skip to Main Content
DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA GERMANIA: BfDI Presenta Il 29 ° Rapporto Di Attività

DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA GERMANIA: BfDI presenta il 29 ° rapporto di attività

This post is also available in: English Español Français

Il Commissario federale per la protezione dei dati e la libertà di informazione ( BfDI ), il professor Ulrich Kelber, ha presentato giovedì al presidente del Bundestag tedesco il 29 ° rapporto di attività sulla protezione dei dati e la libertà di informazione.

Il BfDI rileva che i problemi di protezione dei dati durante la pandemia sono l’argomento dominante nell’anno di riferimento del 2020: mentre Corona ci presenta ogni giorno nuove sfide, il resto del mondo non si ferma.

Anche senza la pandemia, la mia agenzia avrebbe avuto le mani piene. Ad esempio con la sentenza Schrems II , Brexit, la digitalizzazione del sistema sanitario e la riorganizzazione della supervisione dei Servizi segreti federali.

Il professor Kelber del BfDI vuole anche attirare l’attenzione del pubblico sui buoni sviluppi: ci sono molte cose positive da riferire, specialmente sui progetti in cui sono stato coinvolto nella fase iniziale e sono stato in grado di consigliare.

Ad esempio, seguendo il mio consiglio, i servizi di intelligence informano i richiedenti sulle norme di eccezione ai sensi della legge sulla revisione della sicurezza, o che i miei controlli in base alla legge sulla libertà di informazione presso l’Agenzia federale per l’educazione politica e l’Organizzazione di soccorso tecnico hanno portato a risultati positivi. Per il prossimo rapporto di attività, spero che ci occuperemo di Corona solo in retrospettiva e che l’elenco degli esempi positivi, soprattutto con argomenti di grandi dimensioni, sarà più lungo.

Da quest’anno è disponibile una relazione di attività congiunta sui temi della protezione dei dati e della libertà di informazione.

Questo allegato fornisce una prima panoramica degli argomenti più importanti del 29 ° rapporto di attività:

Allegato al comunicato stampa per la 29a relazione di attività sulla protezione dei dati e la libertà di informazione – Argomenti selezionati

Il Commissario federale per la protezione dei dati e la libertà di informazione ( BfDI ) fornisce informazioni sugli argomenti del rispettivo periodo di riferimento. I numeri dietro i sottotitoli si riferiscono al rispettivo capitolo del rapporto di attività.

BfDI in cifre ( n. 10.6)

Nel 2020, il BfDI ha ricevuto 7.878 reclami e richieste di informazioni da parte dei cittadini. Risulta che l’interesse per la protezione dei dati e la libertà di informazione è ancora elevato e sta addirittura aumentando leggermente. Ciò vale anche per gli organismi che sovrintendo: oltre a 4.897 indagini generali, i miei dipendenti hanno svolto 7.212 consultazioni telefoniche.

I controlli e le consultazioni in loco sono stati limitati a causa della pandemia. Tuttavia, nell’anno in esame sono stati effettuati 88 controlli, la maggior parte dei quali utilizzando metodi alternativi come i controlli scritti.

Alla BfDI sono state segnalate in totale 10.024 violazioni della protezione dei dati. Nel 2019 quel numero era ancora più alto. Un numero particolarmente elevato di segnalazioni è stato ricevuto nel 2020 da uffici delle imposte, centri per l’impiego e società di telecomunicazioni. C’è stato un forte aumento del sostegno formale ai progetti legislativi, in parte a causa della legislazione durante la pandemia. Mentre nel 2019 al BfDI è stato chiesto di fornire pareri e consulenza in 273 progetti legislativi, lo scorso anno erano 423 e più volte in numerosi progetti legislativi.

L’app Corona Warning del governo federale ( N. 4.1.1)

La Corona Warning App ( CWA ) del governo federale è stata pubblicata dal Robert Koch Institute ( RKI ) il 16 giugno 2020, dopo poco più di due mesi di sviluppo . In quanto app di tracciamento dei contatti , consente la registrazione in modo semplice per la protezione dei dati di incontri potenzialmente rilevanti per l’infezione tra gli utenti dell’app utilizzando lo standard Bluetooth . Il CWA è misurato per il numero di download fino ad oggi il maggior successo app nella U .

Tuttavia, esiste il potenziale per ulteriori sviluppi. Idee come il riconoscimento dei cluster sono ragionevoli e possibili. Con la fine della pandemia COVID-19, l’uso di Fine CWA. Le conoscenze acquisite, come tali soluzioni possono essere attuate su base volontaria in modo efficace e in modo favorevole alla protezione dei dati, dovrebbero essere prese in considerazione in possibili progetti futuri.

