IL NUOVO REPORT ANNUALE DEL GARANTE EUROPEO IN MATERIA DI PRIVACY

Il nuovo report annuale del Garante Europeo in materia di Privacy

10 Maggio 2021

Il Garante Europeo per la Protezione dei dati (noto anche come EDPS – European Data Protection Supervisor) ha presentato la propria relazione annuale. L’anno 2020 ha chiaramente posto tutti davanti a enormi difficoltà: il contesto della pandemia ha difatti incrementato la digitalizzazione della nostra società e la conseguente particolare attenzione nei confronti dei temi legati alla privacy.

Nonostante le difficoltà rilevate dall’EDPS, l’istituzione europea ha proseguito il suo lavoro di monitoraggio e supporto alle altre agenzie dell’Unione. Ricordiamo, a questo proposito, che il Garante europeo si occupa di supervisionare che le istituzioni e gli organi dell’Unione europea rispettino il diritto alla protezione dei dati personali.

Le sfide che sono state affrontate riguardano principalmente le applicazioni di tracciamento dei contatti, il lavoro a distanza, la sentenza “Schrems II” della Corte di giustizia UE, l’aumento dei data breach.

È bene, inoltre, ricordare che le istituzioni europee non devono applicare il Regolamento 2016/679, ma il Regolamento 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione, il quale può comunque essere assimilato, in termini di principi e regole, al GDPR.

 

Task force per il Covid-19

L’istituzione di una task force ad hoc per la gestione delle tematiche relative al Covid-19 deriva dalla necessità di coordinare e adottare misure specifiche per la gestione del binomio pandemia-privacy.

In un contesto emergenziale, il rischio potrebbe essere che vengano trattati e comunicati dati senza le opportune misure di sicurezza, nonché senza supervisione e verifiche da parte delle Autorità preposte. L’EDPS ha, pertanto, attivato la task force al fine di monitorare e analizzare, in particolare, le applicazioni di contact tracing sviluppate e le modalità di rilevazione della temperatura all’interno degli organismi europei.

A questo proposito, un controllo della temperatura senza registrazione della stessa e senza l’utilizzo di strumenti automatizzati non costituisce un trattamento di dati personali. Al contrario, invece, qualora si decidano di utilizzare strumenti e modalità differenti occorrerà prestare particolare attenzione ai diritti degli interessati e alla valutazione della proporzionalità del trattamento.

 

Schrems II

Dopo la sentenza Schrems II della Corte di giustizia UE, risalente al luglio scorso, con la quale è decaduto il Privacy Shield (accordo tra UE-USA ai sensi del quale potevano essere trasferiti dati personali verso gli Stati Uniti), anche le istituzioni europee si sono dovute adeguare ai nuovi divieti.

In tal senso, l’EDPS ha approvato una “Strategia per le istituzioni, gli uffici e gli organismi dell’Unione, per ottemperare alla sentenza Schrems II”, in cui ha stabilito le priorità sulla base del breve o del medio-lungo periodo.

L’approccio si è concentrato nel consigliare agli organismi che effettuano trasferimenti verso gli USA di prendere in considerazione (e applicare), ove possibile, le altre condizioni di liceità. In ogni caso, la situazione rimane incerta e, sebbene sia di massima urgenza, la questione è ancora lontana da essere conclusa.

 

Data breach nel 2020

Anche le istituzioni europee sono soggette alle norme e agli obblighi relativi alle violazioni dei dati personali. Il report annuale si occupa di questo aspetto, documentando che, nel corso del 2020, l’EDPS ha valutato 121 nuove segnalazioni di data breach che hanno coinvolto le istituzioni dell’UE, riscontrando un aumento del 20% rispetto alle notifiche ricevute nell’anno precedente.

Indagando le cause di queste violazioni, nonostante si rilevi la permanenza dell’errore umano come causa più comune, vi è un incremento del numero di segnalazioni originate da un evento o un attacco esterno. Per affrontare la questione in termini di numeri, più del 50% delle violazioni deriva da un errore umano, mentre le altre cause, quali problemi tecnici e attacchi esterni, si attestano intorno al 20% ciascuna.

Alcuni casi di data breach connessi al Covid-19, riguardanti il contesto del tracciamento manuale dei contatti, hanno riguardato la comunicazione illecita di dati a terzi: in un caso, l’identità di una persona risultata positiva è stata accidentalmente rivelata ad alcuni contatti stretti; nel secondo caso, invece, è stata rivelata l’identità di un contatto stretto di una persona positiva ad un altro contatto stretto.

Una delle motivazioni, riportate dallo stesso EDPS, in merito all’aumento di incidenti di sicurezza, deriva anche dall’uso del lavoro a distanza. Dal momento che il personale delle istituzioni europee era impossibilitato ad accedere agli abituali strumenti di lavoro, la modifica delle procedure standard ha comportato un aumento di errori umani nella gestione delle attività lavorative.

 

Strategia 2020-2024

A giugno 2020, l’EDPS ha presentato la propria strategia per il periodo 2020-2024 relativa agli obiettivi utili per rinforzare i diritti delle persone nella società digitale. Nel pieno dell’emergenza sanitaria, gli obiettivi si sono concentrati sull’importanza di promuovere l’economia digitale e la transizione digitale.

Nello specifico, sono stati individuati tre punti fondamentali:

  1. Lungimiranza: monitorare le tendenze e gli andamenti relativi alla protezione dei dati personali e ai contesti legale, sociale e tecnologico;
  2. Azione: promuovere una maggior coerenza nelle attività svolte dall’EDPS, soprattutto quelle di supervisione e consulenza;
  3. Solidarietà: promuovere la giustizia digitale attraverso il consolidamento della protezione dei dati personali

 

Conclusioni

È chiaro a tutti che il 2020 è stato un anno particolare per tutti. Anche l’EDPS ha dovuto variare le proprie procedure per adeguarsi al nuovo contesto emergenziale. In questo senso, l’attività di supervisione e monitoraggio degli organismi europei è continuata in modo costante e puntuale.

Abbiamo dato una visione generale rispetto a quanto è stato presentato nel report. Se ne consiglia, comunque, una lettura approfondita per capire meglio quali saranno i risvolti futuri rispetto ai cambiamenti che interessano (e interesseranno) la nostra società, ormai digitale.

Giulia Gradogna
About

Laureata in Relazioni Internazionali, Giulia è una consulente che si contraddistingue per la sua precisione e organizzazione. Terminati gli studi universitari, ha approfondito la materia Privacy, ottenendo la qualifica di DPO e di  “Maestro della Privacy". La contraddistingue uno spirito critico che le permette di redigere analisi specifiche sul trattamento dati, anche in ambito cyber-security.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci