Limousine Beach \ Gengis Khan : Cosa direste se vi proponessero un gruppo musicale che riuscisse a fondere Thin Lizzy, Kiss, Van Halen e il glam rock anni settanta ?

iyezine.com/the-queen-is-dead-…

The Queen is Dead 49 - Limousine Beach Gengis Khan

Limousine Beach Gengis Khan : Cosa direste se vi proponessero un gruppo musicale che riuscisse a fondere Thin Lizzy, Kiss, Van Halen e il glam rock anni settanta ?

^{In Your Eyes ezine}

Washington va all’offensiva globale sulla privacy dei dati

Il Congresso USA è in stallo sulle regole federali sulla privacy. Gli Stati Uniti sono impegnati nel Forum mondiale delle norme sulla privacy transfrontaliere, un gruppo internazionale di paesi tra cui Stati Uniti, Singapore, Giappone e altri tra quelli della Cooperazione economica dell’Asia del Pacifico. Funzionari di 20 giurisdizioni – e non solo dell’APEC – si sono riuniti alle Hawaii la scorsa settimana per elaborare dettagli sulle potenziali norme sulla protezione dei dati a livello mondiale che consentirebbero alle informazioni personali (query di ricerca, informazioni sulle buste paga) di fluire senza soluzione di continuità attraverso i confini e le giurisdizioni.

Washington goes on the global data privacy offensive

Washington’s deadlocked Congress isn’t going to pass federal privacy rules any time soon. But on the global stage, the United States wants to show its allies that it means business — even if that means butting heads with the European Union. Central to the United States’ pitch is the newly created Global Cross-Border Privacy Rules Forum, an international group of countries including the U.S., Singapore, Japan and others from the Asia Pacific Economic Cooperation, a regional trade group. Officials from 20 jurisdictions — and not just from APEC — gathered in Hawaii last week to hammer out details on potential worldwide data protection rules that would allow people’s personal information like search queries and payroll information to flow seamlessly across borders.

politico.eu/article/washington…

Il Parlamento europeo critica la mancanza di iniziativa sull’uso di spyware da parte degli Stati

I membri del Parlamento europeo hanno criticato la mancanza di azione da parte della Commissione europea sull’uso da parte degli Stati membri dello spyware Pegasus del gruppo NSO, riferisce Euractiv. Le rivelazioni dell’anno scorso hanno scoperto che il gruppo NSO ha fornito ai governi lo spyware, consentendo agli utenti l’accesso inosservato a tutti i contenuti e gli scambi e tracciando la geolocalizzazione dei cellulari. Secondo quanto riferito, lo spyware è stato utilizzato per sorvegliare i dispositivi di politici, giornalisti e attivisti di tutto il mondo. Il Parlamento europeo ha incaricato una commissione di indagare sull’uso di Pegasus da parte degli Stati membri dell’UE a marzo.

Pegasus: MEPs lash out at EU Commission for inaction

Members of European Parliament criticized the lack of action by the European Commission over member states’ use of NSO Group’s Pegasus spyware, Euractiv reports. Revelations last year uncovered that NSO Group provided governments with the spyware, allowing users undetected access to all content and exchanges, and track the geolocation of cellphones. Reportedly, the spyware was used to surveil the devices of politicians, journalists and activists around the world. The European Parliament tasked a committee to investigate into EU member states’ use of Pegasus in March.

euractiv.com/section/digital/n…

L’ultima decisione di Google Analytics non ha alcuna influenza sui trasferimenti di dati

Lynn Goldstein, CIPP/USA, Senior Foundation Strategist della Information Accountability Foundation, ha scritto un editoriale spiegando come una seconda decisione dell’Autorità austriaca per la protezione dei dati in merito ai trasferimenti di dati effettuati tramite Google Analytics “non dovrebbe ostacolare i trasferimenti di dati odierni”. A seguito di una sentenza iniziale sui trasferimenti illegali tramite gli strumenti web di Google Analytics, l’Autorità di protezione dei dati si è recentemente pronunciata contro un approccio ai trasferimenti basato sul rischio. Goldstein ha osservato che l’ultima decisione “è mal motivata” e basata su “due ‘fatti’ obsoleti” relativi all’interpretazione del regolamento generale sulla protezione dei dati dell’UE e alle procedure relative alle clausole contrattuali standard.

