Selezione di news dal 24 al 30 settembre 2019 - N. 3
Siamo giunti al numero 3 della newsletter settimanale.
Sono state selezionate, come di consueto, alcune news reputate di maggior rilievo.
Se ritenete, è possibile inviare commenti o suggerimenti scrivendo a nicfab@substack.com
Arrivederci alla prossima settimana.
Buona lettura!
Selected news from 24 to 30 September 2019 - N. 3
Here is number 3 of the weekly newsletter.
We selected, as usual, some of the most important news items.
You can send comments or suggestions by writing to nicfab@substack.com
See you next week.
Enjoy the reading!
Weekly newsletter
Data Protection Awareness [#2]
https://nicfab.substack.com/p/data-protection-awareness-2
Il numero precedente della newsletter settimanale.
Here is the preceding issue of the weekly newsletter.
Casi e Corti
Cases and Courts
Google vince la causa con la Francia: non dovrà applicare diritto all’oblio a livello globale - Corriere.it
https://www.corriere.it/tecnologia/19_settembre_24/diritto-all-oblio-google-vince-causa-la-francia-nessun-obbligo-rimozione-livello-globale-b145f020-dea1-11e9-a10b-ca7db0bcf850.shtml
Corte di giustizia dell’Unione europea - COMUNICATO STAMPA n. 112/19 - Lussemburgo, 24 settembre 2019 - Sentenza nella causa C-507/17 - Google LLC, succeduta alla Google Inc. / Commission nationale de l’informatique et des libertés (CNIL). Il gestore di un motore di ricerca non è tenuto a effettuare la deindicizzazione in tutte le versioni del suo motore di ricerca. È tuttavia tenuto ad effettuarla nelle versioni di tale motore di ricerca corrispondenti a tutti gli Stati membri e ad attuare misure che scoraggino gli utenti di Internet dall’avere accesso, a partire da uno degli Stati membri, ai link di cui trattasi contenuti nelle versioni extra UE di detto motore.
https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-09/cp190112it.pdf
Europe’s top court sides with Google in landmark privacy case
https://www.politico.com/story/2019/09/24/europe-court-google-privacy-case-1763414
Diritto all’oblio: Antonello Soro, Garante privacy, su sentenza Google della Corte di Giustizia Ue
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9145764
Diritto all'oblio - "Barriere territoriali anacronistiche, questa sentenza... - Garante Privacy
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9147231
La Corte di Giustizia dell’Unione Europea entra nel dibattuto tema dell’ambito di applicazione territoriale del GDPR e lo fa in sede di rinvio pregiudiziale considerando che dalla normativa vigente non emerge che il legislatore dell’Unione abbia proceduto ad un bilanciamento tra il diritto al rispetto della vita privata e alla protezione dei dati personali, da un lato, e la libertà di informazione degli utenti di Internet per quanto riguarda la portata di una deindicizzazione al di fuori dell’Unione, dall’altro, né che abbia scelto di attribuire ai diritti dei singoli una portata che vada oltre il territorio degli Stati membri. Non risulta neppure che esso abbia inteso imporre a un operatore, come Google, un obbligo di deindicizzazione riguardante anche le versioni nazionali del suo motore di ricerca che non corrispondono agli Stati membri. Il diritto dell’Unione non prevede, per giunta, strumenti e meccanismi di cooperazione per quanto riguarda la portata di una deindicizzazione al di fuori dell’Unione. La Corte conclude quindi che, allo stato attuale, non sussiste, per il gestore di un motore di ricerca che accoglie una richiesta di deindicizzazione presentata dall’interessato, eventualmente a seguito di un’ingiunzione di un’autorità di controllo o di un’autorità giudiziaria di uno Stato membro, un obbligo, derivante dal diritto dell’Unione, di effettuare tale deindicizzazione su tutte le versioni del suo motore. Il diritto dell’Unione obbliga, invece, il gestore di un motore di ricerca a effettuare tale deindicizzazione nelle versioni del suo motore di ricerca corrispondenti a tutti gli Stati membri e ad adottare misure sufficientemente efficaci per garantire una tutela effettiva dei diritti fondamentali della persona interessata. Il Garante italiano ha rilevato come in un mondo strutturalmente interconnesso e in una realtà immateriale quale quella della rete, la barriera territoriale appaia sempre più anacronistica: la decisione della Corte rallenta e rende più difficile l'effettività del diritto all'oblio. A maggior ragione, acquista ulteriormente senso l’impegno delle Autorità europee di protezione dati per la garanzia universale di questo diritto, con la stessa forza su cui può contare in Europa.
