Privacy Daily

PRIVACYDAILY

aggiornato il

N. 156/2023

LE TRE NEWS DI OGGI:

  • E’ FINITO IL FAR WEST PER L’INTERNET OF THINGS
  • SVIZZERA, L’INCARICATO FEDERALE PER LA PROTEZIONE DEI DATI AUMENTERA’ IL NUMERO DELLE INCHIESTE
  • MESSICO, L’AUTORITA’ GARANTE PRIVACY (INAI) CHIEDE UNA LEGGE SULLA CYBERSICUREZZA

Accanto al Regolamento generale sulla protezione dei dati, alla Legge sui servizi digitali, alla Legge sul mercato digitale e alla Legge sulla governance dei dati, arriva la Legge sui dati. Un testo sul quale i 27 Stati membri hanno raggiunto un accordo la scorsa settimana e che, questa volta, affronta una zona grigia di un mercato destinato a generare circa 270 miliardi di euro di PIL aggiuntivo entro il 2028: l’Internet degli oggetti. In parole povere: chi può, quando, come e a quale scopo accedere ai dati cosiddetti “industriali” raccolti dai nostri oggetti connessi (auto, orologi, assistenti personali, smartTV, ecc.)?Il Data Act, che deve ancora passare al vaglio del Parlamento, mira a garantire un’equa condivisione del valore dei dati tra gli operatori dell’ambiente digitale, a stimolare il mercato dei dati, a creare opportunità di innovazione e a rendere i dati più accessibili. L’obiettivo è dare ai singoli e alle imprese un maggiore controllo sui dati generati da questi oggetti “intelligenti”. Dovrebbe quindi facilitare il passaggio ad altri fornitori di servizi di elaborazione dati, introdurre salvaguardie contro il trasferimento illegale di dati da parte dei fornitori di servizi cloud e prevedere lo sviluppo di standard di interoperabilità per il riutilizzo dei dati tra i settori, consentendo loro, ad esempio, di copiare o trasferire facilmente tali dati ad altri servizi. Vengono in mente i servizi cloud, come quelli forniti da Apple, Amazon e Google, che dovrebbero quindi essere meno limitati. La legge sui dati dovrebbe anche dare ai consumatori e alle imprese la possibilità di decidere cosa fare con i dati generati dai loro prodotti connessi.Produttori come Siemens e SAP hanno attenuato il tentativo di obbligarli a condividere i dati con terzi per fornire servizi post-vendita o altri servizi basati sui dati. Siemens (SIEGn.DE) e SAP (SAPG.DE) hanno espresso preoccupazione per le fughe di dati legate alla riservatezza commerciale. Va notato che questi dati possono essere letti e consultati dagli enti pubblici “in caso di emergenze pubbliche come inondazioni e incendi boschivi, o quando si attua un mandato legale”. L’anonimato di questi dati è motivo di preoccupazione. Ricordiamo che durante la pandemia, le autorità hanno avuto accesso parziale ai nostri dati di localizzazione per monitorare la diffusione del virus in tempo reale.

