legittimo inviare dati in USA (a queste condizioni) ma per ora, non sussistendo chiare indicazioni, non ci si sente di sanzionare le imprese per l’utilizzo di servizi americani.

In questo modo, il rischio è che ad una prima lettura, qualcuno interpreti la decisione come se fosse un’autostrada aperta a tutti coloro che, per dolo o per mancanza di alternative, stanno di fatto ignorando la sentenza Schrems II facendo quasi pentire a chi invece si è adeguato, di aver speso soldi e tempo per farlo.

E’ quindi, sotto un certo senso, molto grave il messaggio che passa da questa decisione in quanto, come temuto da molti, fa quasi intendere che l’immobilismo di alcuni DPO (che magari non hanno nemmeno letto la sentenza Schrems) potrebbe risultare a tratti vincente rispetto alla tempestività di altri DPO che, compresa la gravità di quanto affermato dalla Corte di Giustizia, hanno invece deciso di intervenire tempestivamente cambiando fornitori e scegliendo servizi capaci di garantire la presenza dei dati in UE.

Tuttavia, un osservatore più attento comprenderà invece che non deve confondersi la mancanza di sanzione con la legittimità del trattamento. Quest’ultima infatti non è stata in alcun modo dichiarata ed anzi, l’invio dei dati negli Stati Uniti, si è ribadito, deve ritenersi illegittimo in mancanza di misure ulteriori, circostanza questa che lascia ben sperare in una futura presa di posizione più netta nei confronti di chi continua a non rispettare le indicazioni della Corte di Giustizia.

La sanzione

Anche il reclamante, del resto, insisteva per l’emanazione di una sanzione monetaria, ma l’Autorità ha precisato che al di là dell’accertata inammissibilità dei suddetti trasferimenti di dati “non riteniamo necessario imporre una sanzione monetaria, come richiesto”. Non solo (e qui sta la parte interessante), con l’occasione l’Autorità ha voluto precisare che non spetta al singolo interessato il potere di chiedere la sanzione.

Non si tratta difatti di un provvedimento spiccabile su istanza di una parte ma, anzi, solo ed esclusivamente nel caso in cui l’Authority lo ritenga necessario. Del resto, evidenzia correttamente il garante bavarese, il potere di imporre una sanzione ai sensi dell’articolo 83 GDPR (articolo 58 (2) (i) GDPR) non serve a salvaguardare i diritti e le libertà dell’interessato, ma piuttosto a far valere l’interesse pubblico a far rispettare la legge. Non esiste quindi un diritto soggettivo in tal senso. La sanzione non vale come punizione o come risarcimento dei danni subiti dal singolo ma solo come ristoro di un interesse pubblico più ampio, deciso sempre dall’Autorità.

Ebbene, nel caso in esame, secondo l’Autorità, l’entità del problema è di dimensioni quasi irrilevanti essendo stati trasmessi pochi dati, peraltro, per soli due invii di newsletter. peraltro, il titolare, non appena notiziato del problema, ha interrotto il flusso di dati ponendo fine al servizio di newsletter ravvedendosi operativamente dell’errore evidenziato.

Tali circostanze avrebbero quindi giustificato, secondo l’Autorità la mancata emissione di sanzione la quale, in ogni caso sarebbe stata del tutto indipendente dalla richiesta e dalla volontà del reclamante.

Anche su questo punto vediamo quindi che il Garante bavarese prende una posizione netta, spiegando (in modo più o meno condivisibile) i motivi che possono spingere a emettere una sanzione.

Scenari futuri

Questa decisione lascia quindi con una certezza: l’invio dei dati verso gli Stati Uniti, anche se basato su Clausole Contrattuali Standard è illegittimo se non seguito da misure ulteriori.

Quindi, se qualcuno dovesse minimizzare sulle conseguenze derivanti dall’utilizzo di sistemi non compliant, dovrebbe comunque mettere in conto che sta consigliando di attuare una strategia illegittima.

19

L’illegittimità, comunque dichiarata anche nel caso in esame, è difatti cosa indipendente rispetto alla emissione di sanzione.

Basandosi su questo precedente è difatti possibile che altre autorità propendano per decisioni di illegittimità non accompagnate da sanzioni monetarie, ma ciò non deve portare i DPO a sottovalutare il problema.

Del resto, anche a livello di immagine, indipendentemente dalla sanzione, lasciare che la società per cui si fa consulenza venga definita illegittima da un’Autorità Garante è un qualcosa che (anche in mancanza di sanzioni) non può far contento il proprio cliente.

Per questo motivo, è probabile ed auspicabile che tale decisione stimoli anche il DPO meno aggiornato, spingendolo a fare del suo meglio per rendere compliant la azienda per cui lavora, adottando le misure ulteriori (anche se non definitive) previste da EDPB nella raccomandazione 01/2020, così da vietare sanzione e declaratoria di illegittimità.

