Il Governo britannico presenta la sua nuova privacy: meno burocrazia e più impresa. Così, stando a quanto dichiarato nel comunicato stampa che accompagna la presentazione della nuova proposta normativa in materia di protezione dei dati personali a Westminster. L’obiettivo dichiarato dell’esecutivo guidato da Rishi Sunak è ridurre le pratiche burocratiche inutili per le aziende e i fastidiosi pop-up dei cookie. Il Data Protection and Digital Information Bill, presentato già in estate, a settembre era stato “messo in pausa” per consentire ai ministri di impegnarsi in un processo di co-progettaione con i leader delle imprese e gli esperti di dati. Il Governo vuole assolutamente allontanarsi dall’approccio “unico” del GDPR dell’Unione europea, proponendo una versione britannica della data protection. L’assunto di partenza è che i dati sono fondamentali per alimentare la crescita economica in tutti i settori della società, nonché vitali per lo sviluppo e l’utilizzo di tecnologie innovative come l’intelligenza artificiale. Il commercio basato sui dati ha generato l’85% delle esportazioni totali di servizi del Regno Unito e ha contribuito all’economia per un valore stimato di 259 miliardi di sterline nel 2021. La proposta mira ad introdurre “un quadro semplice, chiaro e favorevole alle imprese che non sarà difficile o costoso da implementare, prendendo i migliori elementi del GDPR e fornendo alle imprese una maggiore flessibilità su come conformarsi alle nuove leggi sui dati”. Oltre a questi nuovi cambiamenti, il disegno di legge aumenterà le sanzioni per le chiamate e gli sms molesti fino al 4% del fatturato globale o fino a 17,5 milioni di sterline (a seconda di quale sia il valore più alto) e mira a ridurre il numero di pop-up di consenso, che consentono ai siti web di raccogliere dati sulla visita di un individuo. Il disegno di legge stabilirà un sistema di digital verification, per consentire alle persone che lo desiderano di avere la propria identità digitale. Inoltre, sarà rafforzata l’Information Commissioner’s Office (l’Autorità garante britannica) attraverso la creazione di uno statutory board con un chair e un chief executive.

Il nuovo compromesso sulla bozza di Data Act mira a rafforzare il segreto industriale, ma fa chiarezza anche rispetto ai rapporti con le norme sulla protezione dei dati e l’applicazione delle disposizioni sul cloud-switching. La presidenza svedese del Consiglio UE ha condiviso la sesta versione del testo del Data Act, in vista della sua discussione il 14 marzo presso l’apposito Gruppo di lavoro. Se la prossima settimana non saranno sollevate opposizioni significative, il testo della presidenza approderà sul tavolo del Comitato dei rappresentanti permanenti (COREPER) il 22 marzo. L’intento è quello di avviare rapidamente i negoziati interistituzionali con il Parlamento europeo, che dovrebbe formalizzare la propria posizione nella sessione plenaria della prossima settimana. Il Data Act introduce il principio secondo cui gli utenti dei dispositivi connessi devono avere il diritto di accedere e condividere i dati che contribuiscono a generare. Tuttavia, quale tipo di dati debba essere coperto da questi obblighi di condivisione è stato un argomento controverso per via del fatto che i dati potrebbero contenere segreti commerciali legati al modo in cui l’organizzazione che controlla i dati li elabora per ottenere approfondimenti e altre informazioni. Un altro aspetto critico della discussione ha riguardato il rapporto tra Data Act e GDPR. La nuova formulazione del testo chiarisce che ogni volta che gli utenti ottengono dati personali che non sono loro, il Data Act non può essere considerato come una valida base giuridica per il trattamento. I titolari dei dati dovranno peraltro garantire che la condivisione dei dati personali sia conforme al GDPR. Inoltre, il Data Act intende promuovere la concorrenza nel mercato del cloud riducendo gli ostacoli al passaggio da un servizio cloud a un altro. A questo proposito, la legge prevede il ritiro completo delle tariffe per il passaggio da un servizio all’altro entro tre anni dalla sua entrata in vigore.

Il Federal Bureau of Investigation (FBI) ha ammesso per la prima volta di aver acquistato dati di localizzazione invece di ottenere un mandato. Sebbene la pratica di acquistare i dati di localizzazione delle persone sia diventata sempre più comune da quando, quasi cinque anni fa, la Corte Suprema degli Stati Uniti ha posto un freno alla capacità del governo di tracciare i telefoni degli americani senza mandato, l’FBI non aveva mai rivelato di aver effettuato tali acquisti. La rivelazione è avvenuta oggi durante un’audizione del Senato degli Stati Uniti a cui hanno partecipato cinque capi dell’intelligence nazionale. Il senatore Ron Wyden ha posto la questione dell’uso di dati commerciali da parte del Bureau al suo direttore, Christopher Wray: “L’FBI acquista informazioni sulla geolocalizzazione dei telefoni statunitensi?”. Wray ha risposto che l’agenzia non lo fa attualmente, ma ha riconosciuto che lo ha fatto in passato; specificando però che: “non acquistiamo informazioni di database commerciali che includano dati di localizzazione derivati dalla pubblicità su Internet”. Ha aggiunto che ora il Bureau si affida a un “processo autorizzato dal tribunale” per ottenere i dati di localizzazione dalle aziende. Come accennato, la Corte Suprema ha stabilito che le agenzie governative che accedono ai dati di localizzazione senza un mandato violano la garanzia del Quarto Emendamento contro le perquisizioni irragionevoli. Ma la sentenza è stata interpretata in modo restrittivo. I sostenitori della privacy affermano che la decisione ha lasciato aperta una clamorosa scappatoia che consente al governo di acquistare semplicemente tutto ciò che non può altrimenti ottenere legalmente. La US Customs and Border Protection e la Defense Intelligence Agency sono tra le agenzie federali note per aver approfittato di questa scappatoia. Il Dipartimento di Sicurezza Nazionale, ad esempio, avrebbe acquistato le geolocalizzazioni di milioni di americani da aziende private di marketing. In quel caso, i dati provenivano da una serie di fonti ingannevolmente benevole, come giochi per cellulari e app meteorologiche.

