News #7/2023: trasferimento di dati tra UE e USA, si riparte da zero?

/in , , , , , /da

Un nuovo appuntamento con la nostra #Newsletter in edizione #2023, che raccoglie le più interessanti novità degli ultimi sette giorni in ambito Privacy, 231 e Mercati Digitali, oltre a uno sguardo sulle news dal mondo.

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • il Parlamento UE “boccia” la proposta di decisione di adeguatezza della Commissione riguardo agli Stati Uniti d’America;
  • e intanto si discute della bozza di “Data Act” per i consumatori;
  • mentre l’EDPB annuncia a breve una decisione vincolante sul trasferimento dati UE-USA effettuato da Meta in base alle Clausole Contrattuali Tipo;
  • molte novità in materia di 231 e Whistleblowing;
  • la SEC USA aggiorna i propri regolamenti sul Privacy Act.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana il consiglio è di seguire Luisa Jarovsky, founder di Implement Privacy e di “The Privacy Whisperer”, che è anche una interessante newsletter su LinkedIn a tema privacy e diritti civili.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Have A Nice Day – Stereophonics (2013)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DECISIONE DI ADEGUATEZZA USA – La Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento UE ha presentato, lo scorso 14 febbraio, una bozza di mozione che invita chiaramente la Commissione UE a non proseguire con la decisione di adeguatezza nei confronti degli Stati Uniti, ritornando invece al tavolo delle trattative per far sì che l’amministrazione Biden si impegni a migliorare la situazione legislativa interna. Un duro colpo – seppur non vincolante, e che sarà votato non prima di marzo – al percorso disegnato dalla Commissione per tornare a un flusso transfrontaliero di dati personali conforme al GDPR, in attesa del parere (sempre non vincolante) che sarà emanato dal EDPB tra la primavera e l’estate.

DRAFT DATA ACT – Lo scorso 9 febbraio il Parlamento europeo ha annunciato l’adozione – da parte della commissione per l’industria, la ricerca e l’energia – della bozza di #DataAct, cioè il regolamento recante norme armonizzate in materia di accesso e uso equo dei dati personali, soprattutto da parte di consumatori. Nel suo comunicato il Parlamento ha specificato che la bozza di regolamento dovrà ora essere sottoposta al voto dell’intero Parlamento in occasione della sessione plenaria del prossimo 13-16 marzo.

PLENARIA EDPB – Nelle giornate del 14 e 15 febbraio si è tenuta la 75esima riunione plenaria del Comitato europeo per la protezione dei dati (“EDPB”). Tra gli argomenti discussi, le linee guida (i) sull’interazione tra applicazione dell’articolo 3 e le disposizioni sui trasferimenti interazioni di cui al capo V del GDPR,(ii) sulla Certificazione come strumento per i trasferimenti, (iii) sui Dark Patterns nelle interfacce delle piattaforme dei social media. Nella stessa seduta l’EDPB ha inoltre dato seguito alla sua decisione vincolante del 5 dicembre 2022 sulla questione promossa dalla Data Protection Commission in relazione a WhatsApp Ireland Limited, annunciando una decisione finale entro il 14 aprile (che potrebbe bloccare l’uso di Facebook, Instagram e WhatsApp).

FAKE NEWS E BUONE PRATICHE IN UE – I firmatari del Codice di buone pratiche sulla disinformazione del 2022, comprese tutte le principali piattaforme online (Google, Meta, Microsoft, TikTok, Twitter), hanno pubblicato per la prima volta le relazioni di riferimento sul modo in cui mettono in pratica gli impegni derivanti dal codice. Il Centro per la trasparenza garantirà la visibilità e la responsabilità degli sforzi compiuti dai firmatari per combattere la disinformazione e l’attuazione degli impegni assunti a norma del codice. Con queste relazioni di riferimento, le piattaforme forniscono informazioni e dati completi, tra i quali (i) quante entrate pubblicitarie che affluiscono agli attori della disinformazione sono state evitate; (ii) il numero o il valore degli annunci politici accettati ed etichettati o respinti; (iii) i casi di comportamenti manipolativi rilevati (ossia creazione e utilizzo di account falsi).

