Dati e privacy: conversazioni e tendenze dal terzo trimestre 2015

Il terzo trimestre è tipicamente uno di quelli più tranquilli, comprende gli ultimi due mesi dell'estate e poi, l'invariabile ritorno al lavoro e alla scuola.

Ma per quanto riguarda la privacy, il terzo trimestre del 2015 è stato in realtà uno dei trimestri più attivi dell'anno con sviluppi che hanno avuto un impatto sia sull'ecosistema pubblicitario in generale che sulla privacy in particolare.

Ecco un riflettore su tre dei principali sviluppi che abbiamo seguito da vicino.

Gli avvenimenti dell'FTC

La FTC ha ottenuto una vittoria significativa quando il Terzo Circuito ha affermato il proprio diritto di regolamentare la "sicurezza dei dati" nel caso di lunga data dell'agenzia contro Wyndham Hotels. Ora il caso è stato rinviato per vedere se Wyndham abbia adottato o meno pratiche di sicurezza dei dati "ragionevoli" dopo essere stato violato ripetutamente da hacker russi. Dai un'occhiata al mio recente post sul blog per maggiori dettagli.

L'FTC ha inoltre proseguito il suo controllo sulle società che affermano di far parte dei framework USA-UE o USA-Svizzera Safe Harbor per il trasferimento di dati personali dall'UE agli Stati Uniti. L'agenzia ha presentato decreti di consenso contro tredici società che hanno lasciato scadere le loro certificazioni Safe Harbor o hanno travisato del tutto il loro status di Safe Harbor.

Dopo le azioni di gennaio e aprile di quest'anno, il numero totale di casi Safe Harbor archiviati dall'FTC è ora pari a 27 (per un totale di 39 azioni esecutive in tutto). Quanti casi di Safe Harbor sono stati presentati dalle autorità di regolamentazione dell'UE? Zero. Eppure, le autorità di regolamentazione dell'UE hanno contestato la validità dell'approdo sicuro. Infatti, proprio la scorsa settimana, un avvocato generale della Corte di giustizia dell'UE ha dichiarato l'approdo sicuro non valido per i trasferimenti di dati personali dall'UE agli Stati Uniti. Altro, nel nostro riepilogo Safe Harbor più avanti in questo aggiornamento.

FCC emerge come un altro Enforcer da tenere d'occhio

Sotto la guida del presidente Tom Wheeler, la FCC è emersa come un'autorità di regolamentazione dinamica (e talvolta temuta), che è chiaramente in competizione con la FTC su diverse questioni relative alla protezione dei consumatori e all'applicazione della privacy dei dati. Esempio calzante: il capo delle forze dell'ordine della FCC, Travis LeBlanc (ex capo della divisione protezione dei consumatori presso l'ufficio del procuratore generale della California), ha inflitto multe di quasi 500 milioni di dollari solo quest'anno, inclusa una multa di 100 milioni di dollari contro AT&T per aver travisato il ” natura dei suoi piani dati.

Nei mesi scorsi, abbiamo anche assistito a discussioni sui tentativi di riclassificazione della FCC fornitori "edge" come vettori comuni soggetti alle regole FCC, comprese le regole sulla privacy dell'agenzia. I provider perimetrali includono società che offrono servizi e contenuti online, tengono traccia delle attività degli utenti e raccolgono informazioni personali. In particolare, questo gruppo potrebbe includere società Apple, Google e Facebook; potrebbe anche potenzialmente includere fornitori B2B basati su SAAS come TUNE. Questo dovrebbe rendere alcuni mesi interessanti mentre la FCC tenta di portare avanti la propria agenda normativa durante questo autunno. Alcuni dei presunti fornitori di servizi periferici sono già registrati con le loro obiezioni: dai un'occhiata alla dichiarazione FCC di Google del febbraio 2015 sostenendo tra le altre cose che i fornitori di servizi periferici non dovrebbero essere classificati come vettori comuni o ISP perché, proprio come gli utenti finali, fanno affidamento sugli ISP per “interconnessione”.