The Court of Justice of the European Union (CJEU) enters the debated topic of the territorial scope of application of the GDPR and does so during a preliminary ruling, considering that the law in force does not show that the legislator of the union has proceeded to a balance between the right to respect for private life and the protection of personal data, on the one hand, and freedom of information for Internet users regarding the scope of a de-indexation outside the Union, on the other, or that they have chosen to attribute to rights of the individual a scope that goes beyond the territory of the Member States. Nor does it appear that it intended to impose on an operator, such as Google, an obligation to de-index also concerning the national versions of its search engine which do not correspond to the Member States. Moreover, EU law does not provide for cooperation instruments and mechanisms regarding the scope of a de-indexation outside the Union. The Court therefore concludes that, at present, for the manager of a search engine that accepts a request for de-indexing presented by the interested party, it does not exist, possibly following an injunction by a supervisory authority or an authority court of a Member State, an obligation, arising from EU law, to carry out such de-indexation on all versions of its engine. Instead, EU law obliges the manager of a search engine to carry out such de-indexing in the versions of his search engine corresponding to all the Member States and to adopt sufficiently effective measures to ensure effective protection of the fundamental rights of the person concerned. The Italian Supervisor has pointed out that in a structurally interconnected world and in an immaterial reality such as that of the network, the territorial barrier appears increasingly anachronistic: the Court's decision slows down and makes the right to be forgotten more difficult. All the more reason, the commitment of the European Data Protection Authorities for the universal guarantee of this right acquires further significance, with the same force it can count on in Europe.
Public Bodies
Guidance on the free flow of non-personal data (Communication) | European Economic and Social Committee
https://www.eesc.europa.eu/en/our-work/opinions-information-reports/opinions/guidance-free-flow-non-personal-data-communication
Il documento è la comunicazione della Commissione europa al Parlamento europeo e al Consiglio relativamente alla libera circolazione dei dati non personali nell'Unione europea, con riferimento al Regolamento (EU) 2018/1807. Si tratta di una guida per chiarire quanto stabilito nel citato Regolamento in ordine ai dati non personali nell'Unione europea. Il documento è utile perché fornisce alcuni esempi che chiariscono quando si possono definire "non personali" i dati.
The document is the communication from the European Commission to the European Parliament and the Council concerning the free circulation of non-personal data in the European Union, concerning Regulation (EU) 2018/1807. It is a guide to clarify the provisions of the Regulation as mentioned above regarding non-personal data in the European Union. The document is useful because it provides some examples to clarify when data can be defined as "non-personal".
Digital life
Privacy concerns could derail unprecedented plan to use Facebook data to study elections | Science | AAAS
https://www.sciencemag.org/news/2019/09/privacy-concerns-could-derail-unprecedented-plan-use-facebook-data-study-elections
Un gruppo di ricercatori ha mostrato come una possibilità per Facebook di garantire la privacy dei propri utenti ed evitare che il voto possa essere falsato tramite la piattaforma è quella di utilizzare la tecnica della privacy differenziale: si tratta di un approccio matematico per aggiungere “rumore” che rende impossibile per un estraneo sapere se le informazioni personali di un individuo sono contenute in un determinato set di dati.
A group of researchers has shown that a possibility for Facebook to guarantee the privacy of its users and to prevent the vote from being distorted through the platform is to use the technique of differential privacy: a mathematical approach for adding noise that makes it impossible for an outsider to know whether an individual’s personal information is contained within a particular data set.
Protezione dati: solo il 28% delle imprese è in linea con i requisiti del GDPR
https://www.diariodelweb.it/innovazione/articolo/?nid=20190926-543340
Da un’indagine del Capgemini Research Institute è emerso che, a più di un anno dall'introduzione del GDPR, le imprese hanno sovrastimato il proprio grado di preparazione al regolamento: appena il 28% delle aziende intervistate è riuscito a soddisfare pienamente quanto richiesto dalla normativa, in contrapposizione ai risultati di un sondaggio dello scorso anno, secondo cui il 78% delle organizzazioni sarebbe stato pronto per l'entrata in vigore del GDPR nel maggio del 2018. Tuttavia, le aziende stanno scoprendo i vantaggi derivanti dalla conformità al regolamento: l'81% di coloro che sono in linea con il GDPR afferma di aver avuto un impatto positivo in termini di reputazione e brand image.
A survey by the Capgemini Research Institute showed that, more than a year after the introduction of the GDPR, the companies overestimated their degree of preparation for the regulation: just 28% of the companies interviewed managed to fully satisfy the requirements of the legislation, as opposed to the results of a survey last year, according to which 78% of organizations would have been ready for the coming into force of the GDPR in May 2018. However, companies are discovering the advantages deriving from compliance with the regulation: 81% of those who are in line with the GDPR claim to have had a positive impact in terms of reputation and brand image.
