Pillole
Il primo rapporto di revisione sul Data Privacy Framework (DPF), pubblicato dall’European Data Protection Board (EDPB) il 4 novembre 2024, segna una tappa decisiva nel monitoraggio della protezione dei dati personali dei cittadini europei trasferiti verso gli Stati Uniti.
Nato come risposta alla sentenza “Schrems II” della Corte di Giustizia dell’Unione Europea (CGUE), che nel 2020 aveva invalidato il Privacy Shield per carenze di tutela, il DPF cerca di rispondere alle esigenze di bilanciamento tra diritti individuali e interessi di sicurezza nazionale statunitensi, introducendo principi quali la necessità e la proporzionalità nelle operazioni di sorveglianza.
L’EDPB, tuttavia, osserva come le misure implementate dal DPF, sebbene migliorative, lascino aperte questioni rilevanti sulla reale equivalenza delle garanzie offerte rispetto a quelle europee.
In particolare, il report solleva dubbi riguardo alla trasparenza delle pratiche di raccolta dati e all’efficacia del meccanismo di ricorso, un sistema teoricamente aperto ai cittadini europei per ottenere rimedi in caso di violazione dei loro diritti.
Nella puntata del 19 luglio Vannini fa un po' di storia degli accordi USA - UE sulla protezione dei dati e spiega perché il tema è completamente politico.
E così gli USA hanno riottenuto da una commissione sdraiata la loro brava adeguatezza. Le aziende possono continuaree in pace a trasferire i loro dati oltreoceano. Circolare, gente, non c'è niente da vedere. Senonché nemmeno questo "aaccordo bilaterale" (trad. decidiamo che si fa come dicono gli USA) reggerà. Solo un altro giro di danza per non tirare le conclusioni dei principi che l'Europa dice di avere, salvo poi inginocchiarsi davanti allo Zio Sam.
Critiche da ogni parte, anche in seno all’Europa. Schrems ha annunciato ricorso. Tutto ciò, inevitabilmente, solleva grossi dubbi riguardo alla consistenza e alla lunga durata di un accordo che è stato gestito in modo affrettato dalla Commissione e che potrebbe quindi essere impugnato e nuovamente invalidato dalla Corte di Giustizia
La recente approvazione da parte della Commissione Europea del “EU-US Data Privacy Framework”, accordo sul trasferimento dei dati tra l’Unione Europea e gli Stati Uniti, ha suscitato reazioni contrastanti e sollevato quesiti sulla sua autentica validità e capacità di garantire la protezione dei dati personali dei cittadini europei.
Tutte le critiche al Data Privacy Framework
Ricordiamo che secondo il comunicato stampa della Commissione europea, la decisione stabilisce che gli Stati Uniti garantiscono un livello di protezione adeguato – paragonabile a quello dell’Unione europea – per i dati personali trasferiti dall’UE alle società statunitensi nell’ambito del nuovo quadro normativo”.
Il parere di Max Schrems, watchdog delle politiche europee sul trattamento dati sul Data Privacy Framework, è impietoso
L’attività di monitoraggio di Max Schrems e del suo NOYB prosegue da tempo e il Data Privacy Framework non fa eccezione. Maximilian Schrems è noto, in particolar modo, per essere l’attivista avvocato che ha battagliato contro Facebook per i suoi numerosi atti di violazione della privacy – a partire dalle leggi europee sul trasferimento di dati personali alla NSA Usa. Una delle critiche maggiormente fatte a questo nuovo accordo, in sostanza, è quella di essere un Safe Harbor 3.0 o un Privacy Shield 2.0 – un copia-incolla degli accordi precedenti che, alla fine, non cambia le carte in tavola quanto dice di fare -. Considerate le criticità già individuate anche dall’EDPB (Comitato europeo per la Protezione dei Dati, composto dalle autorità garanti dei Paesi membri), tutto quello che abbiamo finora sembrerebbe essere il ritardo del blocco del trasferimento dati in Usa che porterebbe i cittadini Ue a non poter usare servizi come quelli forniti da Big Tech.