Porto sicuro

E torniamo al Safe Harbor, che rimane il modo principale con cui molte società statunitensi (compresa TUNE), trasferiscono i dati personali in modo conforme tra l'UE e gli Stati Uniti.

La scorsa settimana, l'avvocato generale presso la Corte di giustizia europea ("CGE") ha emesso un parere in cui affermava che l'approdo sicuro era "non valido" quando si trattava di trasferimenti di dati dagli Stati Uniti all'UE, principalmente a causa del " sorveglianza e intercettazione di massa e indiscriminata” di dati personali appartenenti a cittadini dell'UE. Il parere non menzionava la sorveglianza da parte dell'UE e di altri governi stranieri, come ha rivelato anche Snowden.

In risposta, Tony Gardner (ambasciatore degli Stati Uniti presso l'UE) ha rilasciato questa dichiarazione contestando l'opinione dell'avvocato generale e sottolineando:

"Gli Stati Uniti non si sono impegnati e non si sono impegnati nella sorveglianza indiscriminata di nessuno, compresi i normali cittadini europei".

Gardner ha anche ricordato all'avvocato generale e ad altri detrattori di Safe Harbor che PRISM è stato effettivamente diretto contro obiettivi dell'intelligence straniera ed è soggetto a una qualche forma di processo. Ha anche citato i recenti sviluppi positivi, come il Judicial Redress Act del 2015, attualmente al Congresso, che fornirebbe un diritto privato di azione ai cittadini dell'UE che chiedono un risarcimento contro le società statunitensi nei tribunali statunitensi, per violazioni della privacy.

Non è chiaro fino a che punto l'opinione dell'avvocato generale influenzerà la Corte di giustizia che sta attualmente esaminando il caso Schrems v. Facebook. Il cittadino austriaco Max Schrems ha citato in giudizio Facebook per le sue pratiche sulla privacy, inclusa la dipendenza di Facebook dall'approdo sicuro per i trasferimenti di dati dall'UE agli Stati Uniti. Tale decisione è prevista per il 6 ottobre. Puoi saperne di più sui dettagli dell'opinione dell'avvocato generale e sul suo potenziale impatto sul caso Schrems v. Facebook, in questo articolo .

Per ora, il parere dell'avvocato generale ha chiaramente gettato una svolta nei negoziati in corso tra Ue e Stati Uniti sull'approdo sicuro (all'inizio di questo mese, entrambe le parti prevedevano che una risoluzione fosse imminente). La cosa più preoccupante è il ragionamento del parere secondo cui le singole autorità per la protezione dei dati dell'UE hanno “il potere di ordinare la sospensione del trasferimento di dati in caso di comprovata violazione o rischio di violazione dei diritti fondamentali”. Ciò significa che i singoli regolatori della protezione dei dati dell'UE possono, in alcuni casi, bloccare i trasferimenti di dati dall'UE agli Stati Uniti. Non è chiaro come andrà a finire; prima del parere, non c'era alcuna base per un singolo paese dell'UE per ritirarsi unilateralmente da quello che è essenzialmente un trattato internazionale tra l'UE e gli Stati Uniti.

Con questi sviluppi in gioco, il quarto trimestre si preannuncia particolarmente cruciale per la privacy e la protezione dei dati su entrambe le sponde dell'Atlantico. La decisione della Corte di giustizia su Schrems v. Facebook è attesa per il 6 ottobre (e con essa il destino del Safe Harbor). Ci saranno audizioni sui tentativi della FCC di riclassificare i fornitori di servizi periferici come "corrieri comuni". Una votazione sul Cybersecurity Information Sharing Act (CISA) è prevista per ottobre. E, il 16 novembre, la FTC terrà un importante workshop a Washington DC, sul cross-device tracking .

Monitoreremo da vicino questi sviluppi e non vediamo l'ora di ricapitolare e rielaborare nel nostro aggiornamento del quarto trimestre e nelle successive newsletter.

Ti piace questo articolo? Iscriviti alle nostre e-mail di riepilogo del blog.