Autorità di controllo
Supervisory Authorities
Newsletter 23/09/2019 del Garante per la protezione dei dati personali
• Privacy: al via l'indagine conoscitiva internazionale sulla gestione dei data breach
• Diritto all’oblio anche per chi si riabilita
• Sanità, no del Garante all’uso illecito dei dati degli accertamenti medici
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9144941
La newsletter del Garante è relativa ai punti su indicati. In particolare, meritano attenzione le argomentazioni sul diritto all'oblio. Molto spesso, infatti, in rete ci sono contenuti datati che possono risultare pregiudizievoli per l'interessato. Il Garante con il provvedimento n. 153 del 24 luglio 2019 ha affermato che "unitamente al lasso di tempo decorso dal verificarsi dei fatti, implica che l'ulteriore trattamento dei dati dell’interessato, posto in essere mediante la perdurante reperibilità in rete degli URL contestati, determina un impatto sproporzionato sui diritti del medesimo che non risulta bilanciato da un attuale interesse del pubblico a conoscere della relativa vicenda (cfr. punto 8 della parte II delle Linee Guida), tenuto anche conto del fatto che i citati articoli non risultano aggiornati con riguardo agli sviluppi successivi della stessa (cfr. punto 7 della parte II delle Linee Guida)". Riguardo alla sanità, il Garante ha escluso che le società che forniscono apparecchiature per l’alta diagnostica possano "utilizzare per i propri scopi i dati dei pazienti sottoposti agli accertamenti medici. Le aziende sanitarie da parte loro possono comunicare i dati sanitari a terzi solo in presenza di un adeguato presupposto normativo".
The Italian DPA's newsletter is related to the points indicated above. In particular, the arguments on the right to be forgotten, deserve attention. Very often, in fact, on the internet, there are dated contents that can be detrimental to the data subject concerned. The Italian DPA with the provision n. 153 of 24 July 2019 stated that "together with the lapse of time from the occurrence of the facts, it implies that the further processing of the data of the interested party, carried out through the ongoing availability of the disputed URLs on the network, determines a disproportionate impact on the rights of the same which are not balanced by a current interest of the public in knowing the related matter (see point 8 of part II of the Guidelines), also taking into account the fact that the aforementioned articles are not updated with regard to subsequent developments of the same (see point 7 of Part II of the Guidelines)". Regarding health, the Italian DPA has ruled out that companies that supply high diagnostic equipment can "use the data of patients undergoing medical examinations for their purposes. Health organisations, on their part, can communicate health data to third parties only if there is an adequate regulatory assumption".
The latest issue of the ICDPPC newsletter is out now. Thank you to all the authorities and experts who contributed to this issue. Find out more about what's happening across the international data protection and privacy authorities:
https://t.co/Q8yowHeaBi
L’ultimo numero della newsletter di ICDPPC è focalizzata sulla prossima 41ma conferenza internazionale dei garanti privacy. Si fa anche doverosamente riferimento al tributo a Giovanni Buttarelli in occasione del 13mo meeting dell'European Data Protection Board che si è tenuto il 10 settembre 2019. Ci sono interessanti contributi, tra cui si menzionano il report del relatore speciale delle Nazioni Unite sul diritto alla privacy (Joe Cannataci) sul tema "Investing in human rights for our children’s future", nonché gli aggiornamenti dell'International Working Group sul futuro della Conferenza.
The latest issue of the ICDPPC newsletter focuses on the upcoming 41st International Conference of Data Protection and Privacy Commissioners (ICDPPC) 2019 that will hold in Tirana, Albania, from 21 to 24 September. Reference is also made to the tribute to Giovanni Buttarelli on the occasion of the 13th meeting of the European Data Protection Board which was held on 10 September 2019. There are exciting contributions, including the report by the UN Special Rapporteur on the Right to Privacy (Joe Cannataci) on "Investing in human rights for our children’s future", as well as updates from the International Working Group on the future of the Conference.
Stop del Garante privacy alle impronte digitali anti-assenteisti
https://www.ilsole24ore.com/art/stop-garante-privacy-impronte-digitali-anti-assenteisti-ACbczQn
Parere su uno schema di decreto del Presidente del Consiglio dei ministri... - Garante Privacy
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9147290
Il Garante interviene nuovamente sullo schema di decreto per contrastare il fenomeno dell’assenteismo nella Pubblica Amministrazione mediante il ricorso all’accoppiata di rilevazioni biometriche (come le impronte digitali) e di sistemi di videosorveglianza: tali misure vengono considerate di dubbia compatibilità con le regole della privacy europea e nazionale. «L’astratta, generalizzata e indifferenziata presunzione di sussistenza, per tutte le amministrazioni pubbliche, di fattori di rischio tali da far ritenere quello biometrico l’unico sistema in grado di assicurare il rispetto dell’orario di lavoro non appare compatibile - scrive il Garante nel parere - con il principio di proporzionalità». Per questo, l’Autorità fornisce alla Pubblica amministrazione una serie di indicazioni per attenuare l’impatto del decreto sulla vita personale dei dipendenti pubblici. Viene richiamata la necessita che nella selezione dei prodotti, servizi e applicazioni si tenga conto delle specifiche caratteristiche, anche tecniche degli stessi, prediligendo quelli che, sia nella fase di progettazione che di sviluppo successivo, abbiano proprietà tali da consentire ai titolari e ai responsabili del trattamento di adempiere agli obblighi di protezione dei dati in conformità ai principi di privacy by design e by default; si propone, inoltre, di inserire una specifica disposizione che preveda che la singola amministrazione, in qualità di datore di lavoro e titolare del trattamento, prima dell’attivazione del sistema prescelto effettui una valutazione di impatto ai sensi dell’articolo 35 del Regolamento.
