Le Autorità privacy Ue avranno maggiore autonomia contro le imprese extra Ue. Chiarita dal Comitato dei Garanti la nozione di stabilimento principale

Tratto da www.garanteprivacy.it – Newsletter del 07/03/2024

Quando un’impresa extra europea ha uno stabilimento nei Paesi membri dell’Unione europea, ma le decisioni sulle finalità e sui mezzi del trattamento sono prese al di fuori dell’UE, il meccanismo del cosiddetto “Sportello Unico” non si applica. In questi casi qualunque Autorità privacy di un Paese membro potrà muoversi in maniera autonoma per tutelare i diritti dei propri cittadini e intervenire direttamente presso il titolare.

L’importante decisione è stata presa dal Comitato europeo per la protezione dati (EDPB) il 13 febbraio adottando un parere sulla nozione di “stabilimento principale” e sui criteri per l’applicazione del meccanismo dello One-Stop-Shop, secondo cui l’autorità di controllo capofila funge da punto di contatto principale per il titolare o il responsabile del trattamento (mentre le autorità di controllo interessate fungono da punto di contatto principale per gli interessati nel territorio del proprio Stato membro) ed è incaricata di condurre il processo di cooperazione con le altre Autorità.

La nozione di stabilimento principale è una delle pietre miliari del One-Stop-Shop ed è fondamentale per determinare quale, se del caso, sia l’autorità di controllo principale nei casi di protezione dei dati che coinvolgano più Stati membri.

Il Comitato ha chiarito che il “luogo di amministrazione centrale” di un titolare del trattamento nell’UE può essere considerato “stabilimento principale” solo se è lì che si prendono decisioni sulle finalità e sui mezzi del trattamento dei dati personali e se si ha il potere di far attuare tali decisioni. Solo in questo caso, dunque, si applica il meccanismo dello Sportello Unico.

Quando le decisioni sulle finalità e sui mezzi del trattamento sono prese al di fuori dell’UE, “luogo di amministrazione centrale” non può essere considerato stabilimento principale del titolare del trattamento nell’Unione né si deve applicare il One-Stop-Shop, e pertanto qualunque Autorità nazionale può intervenire direttamente presso il titolare.

Spetta inoltre al titolare, chiarisce ancora il parere, l’onere di dimostrare che le decisioni sulle finalità e sui mezzi del trattamento dei dati personali siano state prese nel Paese Ue dove è stabilito lo stabilimento principale e le sue conclusioni possono comunque essere confutate dalle Autorità di protezione dati.

Dark Pattern: modelli di progettazione ingannevoli

Tratto da www.garanteprivacy.it – 20/04/2023

Dark Pattern: modelli di progettazione ingannevoli che possono influenzare il comportamento di chi naviga online e ostacolare la protezione dei dati

Con la definizione di “modelli di progettazione ingannevoli” vengono indicate quelle interfacce e quei percorsi di navigazione progettati per influenzare l’utente affinché intraprenda azioni inconsapevoli o non desiderate – e potenzialmente dannose dal punto della privacy del singolo – ma favorevoli all’interesse della piattaforma o del gestore del servizio.

Detti anche Dark Pattern, i modelli di progettazione ingannevoli mirano dunque a influenzare il nostro comportamento e possono ostacolare la capacità di proteggere efficacemente i nostri dati personali.

Il 24 febbraio 2023, il Comitato europeo per la protezione dati (EDPB) ha pubblicato le linee guida su come riconoscere ed evitare questi sistemi. Il documento offre raccomandazioni pratiche a gestori dei social media, a designer e utenti su come comportarsi di fronte a queste interfacce che si pongono in violazione del Regolamento europeo in materia di protezione dati.

Le linee guida dell’EDPB individuano sei tipologie riguardo alle quali si può parlare di “modelli di progettazione ingannevoli”:

• quando gli utenti si trovano di fronte a una enorme numero di richieste, informazioni, opzioni o possibilità finalizzate a spingerli a condividere più dati possibili e consentire involontariamente il trattamento dei dati personali contro le aspettative dell’interessato (overloading)

• quando le interfacce sono realizzate in modo tale che gli utenti dimentichino o non riflettano su aspetti legati alla protezione dei propri dati (skipping)

• quando le scelte degli utenti sono influenzate facendo appello alle loro emozioni o usando sollecitazioni visive (stirring)

• quando gli utenti sono ostacolati o bloccati nel processo di informazione sull’uso dei propri dati o nella gestione dei propri dati (hindering)

• quando gli utenti acconsentono al trattamento dei propri dati senza capire quali siano le finalità a causa di un’interfaccia incoerente o poco chiara (flickle)

• quando l’interfaccia è progettata in modo da nascondere le informazioni e gli strumenti di controllo della privacy agli utenti (leftinthedark).