L’ Incaricato federale della protezione dei dati nel suo 30° rapporto annuale 2022-2023 ha sottolineato che oggi praticamente tutti si collegano a Internet, sia per effettuare pagamenti online che per incontrare gli amici e che il volume e l’intensità del trattamento dei dati personali si sono decuplicati. La nuova legge sulla protezione dei dati, che entrerà in vigore il 1° settembre, intende fornire all’economia nuovi strumenti per soddisfare le legittime aspettative del pubblico di una rigorosa protezione della sfera privata.Introdurrà una serie di innovazioni non solo per gli incaricati del trattamento dei dati, ma anche per il Commissario federale per la protezione dei dati. D’ora in poi, quando il trattamento dei dati previsto può comportare un rischio elevato per la privacy o i diritti fondamentali dell’interessato, il responsabile del trattamento dovrà effettuare una valutazione d’impatto.Il Commissario federale per la protezione dei dati esaminerà l’analisi ed emetterà un parere entro due mesi. Le associazioni professionali, settoriali o economiche potranno redigere un proprio codice di condotta e sottoporlo all’IFPD. In futuro i responsabili del trattamento dei dati saranno tenuti a segnalare le violazioni della sicurezza dei dati. Se l’Incaricato della protezione dei dati riscontrerà delle violazioni, potrà emettere una disposizione che potrà essere impugnata davanti al Tribunale amministrativo federale. Tuttavia, a differenza delle autorità di controllo dell’UE, l’Incaricato per la protezione dei dati continuerà a non avere il potere di imporre sanzioni e in futuro sarà soggetto a sanzioni per le violazioni intenzionali degli obblighi di informazione, comunicazione e cooperazione, nonché per le violazioni intenzionali dell’obbligo di diligenza, in particolare in relazione alla divulgazione di dati personali all’estero, all’outsourcing e alla fornitura di sicurezza dei dati.Al privato responsabile del trattamento dei dati possono essere inflitte multe fino a 250.000 franchi svizzeri, previa denuncia. La multa per le persone giuridiche sarà limitata a 50.000 franchi svizzeri. I procedimenti in corso saranno giudicati in base alla legge attuale, anche se non si concluderanno prima dell’entrata in vigore della nuova legge, si legge nel rapporto.

Il Paese ha bisogno di una legge sulla cybersecurity che aggiorni il quadro normativo per la protezione dei dati personali e garantisca la privacy dei cittadini quando navigano in Internet, cosi ha affermato la presidente dell’Istituto nazionale per la trasparenza, l’accesso alle informazioni e la protezione dei dati personali (INAI), Julieta del Río Venegas. Durante la sua partecipazione alla Conferenza regionale sulla trasparenza comunale, la cittadinanza digitale e la responsabilità, tenutasi a Tlaxcala, la funzionaria ha dichiarato che è necessario prevedere aggiornamenti sia nel software che nell’hardware per garantire la sicurezza nell’uso delle nuove tecnologie informatiche.”Il quadro normativo di questo Paese è obsoleto. Dobbiamo dire le cose come stanno, dobbiamo aggiornarlo; abbiamo bisogno di una legge sulla cybersecurity. Ci sono molti progetti al Senato, ma non sono stati presentati perché stanno valutando le nomine dell’INAI; quindi, quando ci saranno le nomine, sicuramente arriveranno queste leggi”, ha aggiunto.Per quanto riguarda la conferenza che si è svolta a Tlaxcala, ha spiegato che è in corso una analisi dei comuni con meno di 70.000 abitanti, con l’obiettivo di analizzare le complicazioni affrontate dai soggetti obbligati di queste entità per svolgere i compiti che consentono loro di garantire i diritti di accesso alle informazioni pubbliche e la protezione dei dati personali.

English version

  • THE FAR WEST FOR THE INTERNET OF THINGS IS OVER
  • SWITZERLAND, THE FEDERAL DATA PROTECTION COMMISSIONER WILL INCREASE THE NUMBER OF INQUIRIES
  • MEXICO, THE PRIVACY GUARANTORITY (INAI) CALLS FOR A CYBERSECURITY LAW