Misure e progetti Corona (n. 4.1.3)

Il Ministero Federale della Salute ( BMG ) ha sviluppato e finanziato un gran numero di progetti per far fronte alla pandemia della corona . Il project manager responsabile del BMG ha chiesto supporto al BfDI in primavera . Al fine di mantenere la protezione dei dati personali in vista nonostante le circostanze speciali e l’elevata pressione dei tempi, è stata data la preferenza alle rispettive misure e progetti.

Ne sono un esempio i consigli forniti da BMG e RKI sul software SORMAS con vari moduli. SORMAS è l’acronimo di Surveillance Outbreak Response Management and Analysis System ed è stato sviluppato dal Centro Helmholtz per la ricerca sulle infezioni (HZI) per registrare i casi e contattare le persone.

Il BMG fornisce gratuitamente alle autorità sanitarie questo software per supportare il loro lavoro. La versione SORMAS-ÖGD è stata utilizzata anche in alcune autorità sanitarie in precedenza. Oltre a una funzione di report, contiene anche un’interfaccia per una funzione di diario per la quarantena.

Il collegamento di SORMAS a DEMIS, con una gestione efficiente delle persone di contatto, facilita la determinazione delle catene di contatto, anche attraverso i confini comunali, poiché anche le autorità sanitarie sono in rete tra loro. Il BfDI accoglie con favore il fatto che le applicazioni siano ospitate presso il Federal Information Technology Center (ITZBund), in quanto ciò elimina qualsiasi preoccupazione circa l’archiviazione dei dati da parte di società private.

Per soddisfare i requisiti legali, le rispettive autorità sanitarie devono ora concludere accordi contrattuali con ITZBund.

Modifiche alla legge sulla protezione dalle infezioni ( N. 4.1.4)

L’Infezione Protection Act (IfSG) è stato modificato in tre “fasi” a causa della situazione pandemica. Ampliando sia le ragioni che la portata degli obblighi di segnalazione per malattie e agenti patogeni, il diritto fondamentale all’autodeterminazione informativa è stato notevolmente violato.

Sarebbero state necessarie giustificazioni trasparenti e una discussione sui requisiti in materia di protezione dei dati, ma sono sempre mancate.

L’obbligo inadeguatamente giustificato di segnalare coloro che sono risultati negativi è stato sensibilmente soppresso. Nella terza legge sulla protezione dalle pandemie erano problematiche anche le norme relative ai doveri e ai poteri delle società di trasporto e della polizia federale in relazione all’ingresso. Le violazioni dei diritti fondamentali non sono state sufficientemente soppesate e giustificate.

Libertà di informazione nella pandemia (N. 8.1.1)

La pandemia corona è stata oggetto di procedimenti di mediazione e di domande presentate alla BfDI ai sensi del Freedom of Information Act ( IFG ). Lo sviluppo della pandemia potrebbe anche essere rintracciato nell’occorrenza e nel contenuto delle invocazioni.

La maggior parte di questi reclami riguardava le applicazioni IFG al BMG e all’RKI .

All’inizio della pandemia, anche le modalità della campagna di rimpatrio del Ministero degli esteri federale sono state oggetto di istanze e ricorsi. Con il progredire della situazione pandemica, si trattava sempre più di informazioni sul numero di casi, sulla progettazione delle opzioni di test, sull’assistenza amministrativa di altre autorità o sui rapporti sulla situazione del governo federale e del Ministero federale degli interni, dell’edilizia e degli affari interni ( BMI ).

L’ input IFG per l’app di avviso Corona mi è arrivato a metà anno. Anche le domande IFG sul tema “Corona” sono state inviate a casa mia. L’interesse dei firmatari si è concentrato in particolare sul mio sostegno alle procedure legislative e sulle mie valutazioni di misure come l’app Corona warning e le offerte digitali diBMG o alla cosiddetta exit card.

Legge sulla protezione dei dati dei pazienti (n. 4.2)

Il 20 ottobre 2020 è entrato in vigore il Patient Data Protection Act ( PDSG ). Contiene normative estese sulla cartella clinica elettronica ( ePA ) e, con i dettagli specifici sulla gestione degli accessi, viola il Regolamento generale sulla protezione dei dati ( GDPR ).

Fondamentali sono anche l’accesso alternativo all’ePA tramite dispositivi mobili (smartphone, ecc. ), Ovvero senza l’utilizzo della tessera sanitaria elettronica ( eGK ), nonché le normative sulle prescrizioni mediche elettroniche (e-prescriptions). La ricetta elettronica è la prima cosiddetta applicazione obbligatoria, motivo per cui il PDSGContiene requisiti obbligatori per tutti coloro che sono legalmente assicurati. Un altro importante regolamento nel PDSG consente all’assicurato di rilasciare i dati nell’ePA per la ricerca. In questo contesto, mancano disposizioni importanti che devono essere fatte dal legislatore e non nei processi a valle.