Ricordiamo che interfacce e informazioni sottoposte agli utenti dovrebbero sempre riflettere fedelmente le conseguenze dell’azione intrapresa ed essere coerenti con il percorso di esperienza-utente.

L’approccio alla progettazione deve essere dunque quello di non mettere in discussione la decisione della persona per indurla a scegliere o mantenere un ambiente meno protettivo nei confronti dei propri dati. Il modello deve invece essere utilizzato per avvisare la persona che una scelta appena compiuta potrebbe comportare rischi per i propri dati e la privacy.

GDPR: focus dei Garanti europei sul ruolo dei responsabili della protezione dei dati

Tratto da www.garanteprivacy.it – 15/03/2023

Il Comitato europeo per la protezione dei dati (EDPB) ha dato il via alla sua azione coordinata per l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework – CEF 2023).

Nel corso dell’anno, 26 Autorità di controllo dello Spazio Economico Europeo (SEE), compreso il Garante europeo della protezione dei dati, parteciperanno al CEF 2023 focalizzandosi sulla designazione e la posizione dei Responsabili della protezione dei dati (RPD).

Operando come intermediari tra le Autorità di protezione dei dati, le persone fisiche e i titolari di trattamento pubblici e privati, i responsabili della protezione dei dati svolgono un ruolo essenziale nel contribuire al rispetto della normativa sulla protezione dei dati e nel promuovere una tutela efficace dei diritti degli interessati.

Per valutare se i RPD operino realmente nei termini previsti dagli articoli 37-39 RGPD e dispongano delle risorse necessarie per svolgere i propri compiti, le autorità di controllo realizzeranno le attività previste dal CEF a livello nazionale in diversi modi:

– saranno inviati questionari ai RPD per facilitare la raccolta di elementi istruttori ovvero per individuare la necessità di accertamenti formali;

– avvio di accertamenti formali;

– follow-up degli accertamenti formali in corso.

I risultati dell’attività congiunta saranno analizzati in modo coordinato e le autorità di controllo valuteranno eventuali azioni ulteriori a livello nazionale. Inoltre, attraverso l’aggregazione dei risultati, sarà possibile un’analisi più approfondita con un follow-up mirato a livello dell’UE. L’EDPB pubblicherà una relazione sui risultati di tale analisi una volta concluse le singole attività.

Si tratta della seconda iniziativa nell’ambito del Coordinated Enforcement Framework (CEF).

Le iniziative del CEF mirano ad armonizzare l’attuazione delle norme e la cooperazione tra le autorità di controllo.

Nel 2022, il tema prescelto è stato l’uso dei servizi cloud da parte del settore pubblico. Il 18 gennaio 2023 è stata pubblicata una relazione sui risultati di questa prima iniziativa del CEF.

Per ulteriori informazioni:

– Cloud nella PA: i Garanti europei lanciano un’indagine coordinata

– Cloud nella PA: le Autorità Ue chiedono il rispetto della privacy

GDPR: consultazione sull’uso delle certificazioni per trasferire i dati all’estero

Tratto da www.garanteprivacy.it – 30/06/2022

Le imprese e le organizzazioni della società civile avranno tempo fino al 30 settembre per proporre modifiche alle “Linee guida sulle certificazioni come strumento per i trasferimenti” dei dati personali in Paesi fuori dallo Spazio economico europeo, appena approvate dai Garanti privacy europei in seno all’EDPB.

Il documento messo in consultazione, e al quale ha contribuito anche il Garante italiano, fornisce chiarimenti ed esempi pratici per l’utilizzo delle certificazioni come strumento di trasferimento dei dati personali di interessati – come i propri clienti, dipendenti, utenti – verso Paesi terzi per i quali non sia stata riconosciuta l’adeguatezza da parte della Commissione europea. Lo strumento della certificazione può rivelarsi di particolare importanza, aggiungendosi ad altri strumenti già esistenti, come le clausole contrattuali standard, le clausole contrattuali ad hoc e le regole vincolanti di impresa.