Articolo pubblicato su: cybersecurity360.it

* * *

Certificato verde digitale, come funziona e quali sono gli impatti privacy

di Erica Benigni e Laura Liguori | 26 marzo 2021

La Commissione europea ha presentato la proposta di regolamento volto all’introduzione di un Certificato verde digitale per lo spostamento in sicurezza tra gli Stati membri UE nel corso della pandemia di coronavirus: vediamo quali sono i trattamenti dati attuati, alla luce del GDPR.

Si chiama certificato verde digitale e sarà una prova del fatto che una persona è stata vaccinata contro il coronavirus, è risultata negativa al test o è guarita dalla Covid-19. È quanto indicato nella proposta di regolamento presentata lo scorso 17 marzo dalla Commissione europea: quando verrà introdotto, il certificato verde digitale consentirà di agevolare la libera circolazione dei cittadini tra gli Stati Membri durante la pandemia di Covid-19, pur nel rispetto della sicurezza della salute pubblica.

Il certificato nelle intenzioni consentirà di spostarsi tra gli Stati Membri in modo sicuro, limitando il rischio di diffusione del virus all’interno del territorio comunitario.

Tale certificato non sarà discriminatorio verso i soggetti che non si sono ancora vaccinati. Infatti, il certificato non rappresenterà un presupposto per viaggiare bensì consentirà di spostarsi più agevolmente, evitando possibili restrizioni imposte da singoli Stati come la quarantena o la sottoposizione a test in grado di diagnosticare la Covid-19.

Uno dei profili maggiormente discussi con riguardo al certificato verde digitale o ai c.d. Pass vaccinali riguarda la tutela garantita ai dati personali, che si avrà modo di approfondire nel prosieguo dell’articolo.

Certificato verde digitale: i dati richiesti

Il certificato verde digitale sarà rilasciato in formato digitale da ciascuno Stato Membro e potrà comprendere tre diverse tipologie di certificati:

• di vaccinazione,

• di test (non autodiagnostici)

• di guarigione dalla Covid-19.

Le informazioni contenute nel certificato sono strettamente funzionali alla verifica dell’identità del soggetto e dell’autenticità del certificato (i.e. nome, Stato Membro di rilascio e identificativo univoco del certificato) così come all’accertamento delle caratteristiche tecniche relative al vaccino (e.g. fabbricante), al test (e.g. tipo di test e data in cui è stato effettuato) o alla guarigione (e.g. data di emissione) a seconda della tipologia di certificato che viene mostrato.

20

Il certificato verde digitale nei singoli Stati Membri

Ciascun certificato dovrà contenere un codice QR con una firma digitale, che verrà scansionato e controllato al momento degli accertamenti così da verificare l’autenticità del certificato.

A tal fine, ciascun ente di rilascio del Certificato (e.g. ospedali, autorità sanitarie) avrà a disposizione una propria chiave di firma digitale. Tali chiavi saranno conservate in una banca dati protetta all’interno di ciascuno Stato.

Inoltre, la Commissione europea costituirà un gateway attraverso il quale sarà possibile verificare la firma digitale apposta nel certificato verde digitale, indipendentemente dallo Stato Membro di rilascio.

In tale contesto, diventa essenziale la scelta fatta dalla Commissione europea del Regolamento come strumento normativo per introdurre il certificato verde digitale. Ciò, infatti, garantisce un’immediata e uniforme attuazione della disciplina del certificato, evitando così problemi di riconoscimento della veridicità dei certificati stessi.

Il trattamento dei dati personali nel certificato verde digitale

L’articolo 9 della proposta di Regolamento fornisce determinate garanzie a tutela della protezione dei dati personali trattati per la realizzazione del certificato verde digitale.

Come anticipato, nel certificato sono riportati solo i dati strettamente necessari alla verifica dell’identità del soggetto e i dati connessi alla vaccinazione, all’esito negativo di un test o all’avvenuta guarigione del paziente.

La quantità e la tipologia di informazioni raccolte nel certificato sembrano quindi essere in linea con il principio di minimizzazione.

È chiaro che verranno trattati non solo dati personali ma in particolare anche dati relativi alla salute, il cui trattamento può essere legittimato, come in questo caso, da motivi di interesse pubblico rilevante (i.e. favorire la libera circolazione delle persone all’interno del territorio UE in sicurezza) sulla base del diritto dell’Unione [1].

Inoltre, tali dati potranno essere consultati dalle autorità competenti dello Stato di destinazione ma non potranno essere conservati dai Paesi visitati. I dati saranno quindi conservati solo dagli Stati Membri che hanno rilasciato il certificato, mentre non è prevista la creazione di una banca dati a livello europeo.