Le compagnie di assicurazione sanitaria si trovano ora in un dilemma a causa della responsabilità esclusiva dell’EPR assegnata loro dal legislatore . Se rifiutano di attuare l’ EPI in conformità con i requisiti del PDSG , sono minacciati di sanzioni elevate che sono legalmente stabilite nel PDSG . Se, invece, applichi la legge che viola la legge europea e offri ai tuoi assicurati un IPE che viola la legge europea , le autorità di vigilanza si concentrano su di te. In definitiva, solo il legislatore può rimediare.

Attuazione della decisione Schrems II della Corte di giustizia europea (n. 4.3)

La sentenza Schrems II della Corte di giustizia europea ( CGUE ) ha suscitato molto scalpore: dalla dichiarazione di inefficacia del Privacy Shield alle clausole contrattuali standard, che di regola non saranno più prontamente applicabili, al cosiddetto “addizionale le misure”. I massicci effetti sui trasferimenti internazionali di dati a paesi terzi sono chiaramente evidenti per i responsabili e gli incaricati del trattamento e impongono requisiti elevati in termini di attuazione, non da ultimo per le autorità di controllo.

Con la sentenza Schrems II , la Corte di giustizia non ha affidato agli esportatori di dati, ma anche alle autorità di controllo della protezione dei dati, un compito facile. Il lavoro sull’attuazione dei requisiti di Schrems II manterrà probabilmente per qualche tempo tutti i soggetti coinvolti a livello nazionale ed europeo. La BfDI continuerà a impegnarsi a sostenere e promuovere l’attuazione della sentenza Schrems II della Corte di giustizia europea , in particolare fornendo consulenza alle società e alle autorità che effettuano trasferimenti di dati a paesi terzi.

 

Modernizzazione del registro (n. 5.1)

La modernizzazione del registro è una componente centrale per un’amministrazione moderna orientata al futuro. Tuttavia, l’uso dell’ID fiscale come identificativo personale uniforme e completo, che è stato pianificato nella bozza di una legge sulla modernizzazione dei registri , incontra notevoli preoccupazioni costituzionali e quindi mette fondamentalmente in discussione il progetto.

Naturalmente, con la digitalizzazione dell’amministrazione, anche la protezione dei dati in questo settore deve essere ulteriormente sviluppata. Il data cockpit incluso nel progetto di legge è un primo passo importante e valido per creare trasparenza. Tuttavia, l’ulteriore sviluppo di questo strumento dovrebbe essere considerato fin dall’inizio, al fine di portare alla fine i cittadini su un piano di parità con lo Stato.

Se lo stato può richiamare i dati in pochi secondi, le persone interessate non solo devono capirlo, ma devono anche essere in grado di prendere in mano la situazione. Solo la possibilità di poter richiamare i propri dati dai registri e dalle banche dati dello Stato alla fine crea una sorta di uguaglianza delle armi.

Legislazione vigente e altre normative nel settore delle telecomunicazioni ( n. 5.10)

Diverse leggi nel settore delle telecomunicazioni devono essere adeguate al diritto europeo in modo tempestivo. Tuttavia, in base allo stato attuale, ciò non sarà fatto in tempo. Con la legge sulla modernizzazione delle telecomunicazioni ( TKModG ) numerosi requisiti del “Codice delle comunicazioni elettroniche” europeo sono incorporati nelle normative nazionali, in particolare la legge sulle telecomunicazioni ( TKG), implementato. Gli obiettivi del codice sono l’ampliamento e l’utilizzo di reti ad altissima capacità, la garanzia di una concorrenza sostenibile ed efficace e l’interoperabilità dei servizi di telecomunicazione.

Occorre inoltre garantire l’accessibilità e la sicurezza delle reti e dei servizi e promuovere gli interessi degli utenti finali. Ai cittadini dovrebbero essere forniti servizi di telecomunicazione convenienti e di alta qualità. Nell’ambito dell’attuazione nel diritto nazionale, anche il concetto centrale di servizio di telecomunicazioni viene ampliato in modo significativo. Questo è stato precedentemente definito nel § 3 n. 24 TKG (vecchio) e in futuro sarà incluso nella nuova disposizione del § 3 n. 55 TKGessere ancorati alla legge.

Pertanto, in particolare, rientrano ormai nella definizione di servizio di telecomunicazione i servizi di misurazione, i servizi di posta elettronica e di videoconferenza.

