Cos’è-ra il Privacy Shield
Il Privacy Shield è stato fino ad ora la base giuridica di numerosi trattamenti che comportavano il trasferimento di dati verso gli Stati Uniti o altre nazioni al di fuori dei confini europei. L’invalidazione di tale accordo si è basata sul fatto che gli Stati Uniti hanno leggi e programmi di sorveglianza di massa che non forniscono, ad esempio, sufficienti diritti di opposizione al trattamento. I Garanti europei, in conseguenza di tale sentenza, hanno l’obbligo di interrompere il trattamento svolto tramite responsabili del trattamento statunitensi e che comporti un trasferimento dei dati personali.
Qual è la situazione attuale?
I titolari del trattamento potrebbero, se incapaci di implementare alternative, continuare ad utilizzare dei responsabili del trattamento non conformi ma dovranno notificarlo al Garante (articolo 145 C-311/18) e naturalmente ottenere esplicito consenso al trattamento da parte di ogni utilizzatore ed interessato.
In breve, questa è la situazione attuale:
I titolari del trattamento non possono utilizzare il Privacy Shield come base giuridica per il trattamento e/o trasferimento dei dati o responsabili esterni statunitensi o filiali europee di entità statunitensi che utilizzano il Privacy Shield come base legale dell’accordo per il trattamento dei dati.
I titolari del trattamento non possono neanche utilizzare responsabili esterni statunitensi o filiali europee di entità statunitensi che utilizzano Standard Contractual Clauses come base legale per il trattamento e/o trasferimento dei dati
I titolari del trattamento potranno utilizzare responsabili del trattamento statunitensi verificando che il responsabile del trattamento si idoneo e conforme al GDPR.
Cerco di semplificare al massimo: i seguenti provider (l’ordine è solo alfabetico) non dovrebbero essere utilizzati: Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon e Verizon Media (Oath e Yahoo).
Questo significa che dovremmo smettere di utilizzare una lunga serie servizi ed applicazioni, non permesse dall’articolo 49 del GDPR; possiamo invece prenotare un albergo o un volo con entità statunitensi e consentire il trattamento ed il trasferimento dei nostri dati personali in quanto necessari per completare la transazione commerciale. Il trattamento dei dati personali tramite l’articolo 49 è infatti permesso solo se non continuativo e se ogni interessato è stato messo al corrente e cosciente (informato) del fatto che i propri dati personali ”saranno soggetti a programmi di sorveglianza di massa da parte del Governo statunitense e che in molti casi verranno utilizzati singolarmente ed in forma aggregata per supportare modelli di business che monetizzano le informazioni in modi più o meno etici”.
Di seguito alcuni esempi di quando voi come individui, dirigenti aziendali, impiegati pubblici potreste privare altri cittadini del loro diritto fondamentale alla privacy e rendervi non conformi al GDPR:
quando installate applicazioni come Facebook, WhatsApp, LinkedIn, Instagram, ecc… o attivate un account Google sul vostro telefono generalmente la prima cosa che fanno è di caricare i dati sul vostro telefono sui loro server per correlare i vostri dati con quelli dei vostri familiari, amici e colleghi senza ottenere il consenso dalle terze parti coinvolte;
quando utilizzate Microsoft Office, Microsoft 365, Google Docs o servizi e prodotti similari; Se scrivete documenti e fogli di calcolo o create presentazioni contenenti dati personali, condividerete quei dati in formato leggibile o li trasferirete una parola o frase per volta tramite i “Connected Services” senza consenso o basi legali. Questo purtroppo avviene tutti i giorni nella maggior parte delle organizzazioni pubbliche o private dove la maggior parte degli utenti non è a conoscenza del fatto che stanno trattando dati personali in modo illegale;
quando implementate servizi come Google Analytics, CloudFlare, Amazon AWS, Facebook, ecc. in quanto trattano e trasferiscono dati personali.
Cosa fare ora?
Se siete titolari del trattamento, questo potrebbe essere un grosso problema. I titolari del trattamento quindi, se non riescono a trovare alternative, potrebbero, in linea teorica, continuare ad utilizzare dei responsabili del trattamento non conformi, ma dovranno notificarlo al Garante e naturalmente ottenere esplicito consenso al trattamento da parte di ogni utilizzatore ed interessato.
Al momento sembra che non vi siano soluzioni semplici e veloci, soprattutto in un mondo in cui pochi giganti non solo operano in regime di quasi monopolio, ma sono in grado di condizionare le scelte dei governi che, a loro volta, non sono in grado di trovare o creare una valida alternativa.
Se questo articolo ti è piaciuto o pensi che possa esserti utile, condividilo sui tuoi social preferiti ed iscriviti alla nostra newsletter: è gratis e puoi cancellarti quando vuoi!
Protocollo di regolamentazione per il contrasto e il contenimento della diffusione del virus COVID 19 negli ambienti di lavoro è stato realizzato per agevolare gli enti e le imprese nell’adozione di protocolli di sicurezza anti-contagio, ma contiene importanti disposizioni anche in materia di privacy. Non tutti se ne sono accorti o hanno dato la giusto valore alle indicazioni del documento che, oltre alle disposizioni per mettersi in regola con le misure anti Covid-19, contiene importanti indicazioni e disposizioni in materia di...