In ogni caso, la conservazione dei dati necessari per il certificato potrà avvenire esclusivamente per il periodo di utilizzo dei certificati durante la pandemia al fine di consentire l’effettivo esercizio della libera circolazione tra gli Stati Membri.

Ai sensi della proposta di Regolamento, le autorità responsabili del rilascio del certificato verde digitale sono considerate titolari del trattamento.

Alla luce di quanto detto, è evidente che il legislatore europeo abbia ritenuto tale soluzione praticabile all’esito di un bilanciamento tra il principio della libera circolazione delle persone tra gli Stati Membri, la tutela della salute pubblica e il diritto alla tutela dei dati personali riconosciuto dal Regolamento (UE) 2016/679 (GDPR).

Per l’effettiva attuazione del progetto sarà comunque necessaria una unità di vedute tra gli Stati Membri (anche, ad esempio, sul rispetto dei principi a protezione dei dati personali da parte della proposta) e una capacità operativa ed informatica tale da garantire l’emissione dei certificati con i requisiti minimi richiesti a livello europeo da parte di ogni Paese.

Il Garante privacy sui possibili pass vaccinali locali

Prima della pubblicazione della proposta di Regolamento sul certificato verde digitale, il Garante Privacy italiano aveva espresso la propria opinione sui c.d. pass vaccinali, ossia soluzioni anche in formato digitale indicate da soggetti pubblici o privati fornitori di servizi come condizione necessaria per accedere a determinati locali o per fruire di un servizio.

21

Innanzitutto, tali soluzioni rischiano di essere discriminatorie nei confronti di coloro che non hanno ancora avuto accesso alla campagna vaccinale e nei confronti di coloro che optano per la non vaccinazione.

Pertanto, tali strumenti – se implementati in maniera inappropriata – potrebbero ledere le libertà fondamentali riconosciute agli individui e, ad esempio, far percepire la vaccinazione contro la Covid-19 come un trattamento sanitario obbligatorio.

Anche dal punto di vista della riservatezza dei dati personali potrebbero sorgere delle criticità. Infatti, simili misure – adottate in modo disomogeneo e incontrollato sul territorio – potrebbero portare alla violazione del diritto alla privacy, se implementate nel mancato rispetto dei principi dettati dal GDPR (e.g. principio di proporzionalità, limitazione delle finalità e minimizzazione dei dati).

In quest’ottica, il Garante ha ricordato – con comunicato stampa del primo marzo 2021 – che eventuali provvedimenti idonei ad introdurre i c.d. passaporti vaccinali sul territorio nazionale devono essere adottati necessariamente dal legislatore statale, nel rispetto della normativa vigente e nel corretto bilanciamento tra interesse pubblico, tutela della salute e protezione dei dati personali.

Tale dichiarazione del Garante è in linea con i principi richiamati nel testo del Regolamento UE e non si contrappone all’adozione di simili soluzioni ma esclusivamente all’adozione schizofrenica e disomogenea di strumenti potenzialmente idonei a ledere diritti costituzionalmente garantiti.

Ricordiamo, inoltre, che il Regolamento – se adottato a livello europeo – andrà a disciplinare unicamente la circolazione tra gli Stati Membri. Spetterà poi ad ogni singolo Stato, eventualmente, introdurre con legge nazionale strumenti simili al certificato verde digitale all’interno del proprio territorio.

NOTE

Tale base giuridica, prevista dall’art. 9(2)(g) è richiamata dal Considerando 37 della proposta di Regolamento.

Articolo pubblicato su: cybersecurity360.it * * *

French data protection watchdog casts doubt on Apple’s privacy compliance

di Laura Kayali | 23 marzo 2021

The US tech giant’s targeted advertising practices raise a lot of questions, the CNIL writes in a confidential note.

Apple has put privacy at the heart of its sales pitch to users, but an internal document from France's data regulator suggests the iPhone maker's own targeted advertising practices may be problematic.

According to the 13-page confidential note seen by POLITICO, France's CNIL data protection authority cast doubt on Apple's compliance with EU privacy rules. Last week, the country's competition authority ruled in Apple's favor in a case over its new anti-tracking tool.

“Apple’s advertising processing requires consent when it involves reading or writing data on the user's device," the CNIL wrote. "Apple's practices suggest a lack of consent collection.”

The note, dated December 17 and signed by the CNIL president Marie-Laure Denis, is an opinion given to the country’s competition authority to inform a case that pits the U.S. tech giant against four organizations representing the French online advertising ecosystem.

The organizations argued that Apple’s App Tracking Transparency, the new privacy feature the company plans to roll out in the spring, is anti-competitive. The feature will ask users for consent to be tracked online by third parties for targeted-ad purposes.

