Il Garante privacy europeo Edpb ha ribadito i requisiti dei servizi cloud adottati dalle Pubbliche amministrazioni con l’adozione di un report che raccoglie i risultati della sua prima azione coordinata di enforcement in merito a “Use of cloud-based services by the public sector”. L’Edpb ha sottolineato la necessità per gli enti pubblici di agire in piena ottemperanza al Gdpr e ha incluso nel report le raccomandazioni per le Pa che usano prodotti e servizi basati sul cloud.
Il Garante europeo ha anche adottato un report della Cookie banner task force sui banner che appaiono nei siti web con le opzioni sull’accettazione o il rifiuto dei cookie. Il report chiarisce quali banner sono corretti e quali no in base agli obblighi di opt-in previsti dal Gdpr.
Sul tavolo dell’Edpb resta anche la questione dello scambio dei dati Ue-Usa.
Cloud nella PA: le raccomandazioni
L’Edpb ha adottato la relazione sui risultati della sua prima azione di applicazione coordinata in merito all’uso di servizi basati su cloud da parte del settore pubblico. L’Edpb sottolinea la necessità per gli enti pubblici di agire nel pieno rispetto del Gdpr e include raccomandazioni per le organizzazioni del settore pubblico quando utilizzano prodotti o servizi basati su cloud. Viene inoltre reso disponibile un elenco delle azioni già intraprese dalle autorità per la protezione dei dati (Dpa) nel campo del cloud computing.
Andrea Jelinek, presidente dell’Edpb, ha dichiarato: “Il Coordinated enforcement framework (Cef) propone uno schema per collaborazioni più approfondite tra le autorità di protezione dei dati per ottenere una migliore efficienza e coerenza. In tutta Europa, le organizzazioni del settore pubblico si stanno rivolgendo ai servizi cloud e incontrano difficoltà nell’ottenere servizi e prodotti conformi al Gdpr. I dati personali trattati dai servizi pubblici devono essere trattati con la massima attenzione, soprattutto se trattati da terzi. Il rapporto Edpb Cef 2022 fornisce un utile metro di paragone per questo e confido che diventerà un importante punto di riferimento per gli enti pubblici che cercano di procurarsi servizi cloud conformi al Gdpr”.
Il Cef è un’azione chiave dell’Edpb nell’ambito della sua strategia 2021-2023, volta a razionalizzare l’applicazione e la cooperazione tra le SA. L’azione Cef 2023 riguarderà la designazione e il ruolo del responsabile della protezione dei dati (Dpo).
La task force sui cookie banner
L”Edpb ha adottato anche una relazione sul lavoro svolto dalla Cookie banner task force, istituita nel settembre 2021 per coordinare la risposta ai reclami relativi ai cookie banner presentati a diverse Dpa dello spazio economico europeo dall’Ong Noyb. La task force mira a promuovere la cooperazione, la condivisione di informazioni e le migliori pratiche tra le autorità di protezione dei dati, il che è stato determinante per garantire un approccio coerente ai cookie banner in tutto lo spazio economico europeo, sottolinea la nota del Garante privacy europeo.
Nel rapporto, le autorità di protezione dei dati hanno concordato un denominatore comune nella loro interpretazione delle disposizioni applicabili della direttiva ePrivacy e del Gdpr, su questioni quali i bottoni per rifiutare i cookie, le caselle preselezionate, il design dei banner o le icone di opt-out.
Per esempio, in alcuni banner c’è un bottone per accettare i cookie e un altro che consente l’accesso ad are opzioni, ma manca il pulsante per rifiutare i cookie. L’Edpb ricorda che, in base al Gdpr, di default nessun cookie che richiede consenso può essere imposto senza il consenso e che tale consenso “deve essere espresso da un’azione positiva da parte dell’utente”. La maggioranza delle autorità europee per la protezione dei dati è stata d’accordo sul fatto che l’assenza di un pulsante “rifiuta/non consentire” per i cookie non è in linea con la direttiva ePrivacy o con il Gdpr e costituisce una violazione.
Inoltre, le finestre pre-selezionate per fare opt-in non rappresentano un consenso valido ai sensi del Gdpr o dell’ePrivacy directive, proprio perché è necessaria un’azione positiva da parte dell’utente e non un semplice sì a un’opzione che ha già la “spunta”.
L’iter dello Ue-Usa Data privacy framework
Il commissario per la giustizia Didier Reynders ha partecipato alla riunione plenaria dell’Edpb e ha presentato il progetto di decisione di adeguatezza per l’Ue-Usa Data privacy framework al board. Il consiglio dell’Edpb sta attualmente lavorando al proprio parere sulla bozza di decisione, che sarà finalizzata nelle prossime settimane.