In vigore dall'11 luglio, dopo che i due precedenti trattati sono stanti invalidati. Per gli attivisti per i diritti digitali di Noyb però è una copia dei regolamenti precedenti e si preparano a fare ricorso
La Commissione europea ha adottato il nuovo accordo sul trasferimento dei dati tra l’Unione europea e gli Stati uniti. Il Data privacy framework arriva dopo l’annullamento degli accordi precedenti da parte della Corte di giustizia europea, a causa dell’assenza di tutele adeguate da parte degli Stati Uniti. Tuttavia, l’organizzazione per i diritti digitali Noyb si prepara a portare anche questo accordo davanti alla Corte, perché sembrerebbe una copia dei vecchi regolamenti.
[...]
L’accordo cerca poi di risolvere il problema dell’accesso incondizionato ai dati personali da parte delle agenzie di intelligence statunitensi, che nel quadro del nuovo framework dovrebbero avere solamente un accesso limitato e proporzionato a queste informazioni. Inoltre, istituisce un organo speciale, la Data protection review court (Dprc), a cui i cittadini europei potranno rivolgersi in caso di violazione delle nuove garanzie, che potrà ordinare la cancellazione dei dati ottenuti o trattati illegalmente.
Le critiche di Noyb
Il nuovo regolamento non ha convinto il gruppo per la difesa dei diritti digitali Noyb, guidato dall’attivista e avvocato Max Schrems. Per l’organizzazione, infatti, gli Stati Uniti attribuiranno alla parola “proporzionato” un significato diverso da quello della Corte di giustizia, così da assicurare alle agenzie di intelligence la possibilità di continuare a usare i dati personali europei più o meno come vogliono...
I garanti della privacy di Italia, Austria e Francia avevano confermato che Google Analytics non rispetta il GDPR (Regolamento generale sulla protezione dei dati). L’autorità svedese ha invece deciso di sanzionare due aziende locali.
Il garante svedese ha esaminato i casi di CDON, Coop, Dagens Industri e Tele2. Dato che le misure tecniche implementate dalle quattro aziende non garantiscono un sufficiente livello di protezione dei dati inviati negli Stati Uniti, l’autorità ha ordinato di non usare più Google Analytics. Tele2 ha già rispettato l’ordine, ma dovrà pagare una multa di 12 milioni di corone (circa un milione di euro). Una sanzione di 300.000 corone (circa 25.400 euro) è stata invece inflitta a CDON.
Abbiamo parlato con il co-fondatore della comunità di attivisti hacker che hanno come obiettivo quello della protezione dei dati personali degli italiani online
Giornalettismo ha trattato in diverse occasioni le tematiche riguardanti il caso Google Analytics e il trasferimento di dati presso Paesi Terzi. Questioni affrontate anche a livello normativo sia dall’Italia che dall’Europa, con interventi che hanno modificato quello status quo divenuto una vera e propria routine. Ma cosa accade se anche la Pubblica Amministrazione non riesce a rimettersi al passo utilizzando strumenti in linea con gli impianti legislativi forniti dallo European Data Protection Board? Ne abbiamo parlato con Giacomo Tesio, co-fondatore di Monitora PA, la comunità italiana di hacker attivisti che ha come obiettivo primario quello di proteggere i dati riservati degli italiani.
Leggi l'intervista integrale sul sito "Giornalettismo".
Leggi anche "Come hanno reagito gli Atenei italiani alla richiesta di smettere di utilizzare i servizi di Google?"
Leggi anche la seconda parte dell'intervista
La registrazione di un webinar in cui Maria Chiara Pievatolo e Giacomo Tesio hanno provato a spiegare i problemi di Google & friends ad un gruppo di docenti delle superiori.
