Nasce la Global Privacy Assembly (GPA), la Conferenza Mondiale dei Garanti Privacy. Adottate 6 Risoluzioni in materia di protezione dei dati personali.

Dal 15 novembre 2019 la Conferenza Internazionale delle Autorità per la Protezione dei Dati (ICDPPC) si è trasformata nella Global Privacy Assembly (GPA), un nuovo organismo permanente, più strutturato ed operativo, a cui aderiscono attualmente 124 autorità con competenza in materia di protezione dei dati personali di oltre 80 diversi Paesi del mondo.

Si tratta di una delle strategie maturate nel corso della quarantunesima conferenza internazionale delle Autorità per la protezione dei dati (ICDPPC), che si è svolta a Tirana (Albania) dal 21 al 24 ottobre 2019 sul tema “Convergence and connectivity raising global data protection standards in the digital age”.

Come precisato anche dal nostro Garante per la protezione dei dati personali, che ha partecipato ai lavori, nella predetta conferenza

a) sono state tracciate le ulteriori linee strategiche concordate a livello mondiale: “il riconoscimento della privacy come diritto fondamentale per il buon funzionamento delle democrazie, lotta sui social media ai messaggi inneggianti al terrorismo, più intensa cooperazione tra le Autorità che tutelano i dati personali e quelle che operano a tutela dei consumatori e della concorrenza, riduzione dell’errore umano nelle violazioni dei dati”;

b) sono state adottate, nell’ambito di un programma di lavoro comune (per tutte le oltre 120 autorità intervenute) che possa rafforzare la protezione dei dati su scala globale;

c) sono state adottate sei Risoluzioni su temi nevralgici, ricapitolate nella newsletter del Garante italiano del 28 novembre 2019:

La Risoluzione sulla privacy come diritto umano fondamentale e prerequisito per l’esercizio di altri diritti fondamentali”, che ha visto come co-sponsor il Garante italiano, riconosce il ruolo fondamentale di questo diritto per il corretto funzionamento delle democrazie sottoposte, tra l’altro, ai rischi generati dalla profilazione e dall’uso di messaggi manipolatori in campo politico. A tale proposito, è stato chiesto un fattivo intervento anche a governi, legislatori e mondo imprenditoriale.

Nella “Risoluzione sul ruolo dell’errore umano nei data breaches” viene messa in evidenza la necessità di un’adeguata formazione del personale, di ulteriori misure per la riduzione del rischio e della costituzione di un archivio globale dove tener traccia delle violazioni. 

La “Risoluzione sulla promozione di strumenti pratici di breve e lunga durata e una continuativa strategia giuridica per un’efficace cooperazione nell’enforcement transnazionale” propone, tra i vari punti, la mappatura di eventuali impedimenti giuridici riscontrati nelle procedure di cooperazione, così da favorire l’individuazione di apposite soluzioni.

La “Risoluzione per supportare e facilitare la cooperazione tra Autorità di protezione dati e le competenti autorità per la tutela dei consumatori e della concorrenza, al fine di raggiungere standard di protezione dati chiari e globalmente elevati nell’economia digitale” amplia lo spettro di azione dei Garanti privacy, chiedendo un coordinamento maggiore con altri importanti regolatori del mercato digitale.

La “Risoluzione sui social media e i contenuti online di natura violenta ed estremista” propone misure urgenti contro i messaggi d’odio, senza limitare il diritto di espressione.

Nel corso dei lavori è stata adottata anche una risoluzione che delinea il piano d’azione della Conferenza fino al 2021. A tal proposito, è stato deciso di garantire un’organizzazione più strutturata alla rete globale di Autorità privacy (ICDPPC), trasformandola, già a partire dal 15 novembre 2019, in un nuovo organismo permanente, più visibile e operativo, la Global Privacy Assembly (GPA).


Garante Privacy. Modello di notifica delle violazioni dei dati (Data Breach)

Il 30 luglio 2019 il Garante ha emanato il Provvedimento n. 157 in tema di notifica delle violazioni dei dati personali (Data Breach), contenente in allegato il modello da utilizzare detta notifica [Modello in PDF] [Ulteriori informazioni].

Poiché il Garante aveva già provveduto ad introdurre la notifica del Data Breach in diversi settori con proprio provvedimenti, prima ancora che la stessa fosse introdotta in maniera generalizzata nel Regolamento europeo (GDPR), con il provvedimento in questione il Garante ha provveduto a rendere uniformi i termini, i contenuti e le modalità della notifica.

Nel dispositivo del Provvedimento si prevede quanto segue:

a) i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, che forma parte integrante del presente provvedimento, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante;

b) i termini temporali, il contenuto e le modalità della comunicazione delle violazioni di dati personali indicati nel provvedimento sulle misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche del 2 luglio 2015 (punto 1), nelle linee guida in materia di Dossier sanitario del 4 giugno 2015 (punto 2), nel provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 (punto 2);  nel provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali del 4 aprile 2013, nonché nel provvedimento recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011 (punto 5.2), si intendono eliminati e sostituiti dalla lett. a) del presente provvedimento, secondo i termini di cui in motivazione.

 

Uber e Data Breach. Indagine del Garante

Con un proprio comunicato Uber ha reso noto  ora che nel 2016 vi sarebbe stato un caso di data breach di particolare rilevanza, a seguito di un attacco hacker su circa 57 milioni di account, che, come riassunto in un articolo del Corriere,  ha visto

“trafugate le informazioni della patente di 600 mila americani e nomi, indirizzi di posta elettronica e numeri di telefono di oltre 50 milioni di iscritti all’applicazione di trasporti (50 milioni sono clienti e 7 milioni sono autisti). Non sarebbero stati coinvolti i dati delle carte di credito o quelli relativi agli spostamenti”.

Inoltre, Uber

“ha pagato gli hacker 100 mila dollari per distruggere quanto rubato e promettere di non usarlo in futuro”

Continue reading “Uber e Data Breach. Indagine del Garante”