The Italian DPA intervenes again on the draft decree to counter the phenomenon of absenteeism in the Public Administration through the use of the combination of biometric surveys (such as fingerprints) and video surveillance systems: these measures are considered to be dubious compatibility with European and national privacy rules. "The abstract, generalised and undifferentiated presumption of subsistence, for all public administrations, of risk factors such as to make the biometric system the only system capable of ensuring the respect of working hours does not appear compatible - writes the Guarantor in the opinion - with the principle of proportionality". For this reason, the Authority provides the Public Administration with a series of indications to mitigate the impact of the decree on the personal life of public employees. The necessity is recalled that in the selection of products, services and applications the specific characteristics, even the technical ones of the same, are taken into account, preferring those that, both in the design and subsequent development phases, have properties such as to allow the owners and managers of the treatment of fulfilling data protection obligations in compliance with the privacy principles by design and by default; furthermore, it is proposed to insert a specific provision providing that the individual administration, as employer and data controller, carries out an impact assessment pursuant to Article 35 of the Regulation before activating the chosen system.
Cybersecurity
Attacco informatico al database di Grandi Navi Veloci, rubati i dati delle carte di credito dei passeggeri
https://www.ilsecoloxix.it/genova/2019/09/23/news/attacco-informatico-al-database-di-grandi-navi-veloci-rubati-i-dati-delle-carte-di-credito-dei-passeggeri-1.37500520
La Grandi Navi Veloci ha comunicato che nel periodo compreso tra il 25 giugno e il 18 luglio 2019 è stata oggetto di un sofisticato attacco informatico che ha comportato una perdita di riservatezza delle informazioni personali di alcuni passeggeri, titolari di carte di credito e intestatari della transazione di prenotazioni, che hanno effettuato acquisti di titoli di viaggio sul portale e-commerce della Compagnia. La stessa ha notificato la violazione al Garante per la protezione dei dati personali.
Grandi Navi Veloci announced that in the period between June 25 and July 18, 2019 it was the subject of a sophisticated computer attack which resulted in a loss of confidentiality of the personal information of some passengers, credit card holders and holders of the transaction of reservations, which made purchases of tickets on the Company's e-commerce portal. The same has notified the violation to the Guarantor for the protection of the personal data.
DoorDash confirms data breach affected 4.9 million customers, workers and merchants – TechCrunch
https://techcrunch.com/2019/09/26/doordash-data-breach/
La società di consegna del cibo ha dichiarato in un post del suo blog che a 4,9 milioni di clienti, addetti alle consegne e commercianti sono state rubate delle informazioni da parte di hacker. DoorDash ha affermato che la violazione è avvenuta il 4 maggio ma ha aggiunto che i clienti che si sono uniti dopo il 5 aprile 2018 non sono interessati alla stessa. Non è chiaro il motivo per cui la società abbia impiegato quasi cinque mesi per rilevare la violazione.
The food delivery company said in a blog post that 4.9 million customers, delivery workers and merchants had their information stolen by hackers. The breach happened on May 4, the company said, but added that customers who joined after April 5, 2018 are not affected by the breach. It’s not clear why it took almost five months for DoorDash to detect the breach.
Brevi dal mondo
Worth Mentioning
China offers free subway rides to citizens who register their face with surveillance system | The Independent
https://www.independent.co.uk/life-style/gadgets-and-tech/news/china-surveillance-facial-recognition-privacy-free-subway-rides-a9116766.html
Philippines Submits Notice of Intent to Join the APEC CBPR
https://www.huntonprivacyblog.com/2019/09/24/philippines-submits-notice-of-intent-to-join-the-apec-cbpr/
Canada's Privacy Commissioner Ends Effort to Require Consent for Transborder Data Transfer | Privacy & Information Security Law Blog
https://www.huntonprivacyblog.com/2019/09/25/canadas-privacy-commissioner-ends-effort-to-require-consent-for-transborder-data-transfer/
Google experiments with its own contextual ads, as privacy legislation looms | AdAge
https://adage.com/article/special-report-advertising-week/google-experiments-its-own-contextual-ads-privacy-legislation-looms/2200051