Nell’alert “Data Privacy & Cybersecurity” a cura del dipartimento Data Privacy and Cybersecurity di Orrick Italia verranno affrontate periodicamente le tematiche più rilevanti in materia di protezione dei dati personali e sicurezza informatica.

1. L’UE e gli Stati Uniti hanno annunciato un nuovo Privacy Shield.
2. Il Garante per la Protezione dei Dati Personali ha aperto un’istruttoria su antivirus Kaspersky.
3. L’euro digitale non sarà anonimo per combattere il riciclaggio.
4. Sanzionata una banca spagnola per aver viziato il consenso degli utenti.
5. La CISA rende noti gli attacchi contro gli Uninterruptible Power Supply.

1. L’UE e gli Stati Uniti hanno annunciato un nuovo Privacy Shield

Lo scorso venerdì 25 marzo 2022, in una conferenza stampa congiunta tenutasi a Bruxelles, la Presidente della Commissione europea, Ursula Von Der Leyen, e il Presidente degli Stati Uniti d’America, Joseph Robinette Biden Jr, hanno annunciato di aver trovato un primo accordo volto a disciplinare il trasferimento di dati tra le rispettive parti.

Ove tale accordo dovesse concretizzarsi e trovare piena approvazione nel contenuto, l’Unione Europea e gli Stati Uniti potranno intraprendere la prima di una serie di operazioni finalizzate al superamento di questa attuale situazione di incertezza e trovare una nuova intesa circa i trasferimenti di dati verso il territorio americano.

L’European Data Protection Board ha accolto con favore l’annuncio di un nuovo accordo politico di principio fra i due paesi poiché gli stessi affrontano sfide significative. Secondo l’EDPB sarà necessario il massimo impegno delle autorità statunitensi per proteggere la privacy e i dati personali degli individui dello Spazio economico europeo.

Di recente, NOYB, già noto alle cronache per le sentenze della Corte di Giustizia “Schrems I” e “Schrems II”, ha dichiarato tramite un post sul proprio sito ufficiale che l’accordo in questione rischia di non rispettare la legislazione europea e, per questo, potrebbe essere immediatamente dichiarato nullo dalla Corte di Giustizia. NOYB ha, inoltre, prospettato un ulteriore ricorso di fronte alla Corte di Giustizia laddove l’accordo tra i Paesi non risultasse conforme ai principi generali della normativa sulla protezione dei dati personali violasse la normativa europea.

2. Il Garante per la Protezione dei Dati Personali ha aperto un’istruttoria su antivirus Kaspersky

Il Garante per la Protezione dei Dati Personali ha aperto un’istruttoria per valutare i potenziali rischi relativi al trattamento dei dati personali dei clienti italiani effettuato dalla società russa che fornisce il software antivirus Kaspersky. L’iniziativa, intrapresa d’ufficio dall’Autorità, si è resa necessaria in relazione agli eventi bellici in Ucraina, allo scopo di approfondire gli allarmi lanciati da numerosi enti italiani ed europei specializzati in sicurezza informatica sul possibile utilizzo del prodotto per attacchi cibernetici contro utenti italiani.

Il Garante ha chiesto a Kaspersky Lab di fornire il numero e la tipologia di clienti italiani, nonché informazioni dettagliate sul trattamento dei dati personali effettuato nell’ambito dei diversi prodotti o servizi di sicurezza, inclusi quelli di telemetria o diagnostici. La società dovrà inoltre chiarire se, nel corso del trattamento, i dati siano trasferiti al di fuori dell’Unione europea (ad esempio nella Federazione Russa) o comunque resi accessibili a Paesi terzi allo Spazio Economico Europeo.

Kaspersky Lab dovrà infine indicare il numero di richieste di acquisizione o di comunicazione di dati personali, riferiti a interessati italiani, rivolte alla società da parte di autorità governative di Paesi terzi, a partire dal 1° gennaio 2021, distinguendole per Paese e indicando per quante di esse Kaspersky abbia fornito un riscontro positivo.

3. L’euro digitale non sarà anonimo per combattere il riciclaggio

La Banca Centrale Europea (“BCE”) ha fornito parere contrario al completo anonimato dell’euro digitale, sostenendo che non si tratterebbe di una caratteristica desiderabile poiché renderebbe impossibile il controllo sulla circolazione della moneta e non aiuterebbe nella prevenzione dei problemi legati al riciclaggio di denaro.

Nel corso della presentazione sull’euro digitale, la BCE ha analizzato le diverse opzioni per tutelare la privacy dei cittadini ipotizzando diversi gradi di riservatezza in base al rischio o al valore della transazione. Ad esempio, le transazioni di più alto valore potrebbero essere soggette a controlli predefiniti.

4. Sanzionata una banca spagnola per aver viziato il consenso degli utenti

Una banca spagnola è stata sanzionata dal Garante per la Protezione dei Dati spagnolo (“AEPD”) poiché dal 2019 chiedeva ai clienti di accettare la cessione dei propri dati personali e l’invio delle comunicazioni di natura commerciale per evitare un addebito mensile ricorrente di €5.

Durante l’indagine dell’Autorità, la banca si era giustificata sostenendo “che i clienti non erano tenuti ad accettare alcun consenso […] ma che se lo facevano rispettando anche il resto delle condizioni contrattuali del conto digitale potevano essere esentati dal pagamento di commissioni su determinati prodotti ^[1]”.

Secondo l’istituto di credito, la normativa in materia di protezione dei dati personali veniva rispettata poiché i clienti potevano liberamente e agilmente modificare le proprie preferenze tramite un’apposita procedura.

La Banca spagnola ritenuta responsabile dell’illecito è stata condannata al pagamento di €2,1 milioni di euro poiché, a norma dell’articolo 4 comma 11 il consenso prestato dagli utenti consiste in una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Nel caso di specie, il consenso non era informato, specifico, libero e inequivocabile come espressamente previsto dall’articolo 7 GDPR e le linee guida 5/2020 sul consenso redatte dall’European Data Protection Board.

5. La CISA rende noti gli attacchi contro gli Uninterruptible Power Supply

La Cybersecurity and Infrastrutture Security Agency (“CISA”) ha pubblicato un avviso riguardante gli attacchi contro gli Uninterruptible Power Supply (“UPS”).

Negli ultimi anni, i produttori di UPS hanno aggiunto pannelli di controllo tramite internet remoto che hanno aperto una nuova possibile vulnerabilità poiché molto spesso gli utenti finali non modificano le password di default.

La CISA suggerisce di effettuare le seguenti azioni:

• modificare la password base e scegliere una password lunga o possibilmente una passphrase;
• utilizzare l’autenticazione a più fattori;
• aggiornare il dispositivo alla ultima versione disponibile;
• assicurarsi che l’UPS sia dentro una virtual private network;
• adottare una funzione di timeout/lockout del login.

^[1] Agencia Española de Protección de Datos, provvedimento PS/00226/2020 del 19 febbraio 2022.