Bruxelles – È arrivata una doppia condanna dal Garante europeo della protezione dei dati (EDPS) all’indirizzo del Parlamento UE e dell’Ufficio europeo di polizia (Europol) per due distinte violazioni della privacy sul territorio comunitario.
Per l’Eurocamera la violazione è quella del Regolamento Generale per la Protezione dei Dati (GDPR), sul suo sito web di test anti-COVID, EcoCare. L’uso che viene fatto del servizio di statistiche Google Analytics e di pagamento Stripe non è in linea con quanto stabilito dalla Corte di Giustizia dell’Unione Europea, dal momento in cui i due fornitori di servizi con base negli Stati Uniti hanno ignorato la sentenza della Corte di Giustizia UE sul trasferimento dei dati oltreoceano. Come rilevato anche dall’autorità austriaca per la protezione dei dati nel caso Google Analytics, tutti i dati raccolti sono ospitati (cioè memorizzati ed elaborati) negli Stati Uniti, in violazione del blocco imposto nel luglio 2020 al primo accordo politico sul Privacy Shield tra Bruxelles e Washington per inadeguatezza della protezione della privacy.
Questa è una delle prime decisioni di attuazione proprio della sentenza Schrems II e da questo momento centinaia di casi pendenti di violazione della privacy nella raccolta dati e trasferimento verso gli USA possono essere portati in giudizio davanti alle autorità nazionali di regolamentazione. La denuncia era arrivata nel gennaio dello scorso anno dall’organizzazione non governativa austriaca noyb (la stessa del caso Google Analytics in Austria), che aveva presentato un reclamo contro il Parlamento Europeo per conto di sei eurodeputati.
“Il Parlamento UE non ha fornito alcuna documentazione, prova o altra informazione relativa alle misure contrattuali, tecniche o organizzative in atto per garantire un livello di protezione essenzialmente equivalente ai dati personali trasferiti negli Stati Uniti nel contesto dell’uso dei cookie sul sito web”, si legge nella decisione del Garante europeo. Nessuna sanzione per l’Eurocamera, ma un’ammonizione e un ordine di conformarsi entro un mese alle norme UE sulla privacy e sul trasferimento dei dati transfrontalieri.
Per quanto riguarda il capitolo Europol, al termine di un’indagine iniziata nel 2019 l’EDPS ha notificato un ordine di cancellazione dei dati relativi a persone che non hanno alcun legame accertato con un’attività criminale. La violazione della privacy, in questo caso, riguarda la conservazione di “grandi volumi di dati senza categorizzazione degli interessati”: in altre parole, “un rischio per i diritti fondamentali dei cittadini UE”.
Europol non ha rispettato le richieste di definire “un adeguato periodo di conservazione dei dati”, per filtrare ed estrarre i dati personali consentiti per la loro analisi. Questo significa che Europol conservava questo tipo di dati “più a lungo del necessario”. Per questa ragione il Garante europeo ha imposto un periodo di conservazione di 6 mesi, al termine dei quali i dati di persone che non hanno legami accertati con attività criminali devono essere cancellati. Europol dovrà conformarsi entro la fine del 2022.
