La Commissione Nazionale per la Protezione dei Dati Personali del Lussemburgo (CNPD) ha, per prima tra le Autorità Nazionali dei paesi membri, introdotto un sistema di certificazione di conformità al GDPR delle attività di trattamento di dati personali, denominato GDPR-CARPA, che si basa sulle norme ISAE 3000 (Principio Internazionale sugli incarichi di Assurance), ISCQ1 (Principio Internazionale sul controllo della qualità) e ISO 17065 (sui requisiti per gli organismi di certificazione).

Per consultare la notizia, clicca qui.

Il Governo inglese ha pubblicato i dettagli del Data Reform Bill, che andrà a modificare l’attuale impianto legislativo, modellato sul GDPR. La riforma si ripropone di rendere il Regno Unito “the most attractive global data marketplace”, limitando le barriere al trasferimento di dati verso paesi terzi e intervenendo sulla necessità di richiedere il consenso, sulla necessità di nominare un DPO, sulla composizione e sulle responsabilità dell’Information Commissioner’s Office, nonché sui requisiti per il trattamento dei dati a fini di ricerca. Con riferimento a quest’ultimo aspetto, in particolare, sarà possibile mutare la finalità della ricerca senza dover nuovamente richiedere il consenso all’interessato.

Per consultare la notizia, clicca qui.

L’Autorità Garante tedesca ha analizzato il trattamento dei dati degli utenti che utilizzano sui loro dispositivi Microsoft 365, rilevando come solo i dati del cliente vengono conservati su server collocati nell’Unione Europea. Alcune tipologie di dati, invece, nello specifico i “dati diagnostici” e quelli “generati dal servizio”, vengono trasferiti negli Stati Uniti, ponendo l’ormai noto problema delle garanzie a protezione di questi trasferimenti.

Ancora, ha evidenziato il Garante tedesco, nonostante i dati qualificati come “del cliente” non vengano conservati in territori extra UE, non è possibile escludere il rischio di un accesso agli stessi da parte delle Agenzie d’oltreoceano, in forza del Clarifying Lawful Overseas Use of Data Act, o CLOUD Act, che impone alle società statunitensi di mettere i dati a disposizione delle Autorità anche se archiviati al di fuori degli Stati Uniti, senza possibilità di informare gli interessati di questo accesso.

Per consultare la notizia, clicca qui.

Nel fare il punto sulle problematiche che riguardano l’utilizzo di Google Analytics, la Commission Nationale de l’Informatique et des Libertés osserva come semplici modifiche all’impostazione della funzione o il ricorso alla crittografia non possano essere considerate soluzioni accettabili, in quanto non risolutive rispetto ai rischi di re-identificazione da parte della società statunitense. La CNIL ha evidenziato la necessità che venga interrotto il contatto tra il terminale ed il server, individuando quindi una possibile soluzione nel proxy, per garantire la pseudonimizzazione dei dati prima dell’esportazione ed evitare qualsiasi rischio di re-identificazione.

Per consultare la notizia, clicca qui.

Anche il Garante italiano per la Protezione dei Dati Personali ha dichiarato la non conformità al GDPR dei trattamenti effettuati attraverso i cookie di Google Analytics, in quanto il trasferimento di dati verso gli Stati Uniti avviene senza adeguate garanzie; ciò, sul presupposto che l’indirizzo IP, anche ove troncato, non possa considerarsi un dato anonimo, “considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”.

In un intervento successivo a tale pronuncia, l’ultima, in ordine temporale, tra quelle dei Garanti europei contro Google, l’azienda di Mountain View è ha spiegato che nella versione 4 della funzione Analytics gli indirizzi IP vengono cancellati prima del logging dei dati, che ha comunque luogo solo tramite server e domini collocati in UE; motivo per cui tale funzione deve essere considerata compliant al GDPR. Inoltre, Google ha ricordato che i gestori dei siti hanno la possibilità di personalizzare Analytics, disabilitando alcune funzioni di tracciamento, compresa la geo-localizzazione.

Per consultare la notizia, clicca qui.