Pubblicate le Linee Guida aggiornate sulla notifica di violazione dei dati personali e sull’individuazione dell’Autorità di controllo capofila.
Il 18 e 21 ottobre 2022, il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato le Linee Guida aggiornate sulla notifica di violazione dei dati personali ai sensi del GDPR e per l’individuazione dell’Autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento. Entrambe le linee guida sono in forma di bozza e sono aperte alla consultazione pubblica fino alla fine di novembre. Linee guida sulla notifica di violazione dei dati personali (cd. Data Breach). L’EDPB ha modificato le Linee Guida per chiarire che i titolari del trattamento e gli incaricati del trattamento non stabiliti nell’UE che subiscono una violazione dei dati personali che interessano gli interessati in diversi Stati membri dell’UE devono notificare a tutte le autorità di controllo in cui risiedono gli interessati. Non possono beneficiare dello “sportello unico” del GDPR, che consente ai titolari del trattamento e ai responsabili…
Una seconda possibilità per il quadro di trasferimento dati UE-USA
Nel luglio 2020, la Corte di giustizia dell’UE (CGUE) ha invalidato per la seconda volta il quadro giuridico per il trasferimento di dati personali attraverso l’Atlantico nella storica sentenza Schrems II. La CGUE ha rilevato che, poiché i servizi di intelligence statunitensi raccolgono una grande quantità di dati, il sistema legale statunitense non fornisce un livello adeguato di protezione dei dati personali. Di conseguenza, la CGUE ha annullato la decisione della Commissione che fungeva da base giuridica per il trasferimento di dati personali negli Stati Uniti. La sentenza Schrems II ha creato incertezza sui trasferimenti di dati transatlantici. In assenza di una valida decisione di adeguatezza, la soluzione più comune per garantire un trasferimento dei dati conforme al GDPR è stata l’implementazione di clausole contrattuali standard, che, ovviamente, hanno generato un notevole onere amministrativo. Tuttavia, il 7 ottobre 2022, il presidente Biden ha firmato un ordine esecutivo, che richiede alle…
Il garante bavarese dispone la cessazione dell’uso di Mailchimp ad una società tedesca
L’autorità di controllo tedesca della Baviera (BDPA) ha recentemente emesso una decisione in cui afferma che il trasferimento di dati personali verso la piattaforma statunitense di email marketing Mailchimp effettuato da parte di una società era illecito. La vicenda trae origine da un reclamo presentato da un soggetto il quale lamentava la comunicazione del suo indirizzo email a Mailchimp, società statunitense, senza il suo consenso. Anche se la BDPA non ha intrapreso alcuna azione formale nei confronti della società dal momento che la stessa ha interrotto l’utilizzo di Mailchimp, la decisione è rilevante perché riafferma l’importanza della sentenza Schrems II e la corretta individuazione della base giuridica per il trasferimento di dati dall’UE verso gli Stati Uniti. In questa vicenda il trasferimento è avvenuto sulla base delle clausole contrattuali standard (SCC), una misura peraltro richiamata dalla stessa sentenza Schrems II. La BDPA, tuttavia, ha considerato la condotta omissiva della società…
GDPR e controllo degli accessi
Nonostante siano trascorsi due anni e mezzo dalla definitiva entrata in vigore del GDPR, ancora molte aziende consentono l’accesso ai dati senza prestare la necessaria attenzione. Il GDPR richiede ai Titolari e Responsabili del trattamento di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (articolo 32). Ciò include necessariamente l’integrazione di misure di controllo degli accessi. All’interno delle organizzazioni che chiedono la mia consulenza mi capita di frequente di verificare che agli utenti è concesso l’accesso ai dispositivi aziendali con privilegi di amministratore e la motivazione che mi viene fornita è sempre la stessa: evitare complicazioni durante la giornata lavorativa. Ciò avviene nella maggioranza dei casi all’interno di organizzazioni di medie o piccole dimensioni che spesso al loro interno non hanno una figura professionale di riferimento per la gestione degli strumenti informatici, quindi per non dover ricorrere ad un fornitore esterno…