L’anomalia della campagna elettorale agostana e l’acuirsi dell’emergenza delle materie prime, gas su tutti, hanno monopolizzato il dibattito estivo, ma i mesi appena lasciati alle spalle sono stati caldissimi anche sul fronte della privacy e della protezione dei dati. Diverse e importanti le novità normative, che stanno già avendo un forte impatto su imprese, professionisti e singoli cittadini: dall’estensione del registro pubblico delle opposizioni per i numeri mobili alle frontiere aperte dalla sanità digitale fino al “terremoto” collegato a Google Analytics. E se i dati sono il petrolio dei nostri giorni, saperli gestire arginando i rischi di violazioni, e comprendere potenzialità e limiti al loro sfruttamento è “la” sfida per eccellenza.
True-News.it ne ha parlato con l’avvocato Nadia Martini, Partner, Head of Data Protection Italy dello studio legale Rödl & Partner.
Con un recentissimo provvedimento, il Garante per la Protezione dei Dati Personali, ha scatenato un “terremoto” nel web, affermando che tutti i siti web pubblici e privati che utilizzano il servizio Google Analytics o servizi analoghi, senza le garanzie previste dal Regolamento UE 679/2016 (GDPR), violano la normativa sulla protezione dei dati perché trasferiscono negli Stati Uniti i dati degli utenti. In cosa consiste il provvedimento e che cosa dobbiamo aspettarci?
Il 9 giugno 2022 il Garante si è pronunciato contro l’uso degli analytics di Google da parte di un sito web di informazione italiana, Caffeina. Il provvedimento ha affermato che l’uso di Google Analytics comporta, in primo luogo, il trattamento di dati personali anche quando viene adottata la tecnologia AnonimyzeIP (che dovrebbe rendere anonimo l’IP dell’utente, ndr) e in seconda battuta il trasferimento di dati negli Stati Uniti, senza adeguate misure di sicurezza.
Cosa fare dunque?
I titolari dei siti sono chiamati a valutare se dismettere Google Analytics in favore di un analitico europeo o accettare il rischio del trasferimento dei dati, che in assenza di misure supplementari, sarebbe illecito. A tal fine, dovranno quanto prima effettuare una procedura di impatto del trasferimento dei dati, il Data Transfer Impact Assessment che dettagli l’analisi e le misure supplettive eventualmente adottate (proxy, consenso al cookie, etc). Il Garante procederà infatti, da fine settembre, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.
A proposito di trasferimento dei dati extra UE, la Commissione Europea ha aggiornato le clausole contrattuali standard per il loro trasferimento: che scenario si prospetta?
La Commissione Europea ha adottato il 4 giugno 2021 la Decisione n. 2021/914, che ha accolto le nuove Standard Contractual Clauses per i trasferimenti internazionali di dati dal 27 settembre 2021. Quindi da quella data tutti i nuovi contratti che comportino trasferimenti di dati extra Unione Europea, devono essere già corredati delle nuove clausole.
E per i contratti stipulati prima di quella data?
La Commissione ha attribuito un periodo di grazia fino al 27 dicembre 2022 per i contratti stipulati prima del 27 settembre 2021, purché i trattamenti oggetto dei contratti siano invariati e il ricorso a tali clausole garantisca che il trasferimento di dati personali sia soggetto a garanzie adeguate. Successivamente al 27 dicembre, potranno essere utilizzate tassativamente solo le nuove Standard Contractual Clauses.
In pratica i titolari di siti web come devono agire?
I titolari sono chiamati a mappare tutti i fornitori/partner che trattano dati personali extra UE e a siglare le clausole contrattuali standard aggiornate entro il 27 dicembre 2022.
Altro tema caldo in materia di privacy riguarda il registro pubblico delle opposizioni: che prospettive si aprono con la sua estensione ai numeri mobili?
Il Registro pubblico delle opposizioni è un servizio che permette agli utenti di esprimere il proprio rifiuto a ricevere materiale cartaceo pubblicitario e telefonate promozionali. Dal 27 luglio 2022 è stato esteso a tutti i numeri mobili. Ciò comporta che: (i) si potrà iscrivere al registro qualsiasi numero, anche se non presente in un elenco pubblico; (ii) l’iscrizione nel registro cancella automaticamente tutti i consensi dati in precedenza, escluso i consensi dei clienti cessati, validi per altri 30 giorni; (iii) a partire da quindici giorni dall’iscrizione al registro, le telefonate a fini commerciali a quell’utenza sono illegali.
Il telemarketing selvaggio sarà solo un ricordo?
È in corso la consultazione pubblica del Codice di Condotta Telemarketing, volto proprio a meglio applicare i principi del registro. Pare tuttavia confermata l’esclusione dal perimetro del registro pubblico delle opposizioni delle telefonate inbound e dei contatti da sms, email, call me now.
Un altro ambito delicato in materia di protezione dei dati è quello della sanità digitale. Basti pensare al dibattito attorno all’app Immuni e alla gestione dello stesso Green Pass. Quali sono le maggiori sfide per il settore?
Grande evoluzione avranno senz’altro l’Intelligenza Artificiale e le tecnologie nel settore sanitario che, complice anche la pandemia, stanno dimostrando come le innovazioni tecnologiche siano fondamentali per garantire la tutela del paziente. Si pensi alla telemedicina, alle app mediche, al machine learning. Questo scenario porterà in auge la sfida principale, quella dell’accountability, cioè della responsabilità, elemento chiave del regolamento privacy europeo, in particolare nel mondo sanitario.
Come affrontarla al meglio?
Siamo chiamati a fare il massimo calibrato sui dati che usiamo e i sistemi di cui ci avvaliamo, adeguati al nostro livello di rischio. Un rischio che va calcolato in termini di sicurezza (il rischio di un data breach, la violazione di dati personali o di sistemi); e di impatto (un rischio di impatto sulle libertà individuali).
Cosa intende per “fare il massimo”?
Fare il massimo, soprattutto nel mondo della sanità digitale, significa prima comprendere la sfida che abbiamo di fronte e poi documentarla. Sono queste le due sfaccettature dell’accountability: responsabilizzazione cioè essere responsabili, da un lato, e rendicontazione ovvero dare prova, dall’altro.