Il webinar è avvenuto sulla piattaforma di videoconferenza BBB messa a disposizione dal GARR.
Potete vederla nella piattaforma del GARR
Più di 60 partiti politici italiani trasferiscono illegalmente all'estero i nostri dati personali, alimentando il capitalismo della sorveglianza che li userà per alterare i risultati delle prossime elezioni. Questo il risultato dell'analisi dell'Osservatorio Monitora PA. La ricerca ha verificato che quasi nessun partito rispetta il pronunciamento del Garante delle Privacy che mette l'accento sulla "illiceità dei trasferimenti effettuati verso gli Stati Uniti". L'osservatorio Monitora PA ha scritto ai partiti politici chiedendo l'immediata interruzione di tali trasferimenti. Nel sito Monitora PA si possono leggere i risultati dell'analisi.
Di seguito un breve estratto tratto dal sito web. L'articolo 9 del Regolamento Europeo 2016/679 sui Dati Personali vieta espressamente il trattamento delle opinioni politiche dei cittadini a meno di specifici casi eccezionali.
Affinché le “intelligenze artificiali” che permettono questa manipolazione cognitiva su vasta scala funzionino, è necessario fornire loro le intenzioni di voto più probabile per ciascun elettore, in modo che possano selezionare i messaggi più efficaci per orientarlo nella direzione “giusta”.
Google sorveglia già milioni di italiani, quando telefonano o mandano un sms, quando scrivono o leggono un'email, quando mandano una foto al proprio medico, quando visitano un sito web o quando fanno un qualsiasi acquisto… e ne orienta in modo invisibile scelte, opinioni e comportamenti attraverso i contenuti che seleziona per ciascuno di loro.
- Ma quali partiti informano Google ogni volta che visitate il loro sito web?
- Quali partiti blaterano di sovranità nazionale… mentre permettono ad aziende USA di profilare e manipolare i propri elettori?
- Quali partiti blaterano di diritti, di legalità o di europeismo… mentre violano la normativa europea?
- Quali partiti blaterano di concorrenza e libero mercato… mentre rafforzano monopoli stranieri?
Siamo hacker: poniamo domande e cerchiamo risposte
Per rispondere a queste domande, abbiamo deciso di orientare il nostro osservatorio su un elenco di partiti politici faticosamente creato dalla nostra comunità.
Sull'illiceità di tali trasferimenti si è già espressa il 16 luglio 2020 la Corte di Giustizia Europea con la sentenza Schrems II che ha riconosciuto come non valido il Privacy Shield in quanto la normativa statunitense impone alle società americane di fornire segretamente qualsiasi dato di loro interesse per qualsiasi cittadino straniero, senza nemmeno il bisogno dell'autorizzazione di un giudice. L'Autorità Garante per la Protezione dei Dati Personali, il 9 giugno 2022 ha ribadito il concetto, richiamando “all'attenzione di tutti i gestori italiani di siti web, pubblici e privati, l'illiceità dei trasferimenti effettuati verso gli Stati Uniti” e invitando “tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali”.
I risultati della nostra analisi sono talmente avvilenti che abbiamo deciso di presentarli in forma schematica, lasciando agli elettori l'onere di comprenderne la gravità.
Leggi i risultati dell'analisi sul sito Monitora PA
È solo un annuncio politico, non c'è ancora un testo, su un nuovo quadro per i flussi di dati transatlantici. Gli esperti privacy attendono di leggere il testo dell'accordo e Schrems già (ri)promette battaglia: "Se non conforme al diritto Ue lo porterò di nuovo in tribunale". Ecco i punti chiave.
