Ha suscitato scalpore il caso di Cambridge Analytica, come se non sapessimo che Facebook non è proprio il miglior amico della nostra privacy. Assorbiti dai suoi aspetti ludici a suon di condivisioni e “like”, avevamo forse dimenticato che se un’azienda fattura 40 miliardi di dollari l’anno fornendo servizi gratuiti ai propri utenti, c'è la concreta possibilità che il reale prodotto siamo noi con le informazioni personali che ci riguardano.
Nonostante le rassicurazioni di Google, a quanto pare Privacy Sandbox non verrà appoggiata dagli editori tedeschi. Alex Springer (proprietario di Bild, Politico e Business Insider) e altre aziende del settore hanno infatti chiesto l'intervento della Commissione europea per bloccare l'entrata in vigore dell'iniziativa prevista nel corso del 2023. Il progetto Privacy Sandbox è stato avviato da Google nel 2019 con l'obiettivo di trovare un'alternativa ai cookie di terze parti per applicare i principi stabiliti all’art. 25 del Gdpr sulla “Data Protection by Design e by Default” in merito al tracciamento dei propri utenti.
Con la pubblicazione delle Linee Guida sottoposte a consultazione pubblica, anche considerando la particolare invasività che possono avere nell´ambito della sfera privata degli utenti, l’Autorità Garante ha ritenuto opportuno affrontare nuovamente il tema dell'utilizzo dei cookie così come gli altri strumenti di tracciamento. Seppur il GDPR non sia intervenuto direttamente sul punto, le norme sul consenso ma, anche in misura non secondaria, le norme sull'attuazione dei principi di protezione dati già dalla progettazione e per impostazioni predefinite (cd. "privacy by design e by default" o DPbDD) hanno sicuramente innovato il panorama giuridico di riferimento relativo ai cookie. La sopravvenuta normativa ha, quindi, richiesto la recente presa di posizione dell’Autorità Garante.
Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board.
L’ecosistema della Data Protection può essere diviso in 2 domini complementari: la privacy e la cybersecurity. In questo articolo, puntiamo la lente sui campi in cui vi possono essere punti di possibile frizione e di necessaria integrazione fra questi 2 importanti domini.
I sistemi di videosorveglianza sia che perseguano finalità di “security” che di mera “tutela del patrimonio” devono essere progettati tenendo conto, sotto il profilo della protezione dei dati personali dei principi della c.d. privacy by design e by default. Con l’espressione data protection by design , disciplinata dal paragrafo 1 dell’articolo 25 del RGPD 679/2016, si intende l’obbligo in capo al Titolare, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura e delle finalità del trattamento, di mettere in atto misure tecniche e organizzative adeguate, per integrare nel trattamento le necessarie garanzie volte a tutelare i diritti degli interessati.
La raccolta ed il trattamento dei dati personali per finalità di profilazione e di marketing personalizzato è uno, se non il maggiore, dei pilastri della Rivoluzione digitale. Giganti dell’industria 4.0 come Google e Facebook non sarebbero mai sorti senza l’apporto economico dato dal modello di business della pubblicità targettizzata. Negli ultimi anni, però, abbiamo assistito a numerosi scandali provocati da “massive” violazioni di dati personali, come nel recente caso di Linkedin, o del loro utilizzo per fini poco leciti come nel caso Cambridge Analytica.
L'autorità privacy spagnola – Agencia Española de Protección de Datos (AEPD) – ha pubblicato un’interessante Guida sul principio della protezione dei dati per impostazione predefinita, comunemente noto come (Privacy) Data-Protection-by-Default, Art. 26.2 GDPR. Tale Guida si presenta come un “percorso pratico” preordinato ad aiutare i titolari del trattamento ad essere conformi alle disposizioni del GDPR e delle Linee Guida del Comitato Europeo per la Protezione dei Dati.
L’European Data Protection Board (EDPB), nell’ambito dei propri compiti e per promuovere l’applicazione coerente del Regolamento UE 679/2016, ha adottato in data 13 novembre 2019 un progetto di linee guida (4/2019), sottoposto a pubblica consultazione sino al 16 gennaio 2020. Successivamente, effettuate eventuali modifiche, le Linee Guida verranno definitamente adottate.
Siamo tutti abituati a sentir parlare di “architetti” in ambito edilizio o quando dobbiamo arredare o ristrutturare casa. È molto raro invece, e probamente siamo noi i primi a farlo, citare questa figura per abbinarla al mondo della protezione dati. E allora perché lo facciamo? Partiamo da questa idea: perché se dobbiamo arredare casa, secondo i canoni del design e del buon gusto, chiamiamo un architetto? Certamente perché vogliamo che il risultato sia armonioso, equilibrato, con un abbinamento di colori ottimale e con un effetto generale che faccia dire “wow” ai nostri ospiti. In sostanza ci rendiamo conto che da soli avremmo difficoltà ad ottenere tutto questo e quindi chiamiamo un esperto che ci supporti.
