In occasione della celebrazione della 17a Giornata della protezione dei dati personali, avvenuta il 28 gennaio, il Garante per la protezione dei dati personali ha organizzato con successo lunedì 30 gennaio, presso l’auditorium del Fondo Nazionale delle Ricerche, una giornata informativa dal titolo “Attualità in materia di protezione dei dati personali – recenti sviluppi” , con relatori soci ed esperti scienziati dell’Autorità.
Un saluto è stato rivolto da Konstantinos Menoudakos , Presidente dell’Autorità, Presidente Onorario del Consiglio di Stato. All’evento hanno partecipato Georgios Batzalexis , vicepresidente dell’Autorità, emerito Areopagitis, Dimitrios Gourgourakis , ex presidente dell’Autorità e vicepresidente onorario della Corte suprema, Christos Geraris , ex presidente dell’Autorità e presidente onorario del CoE e Petros Christoforos , ex presidente dell’Autorità e consigliere onorario Co.
Punti chiave degli interventi – presentazioni:
Il presidente dell’Autorità, Konstantinos Menoudakos , nel suo saluto in forma di recensione, ha tra l’altro affermato:
“Dal 25/5/2018, data di inizio dell’applicazione del Regolamento generale sulla protezione dei dati, fino a dicembre 2021, l’importo totale delle sanzioni a livello europeo è stato di oltre 1,5 miliardi di euro, mentre a dicembre 2022 ammontava a quasi 2,5 miliardi euro. L’Autorità greca, nonostante i perenni problemi di carenza di personale e di risorse sufficienti, ha risposto nel 2022 nella massima misura possibile alle responsabilità e ai compiti ad essa assegnati dal Regolamento europeo e dalla legge nazionale 4624/2019. Tra le sue molteplici attività, l’Autorità ha esaminato questioni importanti ed ha emesso numerose decisioni e pareri. Allo stesso tempo, ha adempiuto ai propri obblighi europei e internazionali ed è stato attivamente presente nei gruppi di lavoro e nei comitati che operano sulla base della legislazione europea sulla protezione dei dati personali. Nelle sue priorità per il 2023, dedicherà una parte maggiore della sua attività all’azione d’ufficio e in particolare al controllo del lavoro e alle iniziative di sensibilizzazione all’informazione, soprattutto dei bambini, nonché all’analisi delle nuove tecnologie e dei modelli di business del mondo prospettiva della protezione dei dati e il contributo agli sforzi di ricerca nel campo della protezione dei dati e della sicurezza delle informazioni. Tuttavia, le dimensioni estremamente ridotte dell’Autorità sono inversamente proporzionali all’ampiezza delle sue competenze, alla complessità degli interventi richiesti, che è chiamata a realizzare, e alle aspettative e alle richieste che la società ha nei confronti dell’Autorità”.
Nella prima parte del convegno, moderato dal Presidente dell’Ente, Dott. Konstantinos Limniotis , EEP, ha sviluppato una presentazione dal titolo “Certificazione del trattamento dei dati personali – panoramica della situazione attuale” , in cui ha descritto gli sviluppi più recenti nel campo della certificazione delle operazioni di trattamento dei dati ai sensi dell’articolo 42 della Legge generale sulla protezione dei dati Regolamento. Nello specifico, dopo aver illustrato la procedura seguita per l’approvazione dei criteri di certificazione da parte di un’autorità di controllo nazionale o da parte del Comitato europeo per la protezione dei dati (EDPB), i pertinenti pareri dell’EDPB finora emessi in merito all’esame dei criteri di certificazione, oppure per gli schemi di certificazione nazionali o per i “bollini” di certificazione europea. In conclusione, sono stati presentati alcuni aspetti chiave, frutto dell’esperienza maturata nell’ambito dell’emissione dei relativi pareri del DGUE, riguardo alle modalità con cui i criteri di certificazione dovrebbero essere elaborati per essere valutati validi, mentre infine è stato fatto riferimento alla realtà greca fino ad oggi, nonché alle questioni correlate aperte che sono già all’esame del GEPD.