L’accordo sul flusso di dati arriva dopo mesi di trattative e segue l’invalidazione nel luglio 2020 da parte della giustizia europea dell’intesa “Privacy Shield” che consentiva questo trasferimento, a causa dei timori sui programmi di sorveglianza americani. Secondo la Corte di giustizia Ue ‘Privacy Shield’ non preservava da “interferenze nei diritti fondamentali delle persone i cui dati vengono trasferiti’. Schrems: “Se testo non conforme al diritto Ue lo porterò di nuovo in tribunale”
E proprio il protagonista della decisione della Corte di giustizia Maximilian Schrems ha subito commentato, in modo critico, l’annuncio politico di Biden-von der Leyen utilizzando questa foto:
“L’accordo era apparentemente un simbolo che von der Leyen voleva, ma non ha il sostegno degli esperti a Bruxelles, poiché gli Stati Uniti non si sono mossi. È particolarmente spaventoso che gli Stati Uniti abbiano presumibilmente usato la guerra contro l’Ucraina per spingere l’UE su questa questione economica”, ha dichiarato l’attivista per la protezione dei dati personali.
Il Garante austriaco ha sentenziato che Google Analytics è illecito ai sensi del GDPR. Sorpresi? Non siatelo.
Il pronunciamento dell’Autorità Garante per la protezione dei dati personali austriaca (vedi articolo di Saetta) ha deciso che l’utilizzo del servizio Google Analytics, fornito da Google LLC, non è conforme alla normativa europea.
Walter Vannini spiega perché questo pronunciamente potrebbe diventare una valanga.
La ricostruzione dello scontro tra PagoPa e Garante Privacy sull'app IO e l'analisi di come stanno i fatti. L'Autorità controbatte il Governo e pubblica la relazione tecnica che dimostra come i dati di 11,5 milioni di italiani, utenti dell'app, siano trasferiti in Usa in violazione delle norme sulla protezione dei dati personali.
Vìola la privacy degli utenti IO, l’app “fiore all’occhiello” del Governo. A stabilirlo è stato il Garante per la protezione dei dati personali che, con il provvedimento adottato ieri, ha imposto alla società partecipata dallo Stato sviluppatrice dell’app, PagoPa, la limitazione provvisoria, “da rendere operativa senza ingiustificato ritardo, e comunque non oltre 7 giorni dalla ricezione del presente provvedimento”, dei trattamenti effettuati mediante IO che prevedono l’interazione con i servizi di Google e quelli di Mixpanel.
Come ormai sappiamo, WhatsApp ha dato un ultimatum a tutti i suoi utenti: chi non ha accettato la nuova policy entro il 15 maggio non potrà più usare WhatsApp.
L'azienda di proprietà di Facebook, con sede Europea in Irlanda, ci aveva già provato a febbraio 2021 sollevando feroci critiche che l'avevano indotta a rimandare la scadenza per avere il tempo di spiegare meglio agli utenti i cambiamenti introdotti nella policy.
Leggi l'articolo completo
Di come la scuola italiana abbia dato il peggio di sé con la tecnologia, finendo con noncuranza nell’illegalità
L'articolo ripercorre le nefandezze delle scelte della scuola (e non solo) sul digitale con particolare attenzione alla questione dei dati e della privacy. Ricordando che "è ora, insomma, di rifiutarsi di essere merce che rappresenta l’ultima ruota del carro, e di ricordarsi di essere persone. È ora, ora, di dire basta."
Il 16 luglio 2020 la Corte di Giustizia europea si è pronunciata (qui il comunicato stampa) su una serie di ricorsi presentati dal legale Maximilian Schrems, invalidando l’accordo “Privacy Shield” tra l’Unione europea e gli Usa (qui annuncio di Noyb).
Il Privacy Shield è un accordo tra la Commissione europea e il Segretario al Commercio USA che consentiva un regime privilegiato per le aziende americane aderenti, nel caso di trasferimento dei dati personali dei cittadini europei verso gli Usa. Il Privacy Shield in realtà nasce sulle ceneri del Safe Harbour, che era stato invalidato dalla Corte di Giustizia europea nel 2015, anche qui a seguito del ricorso del legale Schrems.
Leggi l'articolo completo su Valigia Blu