Op-ed: Latest Google Analytics decision has no bearing on data transfers

Information Accountability Foundation Senior Foundation Strategist Lynn Goldstein, CIPP/US, wrote an op-ed explaining how a second decision by the Austrian Data Protection Authority regarding data transfers carried out through Google Analytics “should not hinder today’s data transfers.” Following an initial ruling on illegal transfers using Google Analytics web tools, the DPA recently ruled against a risk-based approach to transfers. Goldstein noted the latest decision “is poorly reasoned” and based on “two outdated ‘facts'” related to interpretation of the EU General Data Protection Regulation and procedures around standard contractual clauses.

informationaccountability.org/…

guidoscorza.it/privacy-daily-1…

Our submissions for the EDPB guidelines on Dark Patterns are now published by the EDPB!
▶ edpb.europa.eu/sites/default/f…

mastodon.social/@noybeu/108272…

Di recente, la Corte di Giustizia dell’Unione europea (“CGUE”) si è pronunciata, in seguito a rinvio pregiudiziale, sull’interpretazione dell’art. 80, paragrafo 2, del Regolamento UE 679/2016 (“GDPR” o “Regolamento”) in materia di ricorsi, concludendo che anche un’associazione di tutela degli interessi dei consumatori può agire in giudizio, in assenza di un mandato e/o indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati.

I mezzi di ricorso a tutela dei diritti dell’interessato al Capo VIII del Regolamento

Preliminarmente all’analisi compiuta dalla CGUE sul tema dei ricorsi e dei reclami, giova ricordare che il Capo VIII del GDPR, intitolato “Mezzi di ricorso, responsabilità e sanzioni”, prevede che l’interessato ha il diritto di presentare un reclamo dinanzi ad un’autorità di controllo di uno Stato membro, secondo quanto previsto dall’art. 77 del GDPR, oppure un ricorso dinanzi ai tribunali ordinari nazionali, ai sensi degli artt. 78 e 79 del GDPR, sia avverso una decisione dell’autorità di controllo sia nei confronti del titolare del trattamento o del responsabile del trattamento.

In particolare, per quanto rileva in questa sede, merita soffermarsi sugli artt. 80, 81 e 84 del Regolamento. L’art. 80, paragrafo 1, del GDPR prevede che l’interessato ha il diritto di dare mandato di proporre ricorso per suo conto ad un organismo, un’organizzazione o un’associazione senza scopo di lucro, debitamente costituiti secondo il diritto di uno Stato membro e che perseguano obiettivi di pubblico interesse, oltre che essere attivi nel settore della protezione dei diritti e delle libertà degli interessati.

Dalla lettura del paragrafo 1, è evidente il ruolo attivo attribuito nei confronti degli organismi e delle organizzazioni nel promuovere una tutela, eventualmente anche risarcitoria, degli interessati, a condizione del possesso di due requisiti: i) la costituzione dell’organismo secondo il diritto di uno Stato membro; ii) essere attivi nel settore della protezione dei diritti e delle libertà degli interessati, perseguendo tali obiettivi da statuto. Il primo è un requisito meramente formale1. Il secondo requisito, invece, presuppone un’indagine da svolgere con riguardo all’attività concreta, sia per il tramite dello scrutinio dello statuto dell’ente, sia per il tramite della verifica effettiva delle attività nel settore della protezione dei diritti e delle libertà degli interessati.

L’art. 80, paragrafo 2, del GDPR, dall’altro lato, prevede che un organismo, un’organizzazione o un’associazione aventi le medesime caratteristiche descritte al paragrafo 1, possono agire, indipendentemente dal mandato conferito dall’interessato, sia di fronte all’autorità di controllo, sia di fronte ai tribunali ordinari nazionali, se si ritiene che i diritti di un interessato siano stati violati in seguito al trattamento.

Con riguardo a questa disposizione, la dottrina prevalente ha ritenuto che per attribuirsi un mandato istituzionale ex lege dovrebbe darsi esito positivo alle stringenti verifiche non soltanto statuarie, ma anche sostanziali, relativamente a quelle caratteristiche che l’art. 80, paragrafo 1, richiama.

L’art. 84, infine, prevede che gli Stati membri stabiliscono le norme relative alle altre sanzioni per la violazione del Capo VIII del Regolamento, in particolare con riguardo a quelle violazioni che non sono soggette alle sanzioni amministrative di cui all’art. 83 dello stesso Regolamento.

La vicenda del caso in analisi

La vicenda sottoposta alla CGUE ha avuto origine dalla creazione di un’applicazione denominata “App-Zentrum” da parte della società Meta Platforms Ireland (“Società”), finalizzata ad offrire giochi gratuiti agli utenti di social network. La suddetta App consentiva l’acquisizione di dati personali e, non solo, di procedere alla pubblicazione degli stessi a seconda delle vincite e dei punteggi totalizzati da parte degli utenti.

Sul punto, l’Unione federale (“Unione”) – associazione dei consumatori tedesca – ravvisava che le informazioni fornite agli utenti non fossero in conformità con quanto disciplinato dalla normativa sulla protezione dei dati e su quella a tutela del consumatore. In particolare, l’Unione sosteneva che il consenso non fosse validamente acquisito, oltre che le informazioni fossero da ritenersi sleali nei confronti dei consumatori.