Scritto da: Luigi DuraccioIncredibile! Solo un terzo degli utenti ha cambiato la propria password a seguito di una violazione dei dati. Quasi tutti con password più deboli o ricilando gli stessi caratteri delle password violate! Fonte: Informatore Informatico. E' il risultato di un recente studio pubblicato da accademici del Security and Privacy Institute (CyLab) della Carnegie Mellon University. Lo studio, presentato all'inizio di questo mese al seminario IEEE 2020 sulla tecnologia e la protezione dei consumatori, non si basava sui dati di indagine o sondaggio, ma sull'effettivo traffico...
Scritto da: Luigi Duraccio“Immuni” fa il suo esordio sugli store di Apple e Google, e subito una campagna malevola prova a sfruttare questo evento, ma la password si trova nei log di rete. Lo comunica Agid-Cert, la struttura del governo che si occupa di cybersicurezza. Grazie alla condivisione del sample da parte del ricercatore @JAMESWT_MHT, il CERT-AgID ha avuto evidenza della campagna di hacking che è stata diffusa per diffondere il ransomware denominato “FuckUnicorn”. Sffruttando la notizia del rilascio del codice dell’App Immuni, i criminali hanno creato un dominio ad arte per ospitare il...
Scritto da: Luigi DuraccioCampagna di GitLab che ha testato i propri collaboratori in remoto (remote-working) con una campagna di auto-phishing. L’obiettivo di ottenere le credenziali di accesso dei dipendenti è stato centrato in pieno. Una premessa è doverosa e tanto per essere chiari: il business del phishing è nell’ordine di miliardi di dollari amercani ogni anno. L'attuale situazione di pandemia ha incoraggiato, a volte costretto, le aziende ad estendere il proprio ecosistema ben oltre le mura dell'azienda con il c.d. "remote working". La prima conseguenza diretta è che il lavoratore diventa...
Scritto da: Luigi DuraccioDal 25 maggio 2018 sono passati due anni e, come previsto al momento della entrata in vigore del nuovo regolamento, è giunto il momento del primo tagliando. Giunti a questo punto era prevista una revisione della normativa ed era attesa la presentazione di proposte di semplificazioni per PMI ed enti no profit. Per gli sviluppi attendiamo ma, in questa sede, vorremmo fare un breve bilancio. Tra chiaro scuri, e con opportuni distinguo, il trend sembrerebbe positivo; da diversi sondaggi sembra si possano...
Scritto da: Luigi DuraccioMolti gli aspetti critici. Attenzione a fare le cose per bene o potrebbe arrivare una batosta! Oggi era in programma un post con contenuto e tenore diversi, ma, gli ultimi sviluppi della fase 2, mi hanno fatto cambiare programma. Questo articolo può essere considerato come una comunicazione di servizio, un alert per mettere tutti in guardia sulle procedure e sulle modalità con cui ci apprestiamo ad affrontare la fase 2, la cosidetta "ripartenza". La normativa e le circolari, commenti, chiarimenti, interventi, ecc. hanno già...
Scritto da: Luigi DuraccioLa "conservazione a norma" delle PEC è un aspetto quasi sconosciuto ma di rilevanza fondamentale. Se non conservate a norma, non hanno alcun valore! Molto probabilmente, per conservare le tue PEC stai utilizzando uno dei seguenti tre modi: 1. Nel computer o nel server. 2. Sono salvate nei server del gestore di posta, il tuo fornitore del servizio (es. Aruba). 3. Sono stampate su carta e conservate in archivio insieme a tutti gli altri documenti rilevanti. Se rientri in una di queste categorie ti devo...
Scritto da: Luigi DuraccioRelativamente alla protezione dei dati, introdurre azioni di prevenzione significa introdurre un nuovo trattamento. Questo porta numerosi problemi, operativi e concreti, sollevati dalla rilevazione della temperatura all'ingresso in azienda su dipendenti e clienti. Sono numerose le richieste di chiarimenti che pervengono al Garante in merito al trattamento di dati in periodo di coronavirus; e sono molte le informazioni, in rete e non, a chiarimento degli aspetti problematici sollevati dalla questione della rilevazione della temperatura. Ma è difficile capire bene come comportarsi, soprattutto per il...
Scritto da: Luigi DuraccioI criminali del web non si fanno scrupoli ad approfittare del rischio di epidemia in corso per architettare nuove ed insidiose frodi informatiche. Mentre siamo tutti confinati in casa nel tentativo di limitare la diffusione del corona virus, gli spammer e i phisher (il phishing è un tipo di frode informatica), sono in piena attività. Approfittano della richiesta di informazioni sulla pandemia, dell’allarme sociale, della scarsa dimestichezza degli utenti con gli strumenti informatici, per moltiplicare i loro attacchi. Nelle ultime settimane più di...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.