La privacy dei dati personali e la sicurezza delle informazioni digitali sono temi sempre più rilevanti sia nell’Unione europea che in India con il DPDP Act: la Commissione europea sanzionato per la violazione delle proprie norme sul trattamento dei dati, mentre dall’altro, l’India sta introducendo un quadro legislativo più rigoroso per proteggere i diritti digitali dei cittadini. Entrambe le vicende mettono in evidenza l’importanza di regole chiare e il rispetto delle stesse, soprattutto in un’era di crescente interconnessione globale.
Violazione delle norme UE sulla privacy: Commissione europea sanzionata
Il Tribunale generale dell’Unione europea ha condannato la Commissione europea per una violazione “sufficientemente grave” delle proprie normative sulla protezione dei dati. Il caso riguarda il trasferimento di informazioni personali di un cittadino tedesco verso i server statunitensi di Meta attraverso il portale futureu.europa[.]eu nel marzo 2022.
La trasmissione dei dati è avvenuta tramite il servizio di accesso “Accedi con Facebook” integrato nel portale ufficiale dell’UE, utilizzato dal cittadino per registrarsi a un evento. Il trasferimento ha coinvolto l’indirizzo IP e i metadati del browser dell’utente, violando il Regolamento 2018/1725. Il tribunale ha sottolineato che, al momento del trasferimento, non esistevano decisioni che attestassero un livello di protezione adeguato negli Stati Uniti per i dati dei cittadini europei.
La Commissione non è stata in grado di dimostrare l’adozione di clausole contrattuali standard o altre salvaguardie idonee per giustificare il trasferimento. Per questo motivo, il Tribunale ha ordinato un risarcimento di 400 euro al cittadino coinvolto, che aveva subito un danno immateriale dovuto alla violazione.
Questo episodio rappresenta una svolta significativa, poiché è la prima volta che l’organo esecutivo dell’UE viene ritenuto responsabile di violazioni delle proprie norme. La decisione sottolinea l’importanza di rispettare le regole imposte dal GDPR e dimostra che nessuna istituzione, nemmeno a livello sovranazionale, è immune da sanzioni.
Nel luglio 2023, l’Unione europea ha introdotto il nuovo E.U.-U.S. Data Privacy Framework per agevolare i trasferimenti transatlantici di dati personali, superando le problematiche emerse con l’invalidazione dello scudo per la privacy (Privacy Shield). Tuttavia, il caso dimostra che le criticità nella gestione dei dati rimangono elevate, soprattutto in un contesto di tensione normativa tra UE e Stati Uniti.
L’India rafforza la protezione dei dati personali con DPDP Act
Parallelamente, l’India ha proposto un nuovo regolamento per la gestione dei dati personali, noto come Digital Personal Data Protection (DPDP) Rules, per dare attuazione al DPDP Act del 2023. Il governo indiano ha aperto una consultazione pubblica sul testo, che mira a garantire maggiore trasparenza e diritti ai cittadini nell’uso dei loro dati digitali.
Secondo la bozza, i cittadini avranno il diritto di richiedere la cancellazione dei loro dati, nominare rappresentanti digitali e gestire in modo chiaro e informato i consensi relativi al trattamento delle loro informazioni personali. Le aziende operanti in India dovranno adottare misure stringenti per proteggere i dati, come crittografia, controllo degli accessi e backup, e notificare eventuali violazioni entro 72 ore.
Particolarmente importante è l’introduzione di un meccanismo per il trasferimento sicuro dei dati oltre i confini nazionali. Una commissione dedicata definirà le categorie di dati che dovranno rimanere entro il territorio indiano. Le violazioni delle regole potranno comportare sanzioni fino a 250 crore di rupie (circa 28 milioni di euro).
Il DPDP Act rappresenta un passo avanti per l’India, offrendo un quadro più strutturato e rigoroso rispetto ai precedenti tentativi legislativi. Le normative includono anche disposizioni specifiche per la protezione dei dati dei minori, richiedendo il consenso verificabile dei genitori o tutori prima di qualsiasi trattamento delle informazioni.
I recenti sviluppi nell’Unione europea e in India riflettono l’attenzione crescente verso la protezione dei dati personali a livello globale. Da un lato, la Commissione europea sanzionata mette in evidenza che il rispetto delle regole è cruciale anche per le istituzioni di massimo livello. Dall’altro, l’approccio dell’India con il DPDP Act dimostra la volontà di tutelare i diritti digitali dei propri cittadini e promuovere la trasparenza nell’era digitale e tutelare la privacy.