Alongside the General Data Protection Regulation, the Digital Services Act, the Digital Market Act and the Data Governance Act comes the Data Act. A text on which the 27 Member States reached agreement last week and which, this time, tackles a grey area in a market set to generate some €270 billion in additional GDP by 2028: the Internet of Things. To put it plainly: who can, when, how and for what purpose access the so-called “industrial” data collected by our connected objects (cars, watches, personal assistants, smartTVs, etc.)?The Data Act, which still has to pass through Parliament, aims to ensure a fair distribution of the value of data between players in the digital environment, stimulate the data market, create opportunities for innovation, and make data more accessible. It aims to give individuals and businesses more control over the data generated by these “intelligent” objects. It should therefore facilitate the transition to other data processing service providers, introduce safeguards against the illegal transfer of data by cloud service providers and provide for the development of interoperability standards for data to be re-used between sectors, enabling them, for example, to easily copy or transfer this data to other services. Cloud services, such as those provided by Apple, Amazon and Google, come to mind, and should therefore be less restricted. The Data Act should also give consumers and businesses a say in what can be done with the data generated by their connected products.Manufacturers such as Siemens and SAP have watered down an attempt to force them to share data with third parties to provide after-sales or other data-driven services. Siemens (SIEGn.DE) and SAP (SAPG.DE) have expressed concerns about data leaks linked to commercial confidentiality. It should be noted that this data can be read and consulted by public bodies “in the event of public emergencies such as floods and forest fires, or when implementing a legal mandate”. The anonymity of this data is a cause for concern. We remember that during the pandemic, the authorities had partial access to our location data to monitor the spread of the virus in real time.

These days, almost everyone is connected to the internet, whether to make online payments or to meet friends. The volume and intensity of the processing of personal information has increased tenfold as a result, notes the Federal Data Protection Commissioner in his 30th Annual Report 2022-2023.The misadventures of the mesvaccins.ch platform and Swisstransplant’s organ donation register show that the rules of the new law are more necessary than ever. The new Data Protection Act, which comes into force on 1 September, is intended to provide the economy with new tools to meet the public’s legitimate expectations for robust protection of the private sphere.It will introduce a number of innovations not only for data processors, but also for the Federal Data Protection Commissioner. From now on, when the planned processing of data is likely to entail a high risk for the personality or fundamental rights of the data subject, the data controller will have to carry out an impact assessment.The Federal Data Protection Commissioner will examine the analysis and issue his opinion within two months. Professional, sectoral or economic associations will be able to draw up their own code of conduct and submit it to the SDPC. The SDPC will publish its position.In future, data controllers will be required to report data security breaches. If the Data Protection Commissioner finds any infringements, he will be able to issue a decision that can be challenged before the Federal Administrative Court. However, unlike the supervisory authorities in the EU, the Data Protection Commissioner will continue to have no power to impose sanctions, and will in future be liable to penalties for intentional breaches of the obligations to inform, to provide information and to cooperate, as well as for intentional breaches of the duty of care, particularly in relation to the disclosure of personal data abroad, outsourcing and the provision of data security.Fines of up to 250,000 Swiss francs may be imposed on the private individual responsible for the data processing upon complaint. The fine for legal entities will be capped at CHF 50,000. Ongoing proceedings will be judged in accordance with current law, even if they are not concluded until after the new law comes into force, the report states.

The country needs a Cybersecurity Law that updates the regulatory framework for personal data protection and guarantees the privacy of citizens when surfing the internet, said the president of the National Institute for Transparency, Access to Information and Protection of Personal Data (INAI), Julieta del Río Venegas. During her participation in the Regional Conference on Municipal Transparency, Digital Citizenship and Accountability, held in Tlaxcala, the official stated that it is necessary to contemplate updates in both software and hardware to guarantee security in the use of new information technologies.”The regulatory framework in this country is outdated. We need to tell it like it is, we need to update it; we need a cybersecurity law. There are many projects in the Senate, but they haven’t brought them out because they are looking at the INAI appointments; so, when the appointments come out, these laws will surely come out,” he added.Regarding the conference that took place in Tlaxcala, he explained that a diagnosis of the municipalities with less than 70,000 inhabitants is being carried out, with the purpose of analysing the complications faced by the obliged subjects of these entities to carry out the tasks that allow them to guarantee the rights of access to public information and the protection of personal data.

Related posts:

  1. PRIVACYDAILY
  2. PRIVACYDAILY
  3. PRIVACY DAILY 108/2023
  4. PRIVACYDAILY