Pertanto, l’Unione federale proponeva azione inibitoria di fronte al Tribunale del Land di Berlino contro la Società, pur in assenza di una violazione concreta del diritto alla tutela dei dati di un interessato e di un mandato a lui conferito. Sul punto, il giudice del rinvio in Cassazione, di fronte al quale è stato proposto ricorso contro la sentenza di accoglimento dell’azione, dubitava circa la ricevibilità dell’azione dell’Unione, nei termini di legittimazione attiva ad agire, alla luce dell’applicazione degli artt. 80, paragrafi 1 e 2, nonché dell’art. 84, paragrafo 1 del GDPR, e, pertanto, agiva di fronte alla CGUE su rinvio pregiudiziale.

Conclusione: l’interpretazione della CGUE dell’art. 80 del GDPR

Considerato quanto premesso, il rinvio pregiudiziale verteva principalmente sulla questione se un’associazione di tal genere – ossia quella che agisce a tutela dei diritti dei consumatori – possa agire contro una società in assenza di un mandato che le sia stato conferito ed indipendentemente dalla violazione di specifici diritti degli interessati.

La Commissione della CGUE ha ritenuto che, invero, la questione dipendesse dalla sola interpretazione dell’art. 80, paragrafo 2 del GDPR, alla luce del fatto che il paragrafo 1 dell’art. 80 presuppone la concessione di un mandato e che tale circostanza non riguardasse il caso di specie e che l’art. 84 del GDPR riguardasse l’applicazione delle sanzioni, aspetto che, in ogni caso, non era stato oggetto di discussione.

La Corte ha osservato che, anche in forza del margine di discrezionalità riconosciuto agli Stati membri nell’attuazione della disciplina europea secondo anche quanto previsto dall’art. 288 del TFUE in combinato disposto con i considerando 9, 10 e 13 del GDPR, la disciplina del Regolamento non ostava con la disciplina nazionale, rientrando nel predetto margine di discrezionalità. Per la precisione, la disciplina nazionale, difatti, prevede la legittimazione ad agire da parte delle associazioni dei consumatori a tutela della protezione dei dati.

Nella sua analisi, la Corte ha ritenuto che l’Unione, in qualità di associazione dei consumatori, fosse in possesso di quei requisiti di cui all’art. 80 del GDPR. In primo luogo, l’Unione rientra in quella nozione di organismo, organizzazione e associazione, senza scopo di lucro, costituita secondo il diritto interno e avente obiettivi statutari di pubblico interesse ed attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali. Difatti, l’Unione persegue un obiettivo di interesse pubblico, consistente nell’assicurare i diritti e le libertà degli interessati nella loro qualità di consumatori, correlandosi tale finalità con la protezione dei dati personali di questi ultimi.

In secondo luogo, l’Unione agisce nella misura in cui ritenga che i diritti di cui un interessato gode siano stati violati in seguito al trattamento dei dati personali. La Corte precisava, nello specifico, che non è necessario che la violazione sia concreta, ma esclusivamente che vi sia un trattamento di dati contrario a disposizioni del Regolamento e che, pertanto, la violazione possa essere potenziale.

A valle di tale riflessione, la Corte ha ritenuto che il fatto di legittimare delle associazioni a tutela dei consumatori, come nel caso di specie l’Unione federale, ad instaurare, mediante un meccanismo rappresentativo, azioni intese a far cessare trattamenti di dati contrari alle disposizioni del Regolamento, indipendentemente dalla violazione dei diritti di una persona individualmente e concretamente pregiudicata dalla violazione, contribuisse – in modo incontestabile – a “rafforzare i diritti degli interessati e ad assicurare loro un elevato livello di protezione”. Anzi, la Corte ha aggiunto che il ricorso da parte di un’associazione potesse ritenersi ancora più efficace rispetto all’azione di un singolo individuo.

Pertanto, posto quanto sopra riportato, la Corte ha concluso che l’art. 80 GDPR deve essere interpretato nel senso che non osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito per quel determinato scopo ed indipendentemente dalla violazione di specifici diritti degli interessati, qualora il trattamento dei dati in questione sia idoneo a pregiudicare i diritti riconosciuti dal GDPR agli interessati.

Si ritiene chela decisione della CGUE abbia indubbiamente contribuito ad innovare l’interpretazione dell’art. 80 del GDPR chiarendone l’ambito di applicazione e configurando la concreta possibilità di estensione della legittimazione ad agire a tutela dei dati personali.

Fabiola Iraci Gambazza

1 A titolo esemplificativo, in Italia, tale requisito può essere soddisfatto con l’iscrizione nel registro unico nazionale del terzo settore, ai sensi dell’art. 22 del D. lgs. n. 117/2017.

L'articolo La Corte di Giustizia sui mezzi di ricorso previsti dal GDPR: anche le associazioni dei consumatori possono agire per la protezione dei dati personali proviene da E-Lex.