Poi Maria Alikakou , DN, EEP, nella sua presentazione dal titolo “Accordo UE-USA sui flussi transatlantici di dati: vera protezione dei dati o solo un accordo politico?” dichiarato tra l’altro:
“A seguito della decisione della Corte di Giustizia dell’Unione Europea (CGUE C131/2018) dell’estate 2020 nota come “SCHREMS II”, che ha annullato il Privacy Shield, i trasferimenti di dati dall’Unione Europea agli USA sono stati sostanzialmente lasciati nell’oscurità. Occorreva concordare immediatamente un nuovo meccanismo che fornisse le garanzie imposte dalla decisione della CGUE. Dopo quasi 2 anni di negoziati tra la Commissione europea (UE) e il governo degli Stati Uniti, nel marzo 2022 è stato pubblicato l'”Accordo di principio”, seguito nell’ottobre 2022 dall’Ordine esecutivo 14086 del presidente Biden, che conteneva le disposizioni concordate nell'”Accordo di principio” “. Questo decreto costituisce la base del progetto di decisione di adeguatezza preparato dall’UE e presentato nel dicembre 2022 all’EDPB per l’emissione di un parere non vincolante che avvia il processo di approvazione di una pertinente decisione di adeguatezza (UE-USA)’.
Nel suo intervento è stato analizzato il proposto quadro giuridico di protezione dei dati (DPR), ne sono stati evidenziati i punti positivi sulla base delle prescrizioni della CGUE e, infine, sono state evidenziate le principali preoccupazioni per punti specifici del DPR in questione, che, come ha sottolineato, “potrebbe non riuscire, di fatto, ad essere attuato nella pratica, rendendo così inefficace la proposta DPA e, possibilmente, concludendosi con uno SCHREMS III”.
La prima parte si è conclusa con l’intervento di Fai Karvela , LLM Eur., EEP, dal titolo “La certificazione come strumento per i trasferimenti internazionali” in cui, tra l’altro, ha osservato:
“La certificazione, in quanto strumento di accountability, è sancita dall’articolo 42 del GDPR e riguarda operazioni di trattamento effettuate da titolari o incaricati del trattamento. Inoltre, è sancito dall’articolo 46, comma 2, punto. del GDPR e come strumento di trasmissione di dati personali verso paesi terzi o organizzazioni internazionali. In tale contesto, la certificazione viene rilasciata ai titolari o ai responsabili del trattamento non soggetti al GDPR al fine di dimostrare di fornire garanzie adeguate secondo quanto previsto dall’articolo 46 comma 2 lettera f. Inoltre, i suddetti titolari e responsabili del trattamento sono tenuti ad assumere obblighi vincolanti ed esecutivi, solitamente attraverso contratti, al fine di dare attuazione a tali adeguate garanzie. Il processo di concessione della certificazione nell’ambito dei trasferimenti si basa sulla valutazione di criteri, alcuni dei quali sono specifici ai requisiti che sorgono quando i dati vengono trasferiti al di fuori dell’UE.
Nella seconda parte del convegno, moderato dal Vice Presidente dell’Autorità, George Batzalexis, il Dott. Ephrosyne Siugle , EEP, ha tenuto un discorso dal titolo “Servizi di cloud computing e problemi di protezione dei dati” in cui ha affermato:
“Il Comitato europeo per la protezione dei dati (EDPB) ha creato il quadro di applicazione coordinata (CEF) basato sulla strategia 2021-2023 per promuovere la cooperazione tra le autorità di controllo. Il CEF fornisce la struttura e le regole per il coordinamento delle azioni congiunte annuali periodiche delle autorità di vigilanza. Nell’ottobre 2021 il DGUE ha scelto per la 1a Azione CEF il seguente tema: “Utilizzo dei servizi di cloud computing da parte degli enti pubblici. Da novembre 2021 a gennaio 2023, 22 autorità di vigilanza, tra cui l’Autorità greca, hanno condotto un’indagine coordinata a livello nazionale. Dopo aver definito il calendario e la metodologia dell’Azione 1, hanno inviato un questionario strutturato, con 5 sezioni e 33 domande, a circa 100 enti pubblici e hanno preparato un rapporto analizzando i risultati. Questa azione riflette la situazione attuale e presenta diversi punti di interesse per i titolari e i responsabili del trattamento. La prima azione del CEF proseguirà nel 2023 con azioni successive come il completamento delle indagini in corso, l’ulteriore cooperazione con le parti interessate, l’emanazione di raccomandazioni pertinenti o l’adozione di misure correttive ove necessario. La metodologia e l’approccio armonizzato di questa azione faciliteranno le prossime azioni CEF della PESD”.