Le linee guida appena approvate sono composte da quattro parti e approfondiscono aspetti specifici della certificazione come strumento per i trasferimenti. Nella prima parte si analizzano temi di carattere generale, tra cui il ruolo di chi importa dati nel Paese terzo che riceve una certificazione e quello di chi li esporta. Nella seconda parte, i Garanti forniscono chiarimenti su alcuni dei requisiti di accreditamento degli organismi di certificazione (già contenuti in precedenti linee guida EDPB e nell’ISO 17065). Nella terza parte si analizzano i criteri specifici per dimostrare l’esistenza di garanzie adeguate per il trasferimento, che riguardano in particolare la valutazione della legislazione dei Paesi terzi, gli obblighi generali degli esportatori e degli importatori, le norme in materia di trasferimenti successivi, i diritti dei terzi beneficiari e i mezzi di tutela esercitabili, le misure da adottare per le situazioni in cui la legislazione e le prassi nazionali impediscano il rispetto degli impegni assunti dall’importatore nell’ambito della certificazione e nei casi di richieste di accesso ai dati da parte delle autorità di paesi terzi. Nella quarta parte vengono affrontati gli impegni vincolanti e applicabili da attuare.

Il GDPR impone infatti che i titolari e i responsabili del trattamento non soggetti al Regolamento europeo, quando aderiscono a un meccanismo di certificazione destinato ai trasferimenti, assumano impegni vincolanti ed esecutivi attraverso strumenti contrattuali o altri strumenti giuridicamente vincolanti, riguardo alle garanzie previste dal meccanismo di certificazione, anche per quanto riguarda i diritti degli interessati.

Le linee guida propongono anche un allegato con esempi specifici per l’utilizzo di una certificazione come strumento per i trasferimenti.

Data breach: le istruzioni dei Garanti privacy Ue per gestire le violazioni di dati

Tratto da www.garanteprivacy.it

Adottate le nuove linee guida, avviata una consultazione pubblica europea

Come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei? A questa e ad altre domande rispondono le linee guida, adottate dall’Edpb (Comitato europeo per la protezione dei dati), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio.

Le “Guidelines 01/2021 on Examples regarding Data Breach Notification”, approvate nella riunione plenaria del 14 gennaio scorso, si basano sull’analisi dei casi più significativi di violazione dei dati – affrontati dai Garanti privacy nazionali, incluso quello italiano – subiti da banche, ospedali, medie imprese, municipalità, società che offrono servizi online di vario genere.

Sul documento l’Edpb ha avviato una consultazione pubblica per un periodo di sei settimane (fino al 2 marzo 2021).

Le linee guida presentano, per ciascuna casistica, esempi di buone o cattive pratiche, raccomandano modalità di identificazione e valutazione dei rischi (evidenziando i fattori che meritano particolare considerazione), indicano in quali casi chi tratta i dati deve notificare la violazione all’Autorità Garante e, se necessario, informare le persone coinvolte.

Tra le mancanze più frequenti ricordati dalle Linee guida vi è, ad esempio, l’omessa cifratura dei dati che consente a chi li acquisisce in maniera fraudolenta di consultare informazioni riservate. Potrebbe facilitare violazioni anche la non corretta gestione dell’autenticazione degli utenti a siti web, magari a causa dell’utilizzo di password deboli o conservate in chiaro. Nel settore bancario, potrebbe causare enormi danni l’impiego di identificativi di sessione all’interno degli indirizzi web degli utenti, informazioni che facilitano l’accesso illecito a contenuti che dovrebbero rimanere protetti. Drammatiche potrebbero essere le conseguenze di un attacco ransomware (un virus informatico che rende inservibili i dati fino al pagamento di un eventuale riscatto) ai referti e ad altri documenti dei pazienti di un ospedale, a meno che la struttura sanitaria non abbia provveduto a effettuare un backup separato dei dati. Non bisogna sottovalutare anche i problemi che può causare una semplice e-mail spedita ai destinatari sbagliati.

Il testo, che integra e aggiorna gli orientamenti già forniti negli anni passati dal Gruppo “Articolo 29”, proprio per offrire un contributo concreto a imprese e Pa, analizza anche le misure adottate dai titolari del trattamento, prima di aver subito un data breach, per prevenire o attenuare i rischi di una potenziale violazione dei dati. E propone una lista di misure di prevenzione ai vari problemi rilevati.

Categorie