EDPS sanziona il Parlamento sui trasferimenti di dati UE-USA a Google e Stripe

Gen 11, 2022

Il GEPD sanziona il Parlamento europeo per trasferimenti illegali di dati UE-USA - tra le altre violazioni

Il Garante europeo della protezione dei dati (GEPD) ha emesso una decisione dopo un reclamo presentato da noyb che conferma che il Parlamento europeo ha violato la legge sulla protezione dei dati sul suo sito web di test COVID. Il GEPD sottolinea che l'uso di Google Analytics e il fornitore di pagamenti Stripe (entrambe le società statunitensi) ha violato la sentenza"Schrems II" della Corte di giustizia (CGUE) sui trasferimenti di dati UE-USA. La sentenza è una delle prime decisioni di attuazione di"Schrems II" sul terreno e può mostrare la strada per centinaia di altri casi pendenti davanti alle autorità di regolamentazione.

Denuncia presentata un anno fa.Nel gennaio 2021,noybha presentato un reclamo contro il Parlamento europeo per conto di sei membri del Parlamento europeo su un sito web interno di test della corona. Le questioni sollevate erano banner di cookie ingannevoli, avvisi di protezione dei dati vaghi e poco chiari, e il trasferimento illegale di dati negli Stati Uniti. Il GEPD ha indagato sulla questione e ha emesso un'ammonizione nei confronti del Parlamento per violazione del "GDPR per le istituzioni dell'UE" (Regolamento (UE) 2018/1725 applicabile solo alle istituzioni dell'UE).

Trasferimenti illegali di dati verso gli Stati Uniti.nel cosiddetto caso "Schrems II", la CGUE ha chiarito che il trasferimento di dati personali dall'UE agli Stati Uniti è soggetto a condizioni molto rigorose: i siti web devono astenersi dal trasferire dati personali negli Stati Uniti quando non può essere garantito un adeguato livello di protezione dei dati personali. Il GEPD ha confermato che il sito web ha effettivamente trasferito dati verso gli Stati Uniti senza garantire un adeguato livello di protezione dei dati e ha evidenziato:"il Parlamento non ha fornito alcuna documentazione, prova o altra informazione relativa alle misure contrattuali, tecniche o organizzative in atto per garantire un livello di protezione essenzialmente equivalente ai dati personali trasferiti negli USA nel contesto dell'uso dei cookie sul sito web."

Nell'agosto 2020 noyb ha presentato 101 reclami contro aziende dell'UE che includevano funzioni di Google e Facebook sui loro siti web. Dopo la formazione di una "task force" da parte delle autorità competenti per la protezione dei dati, noyb si aspetta presto una sentenza per i siti web privati che segua la decisione del GEPD.

"La GEPD ha chiarito che anche il posizionamento di un cookie da parte di un provider statunitense viola le leggi sulla privacy dell'UE. Non c'erano protezioni adeguate contro la sorveglianza degli Stati Uniti, nonostante il fatto che i politici europei sono un obiettivo noto per la sorveglianza. Ci aspettiamo altre decisioni di questo tipo sull'uso dei provider statunitensi nei prossimi mesi, dato che anche altri casi sono in attesa di una decisione".Max Schrems, presidente onorario dinoyb.eu

Banner dei cookie confuso.La denuncia ha anche sollevato che i banner dei cookie del sito erano poco chiari e ingannevoli. Per esempio, non tutti i cookie erano elencati dai banner e c'era divergenza tra le versioni linguistiche. Di conseguenza gli utenti non erano in grado di dare un consenso valido. Durante l'indagine, il Parlamento ha rimosso tutti i cookie dal suo sito web. noyb sta attualmente lavorando su reclami simili sui cookie banner, che è sostenuto da questa decisione.

Informazioni poco chiare e irrilevanti Inoltre, il reclamo rilevava che la politica sulla privacy non era chiara e trasparente poiché faceva riferimento al test COVID dell'aeroporto di Bruxelles o a una base giuridica errata. Durante l'indagine, il Parlamento ha cambiato la sua politica ma l'ha resa in parte ancora peggiore. noyb ha sollevato le diverse incoerenze nella nuova politica sulla privacy del PE. Il GEPD ha convenuto che le informazioni fornite dal Parlamento violavano l'obbligo di trasparenza, che è un requisito giuridico fondamentale ai sensi della legge sulla protezione dei dati. Infine, il GEPD ha anche ritenuto che il Parlamento non abbia risposto adeguatamente alla richiesta di accesso degli autori del reclamo.

Nessuna ammenda, ma un rimprovero e un ordine di conformarsi.il GEPD ha emesso un'ammonizione contro il Parlamento per le diverse violazioni del Regolamento sulla protezione dei dati applicabile alle istituzioni dell'UE. Contrariamente alle DPA nazionali ai sensi del GDPR, il GEPD può emettere una multa solo in circostanze limitate che non sono state soddisfatte in questo caso. Inoltre, il GEPD ha dato al Parlamento un mese di tempo per aggiornare il suo avviso sulla protezione dei dati e affrontare le questioni rimanenti in materia di trasparenza