Poi Christos Kalloniatis , Professore del Dipartimento di Tecnologia Culturale e Comunicazione dell’Università dell’Egeo, membro dell’Autorità e Konstantinos Lambrinoudakis , Professore del Dipartimento di Sistemi Digitali dell’Università del Pireo, membro dell’Autorità, nella loro presentazione dal titolo “Regolamento generale e protezione dei dati personali: dalla conformità normativa all’applicazione sostanziale” si segnala tra gli altri:
“Il Regolamento Generale sulla Protezione dei Dati, con l’obiettivo di agevolare i titolari del trattamento, propone specifici “strumenti”, quali indicativamente la tenuta di registri delle attività, la predisposizione di uno studio di valutazione d’impatto, la nomina di un responsabile della protezione dei dati, l’adozione di procedure tecniche misure, ecc., che possono essere utilizzate per il rispetto formale ma soprattutto essenziale di ciascuna organizzazione ai requisiti del Regolamento e anche per agevolare il principio di accountability.
Tuttavia, tra gli episodi che hanno interessato e continuano a preoccupare l’Autorità, sono numerosi i casi in cui i titolari del trattamento adottano i suddetti strumenti di compliance senza uno studio sostanziale delle particolari caratteristiche del trattamento dei dati personali, il che porta, in definitiva, a un’applicazione inefficace della normativa il Regolamento. Obiettivo della presentazione è, da un lato, evidenziare episodi che hanno interessato l’Autorità a causa dell’inefficace attuazione del Regolamento e, dall’altro, presentare proposte per l’attuazione sostanziale ed efficace del Regolamento”.
La seconda parte si è conclusa con l’intervento di Georgia Panagopoulos , MSc Computer Engineer, EEP, nella sua presentazione dal titolo “Internet of Behavior and Personal Data Protection Issues” , che ha osservato, tra le altre cose:
“L’Internet del comportamento è una combinazione di tecnologia, analisi dei dati e scienza comportamentale, con l’obiettivo di fornire servizi più efficaci interpretando e influenzando il comportamento degli utenti. L’analisi dei dati generati dall’interazione di servizi e oggetti fisici connessi a Internet viene effettuata utilizzando le capacità del machine learning e dell’intelligenza artificiale. Si tratta di complesse questioni di privacy e sicurezza che comprendono gli obblighi delle parti coinvolte, i diritti degli utenti e le modalità di controllo. Il GDPR prevede disposizioni per la profilazione e il processo decisionale automatizzato, che sono state interpretate nelle linee guida del GEPD con raccomandazioni di buone pratiche. I requisiti della direttiva sulle comunicazioni elettroniche si applicano alle tecniche di tracciamento. Le normative pertinenti sono incluse anche nelle recenti iniziative legislative dell’UE. Le autorità per la protezione dei dati hanno un ruolo molto importante sia nel definire le normative che nel supervisionare il settore.’
Dott. George Roussopoulos , che ha menzionato tra gli altri:
“Sebbene l’Autorità per la protezione dei dati sia un servizio pubblico importante e fondamentale, il suo Segretariato, come servizio, è estremamente piccolo. La sua materia è diventata molto più impegnativa e scienziati specializzati si occupano della preparazione di ogni aspetto del lavoro principale dell’Autorità sia in Grecia che in Europa. Per un decennio, gli scienziati dell’Autorità ne hanno sostenuto il funzionamento senza aggiunte, nonostante numerose partenze e dimissioni. Recentemente, l’assunzione di 13 nuovi scienziati ha riportato il numero ai livelli del… 2008. Ma, senza alcuna differenziazione retributiva, come già fatto in altri Enti e servizi, si prevede una nuova ondata di dimissioni, come le proposte del presidente dell’Autorità per migliorare gli stipendi dei nuovi colleghi non sembrano essere ascoltati. L’Unione chiede subito una soluzione sugli stipendi degli scienziati specializzati dell’Autorità e annuncia che intensificherà le proprie mobilitazioni, chiedendo il sostegno e la comprensione di tutti per eventuali disfunzioni che dovessero verificarsi presso l’Autorità”.
Al termine di ciascuna sezione del convegno, il Presidente, il Vicepresidente ed i relatori, membri ed esperti dell’Autorità, hanno risposto dettagliatamente ad una serie di domande poste dal numeroso pubblico presente.
Si segnala che l’evento è stato trasmesso in diretta attraverso la rete internet e il servizio DIAVLOS della Rete Nazionale delle Infrastrutture, Tecnologia e Ricerca.