22

On March 17, the competition authority backed Apple’s App Tracking Transparency — and so did the CNIL.

According to the internal CNIL document, the privacy regulator said that the App Tracking Transparency is in line with the EU’s flagship privacy rules — the General Data Protection Regulation.

“The pop-up proposed by the Apple company differs positively from some interfaces that do not comply with the regulations,” the CNIL even wrote.

When it comes to Apple’s own advertising platform, however, it’s another story. The U.S. tech giant could be on the wrong side of compliance with EU privacy rules, the watchdog hints. In early January, Apple provided a reply to the points raised by the CNIL.

The CNIL’s wording is cautious because the regulator was only asked to inform a case, not investigate it. But further down the line the regulator’s assessment could have damning consequences for Apple, if confirmed in the context of a privacy complaint filed in March by startup lobby France Digitale.

The complaint, seen by POLITICO, argues that Apple violates EU's privacy rules by not collecting the user's consent to engage in targeted advertising.

Asked for comment, an Apple spokesperson pointed back to an earlier statement that said: "Privacy is built into the ads we sell on our platform. We hold ourselves to a higher standard by allowing users to opt out of Apple's limited first-party data use for personalized advertising, a feature that makes us unique."

Consent needed, please

In the note’s final pages, the CNIL assesses whether Apple needs to collect consent to use personal data for its own advertising platform, which allows app developers to target users on the App Store’s search results.

The short answer, according to the CNIL, is most likely yes.

The regulator does acknowledge there are differences between privacy-friendly and data-hungry, intrusive business models, but argues that the law applies to everyone.

Apple considers that it doesn’t need to collect the users’ consent to process personal information within its own advertising platform because it does not engage in tracking and because of privacy-by-default features on its devices, the CNIL's note reads.

However, the CNIL hints that Apple’s definition of tracking could be too narrow, as it does not encompass reading or writing data from the terminal — meaning the use of trackers such as cookies. Every case of targeted advertising that the CNIL has come across, the regulator argues, involves reading or writing data from the terminal: It appears that Apple should indeed collect consent.

And it appears that Apple is not doing so, as personalized ads are activated by default on the iPhones’ settings, the CNIL continues.

Because the CNIL’s opinion was written to inform a case led by another authority, the regulator does not reach firm conclusions about potential privacy violations. But, the watchdog says, if it is confirmed that Apple does need to collect consent, and that consent is effectively not collected, “the situation would be a major breach of regulations.”

The data protection authority is currently formally investigating the matter in the context of France Digitale's complaint.

The CNIL declined to comment.

Articolo pubblicato su: politico.eu * * *

23

Exclusive: Software vendors would have to disclose breaches to U.S. government

users under new order: draft

di Joseph Menn, Christopher Bing, Nandita Bose | 26 marzo 2021

A planned Biden administration executive order will require many software vendors to notify their federal government customers when the companies have a cybersecurity breach, according to a draft seen by Reuters.

A National Security Council spokeswoman said no decision has been made on the final content of the executive order. The order could be released as early as next week.

The SolarWinds Corp hack, which came to light in December, showed “the federal government needs to be able to investigate and remediate threats to the services it provides the American people early and quickly. Simply put, you can’t fix what you don’t know about,” the spokeswoman said.

In the SolarWinds case, hackers suspected of working for the Russian government infiltrated its network management software and added code that allowed the hackers to spy on end users.

The hackers penetrated nine federal agencies and 100 companies, including Microsoft Corp and other major tech companies.

The proposed order would adopt measures long sought by security experts, including requiring multi-factor authentication and encryption of data inside federal agencies.

The order would impose additional rules on programs deemed critical, such as requiring a “software bill of materials” that spells out what is inside. An increasing amount of software activates other programs, expanding the risk of hidden vulnerabilities.

The notification requirement will have the most immediate impact. The rule aims to override non-disclosure agreements, which vendors have said limited information sharing, and allow officials to view more intrusions.

The order also would compel vendors to preserve more digital records and work with the FBI and the Homeland Security Department’s Cybersecurity and Infrastructure Security Agency, known as CISA, when responding to incidents.

In practice, the changes will occur through updates to federal acquisition rules. Major software companies that sell to the government, like Microsoft and SalesForce, will be affected by the change, said people familiar with the plans.

In the past, Congress has tried to establish a national data breach notification law but has failed because of industry resistance. Such a bill would have obligated companies that experience hacks to disclose them publicly through government agencies.

If finalized in close to the draft form, the executive order would partially achieve the broad disclosure goal. A new law on public disclosure may also be introduced.

The draft order would also create a cybersecurity incident response board, with representatives from federal agencies and cybersecurity companies. The forum would encourage vendors and victims to share information, perhaps with a combination of incentives and liability protections.

Articolo pubblicato su: reuters.com