Ciò significa che la supervisione della protezione dei dati del BfDI potrebbe estendersi anche a questi servizi in futuro . Secondo la sezione 9 della legge federale sulla protezione dei dati ( BDSG ), la BfDI è responsabile della supervisione delle società nella misura in cui trattano dati di persone fisiche o giuridiche per la fornitura commerciale di servizi di telecomunicazione.

Purtroppo non è prevedibile quando le leggi entreranno in vigore.

Modifica alla legge sui servizi segreti federali ( n. 5.4)

La Corte costituzionale federale ( BVerfG ) ha obbligato il legislatore a modificare le disposizioni del Federal Intelligence Service Act (BNDG) sulla cosiddetta intelligence internazionale-internazionale delle telecomunicazioni entro il 31 dicembre 2021. Data la notevole rilevanza dei diritti fondamentali, la votazione sul progetto di legge si è svolta con un’irragionevole pressione dei tempi.

Con la fusione del controllo giudiziario e amministrativo sotto l’ombrello di una nuova autorità federale suprema, non vengono utilizzati effetti di sinergia che sarebbero sorti se il controllo legale amministrativo – come proposto dal BVerfG come variante di soluzione – fosse stato trasferito alla BfDI .

Invece di utilizzare queste strutture di controllo esistenti con personale esperto, che si è dimostrato valido nel settore della supervisione dei servizi di intelligence federali, deve essere istituita una nuova autorità di vigilanza che lavora in dettaglio, ma tuttavia inesperta nel controllo dell’intelligence, con risorse considerevoli nel più breve tempo possibile entro la fine del 2021 da calpestare. Dal momento che anche questi sono ancora al BNDa Berlino e Pullach è da risolvere, possibilmente direttamente sulle sue proprietà, sorgono dubbi anche in merito alla distanza richiesta dal BVerfG .

Questi dubbi sono rafforzati dal fatto che il nuovo organo di controllo può trasferire la gestione del personale alla Cancelleria federale e quindi all’autorità preposta alla BND , cosa che il previsto Consiglio di controllo indipendente sarà probabilmente costretto a fare per mancanza di un proprio strutture. Di conseguenza, l’esistenza di un’ulteriore autorità di controllo rende ancora più confuso il panorama dei controlli nel campo dei servizi di intelligence.

Senza ampi poteri di cooperazione tra le agenzie di controllo, il controllo del BND inevitabilmente difficile. Anche per questo è necessario progettare il rapporto di collaborazione tra il Consiglio di Controllo Indipendente e il BfDI in modo tale che possa e debba avvenire uno scambio di contenuti sui controlli specifici. Il progetto di legge non soddisfa ancora tutte le aspettative e dovrebbe essere urgentemente migliorato nella procedura parlamentare.

Linea guida JI non ancora completamente implementata (n. 6.7)

L’attuazione dei requisiti di legge europea nella legge federale sulla polizia e nella legge sui servizi di indagine doganale continua a fallire a causa della lotta politica per ulteriori poteri di intervento. Il BfDI ha i primi aiuti all’applicazione per la praticagià sviluppato. Il Bundestag tedesco aveva già approvato un progetto di legge per modificare la legge sui servizi di indagine doganale (ZFdG), ma la legge non era più firmata e promulgata.

Lo sfondo è apparentemente la decisione della Corte costituzionale federale sulla progettazione delle cosiddette informazioni sui dati di inventario. In base a ciò, le leggi speciali di polizia devono stabilire regole chiare su quali autorità richiedono quali dati in quali occasioni e come i dati possono essere utilizzati. Dopotutto, ora c’è una bozza per la legge sulla polizia federale. Tuttavia, il progetto proviene dai gruppi parlamentari dei partiti di governo. La BfDI critica il fatto di non poter commentare il progetto di legge in questo processo.

Conseguenze della Brexit (n. 7.12)

Il periodo di transizione pianificato nell’accordo di recesso tra l’Unione europea e il Regno Unito è terminato il 31 dicembre 2020. L’accordo commerciale e di cooperazione, che è ora in vigore dal 1 ° gennaio 2021, prevede un ulteriore massimo di sei mesi disposizione transitoria per il trasferimento dei dati.

I trasferimenti di dati personali dall’UE al Regno Unito non dovrebbero essere considerati trasferimenti a un paese terzo per un periodo di transizione. Questo periodo termina quando la Commissione UE ha preso decisioni di adeguatezza riguardanti il ​​Regno Unito, ma al più tardi dopo quattro mesi. Questa data di scadenza può essere prorogata di due mesi se nessuna delle parti coinvolte si oppone.

29a relazione di attività sulla protezione dei dati e la libertà di informazione 2020

29TB_20

 

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA GERMANIA

 

 

 

Back To Top