English version

The British government presents its new privacy: less bureaucracy and more enterprise. So says the press release accompanying the presentation of the new data protection legislation proposal in Westminster. The stated goal of the Rishi Sunak-led executive is to reduce unnecessary paperwork for businesses and annoying cookie pop-ups. The Data Protection and Digital Information Bill, presented back in the summer, had been ‘paused’ in September to allow ministers to engage in a co-drafting process with business leaders and data experts. The government definitely wants to move away from the ‘one-size-fits-all’ approach of the EU GDPR by proposing a UK version of data protection. The starting assumption is that data is fundamental to fuelling economic growth in all sectors of society, as well as vital to the development and use of innovative technologies such as artificial intelligence. Data-driven trade generated 85 per cent of the UK’s total services exports and contributed an estimated £259 billion to the economy by 2021. The proposal aims to introduce ‘a simple, clear and business-friendly framework that will not be difficult or expensive to implement, taking the best elements of GDPR and providing businesses with greater flexibility on how to comply with the new data laws’. In addition to these new changes, the bill will increase penalties for harassing calls and texts to 4% of global turnover or up to £17.5 million (whichever is higher) and aims to reduce the number of consent pop-ups, which allow websites to collect data on an individual’s visit. The bill will establish a system of digital verification, to allow people who wish to have their own digital identity. In addition, the Information Commissioner’s Office (the UK Data Protection Authority) will be strengthened through the creation of a statutory board with a chair and a chief executive.

The new compromise on the draft Data Act aims to strengthen trade secrecy, but also clarifies the relationship with data protection rules and the application of cloud-switching provisions. The Swedish EU Council Presidency shared the sixth version of the Data Act text with a view to its discussion on 14 March at the Data Act Working Party. If no significant opposition is raised next week, the Presidency text will land on the table of the Permanent Representatives Committee (COREPER) on 22 March. The intention is to quickly start inter-institutional negotiations with the European Parliament, which is expected to formalise its position in next week’s plenary session. The Data Act introduces the principle that users of connected devices should have the right to access and share the data they help generate. However, what kind of data should be covered by these sharing obligations was a controversial topic due to the fact that the data could contain trade secrets related to how the organisation controlling the data processes it for insights and other information. Another critical aspect of the discussion concerned the relationship between the Data Act and GDPR. The new wording makes it clear that whenever users obtain personal data that are not their own, the Data Act cannot be considered as a valid legal basis for processing. Data controllers will also have to ensure that the sharing of personal data complies with the GDPR. Furthermore, the Data Act aims to promote competition in the cloud market by reducing barriers to switching from one cloud service to another. In this regard, the Act provides for the complete withdrawal of fees for switching from one service to another within three years of its entry into force.

The Federal Bureau of Investigation (FBI) admitted for the first time that it purchased location data instead of obtaining a warrant. Although the practice of purchasing people’s location data has become increasingly common since the US Supreme Court put a stop to the government’s ability to track Americans’ phones without a warrant almost five years ago, the FBI had never disclosed that it had made such purchases. The revelation came today during a US Senate hearing attended by five national intelligence chiefs. Senator Ron Wyden posed the question of the Bureau’s use of commercial data to its director, Christopher Wray: “Does the FBI purchase geolocation information on US phones?” Wray replied that the agency does not currently, but acknowledged that it has done so in the past; specifying, however, that: “we do not purchase commercial database information that includes location data derived from Internet advertising.” He added that the bureau now relies on a ‘court-authorised process’ to obtain location data from companies. As mentioned, the Supreme Court ruled that government agencies accessing location data without a warrant violates the Fourth Amendment’s guarantee against unreasonable searches. But the ruling has been interpreted narrowly. Privacy advocates say the decision left open a glaring loophole that allows the government to simply buy anything it cannot otherwise legally obtain. US Customs and Border Protection and the Defense Intelligence Agency are among the federal agencies known to have taken advantage of this loophole. The Department of Homeland Security, for instance, allegedly purchased the geolocations of millions of Americans from private marketing companies. In that case, the data came from a variety of deceptively benign sources, such as mobile phone games and weather apps.