TOOLBOX PER IDENTITA’ DIGITALE EUROPEA –  La guida pratica (“toolbox”) pubblicata dalla Commissione europea ed elaborata dagli Stati membri rappresenta una base per progettare un pacchetto di strumenti che integrerà la proposta legislativa sull’identità digitale europea. Si tratta di un primo passo che consentirà la creazione di un quadro per l’identificazione e l’autenticazione digitale basato su standard comuni in tutta l’Unione europea. L’adozione dell’identità digitale europea ha l’obiettivo di fornire un modo sicuro e conveniente per i cittadini e le imprese europee di identificarsi, ove necessario, per accedere ai servizi digitali, in modo rapido e immediato. Gli utenti saranno in grado di archiviare e utilizzare in modo sicuro i dati per tutti i tipi di servizi, come il check-in in aeroporto, il noleggio di un’auto, l’apertura di un conto bancario o l’accesso al proprio account su grandi piattaforme online. Inoltre, l’identità digitale europea consentirà ai cittadini di archiviare credenziali, come patente di guida mobile, patenti professionali, eHealth o credenziali educative.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

WHISTLEBLOWING/1 – Lo scorso 14 febbraio le Commissioni Giustizia e Lavoro pubblico e privato della Camera dei Deputati hanno espresso – con un documento scaricabile gratuitamente per gli iscritti all’Associazione Aodv231 – il loro parere favorevole sullo schema di decreto legislativo in materia di #whistleblowing. All’interno del documento sono inoltre presenti un’osservazione di carattere generale – consistente in un invito a restringere l’ambito di operatività della bozza di decreto alle sole violazioni del diritto europeo – e nove osservazioni di carattere “particolare”, tra cui (i) il suggerimento di prevedere un esonero all’obbligo di istituire un canale interno di segnalazione per le realtà con meno di 50 dipendenti e (ii) istituire sanzioni per i soggetti che effettuano volontariamente segnalazioni false.

WHISTLEBLOWING/2 –  La Commissione europea ha aperto, lo scorso 15 febbraio, la procedura di infrazione per mancato recepimento della direttiva UE 2019/193 (cd. #Whistleblowing) nei confronti di otto Stati membri, tra cui l’Italia. Ciascun Paese membro, infatti, avrebbe dovuto recepire la direttiva entro il 17 dicembre 2021. In particolare, la decisione si fonda sulle risposte – a parere della Commissione “non soddisfacenti” – fornite da tali stati dopo la messa in mora disposta nel gennaio 2022.

WHISTLEBLOWING E LIBERTÀ DI ESPRESSIONE – La Corte Europea per i Diritti dell’Uomo si è recentemente pronunciata, con sentenza dello scorso 14 febbraio, sul tema del regime di tutela del segnalante. In particolare, secondo la Corte, il criterio per valutare il regime di tutela applicabile al whistleblower è la verifica dell’interesse pubblico rivestito dalla informazione diffusa. Quando, cioè, l’informazione è tale da attirare l’attenzione o preoccupare la comunità, la necessità di una sua divulgazione prevale sulla tutela della riservatezza proprio in quanto funzionale alla creazione di un dibattito su questioni di interesse pubblico.

CASSAZIONE SU REQUISITI PER RESPONSABILITA’ 231 –  Non sussiste alcuna responsabilità a carico dell’impresa, imputata di illeciti 231, per i reati commessi dai propri collaboratori, perché il coinvolgimento dell’azienda deve essere puntualmente provato dall’accusa. Anche se l’Ente non ha preventivamente adottato o efficacemente attuato il noto Modello previsto dal Decreto 231, è necessaria la prova di una precisa colpa di organizzazione per potersi configurare la responsabilità amministrativa da reato dell’Ente. Con la recente sentenza 11 gennaio 2023 n. 570 la Corte di Cassazione è tornata su uno dei punti nodali della disciplina sulla responsabilità disciplinata dal Decreto 231, effettuando da un lato la precisa ricognizione dei suoi elementi indispensabili e, dall’altro, sottolineando come essi debbano essere tutti positivamente provati in sede giudiziaria.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TWITTER/ MUSK – Elon Musk ritorna a far parlare di sè. Deluso dai risultati ottenuti nell’ultimo periodo dai suoi tweet, il CEO di Twitter ha modificato il codice dell’app in modo tale da risolvere i suoi problemi di “visibilità”. Il risultato? Migliaia e migliaia di utenti hanno segnalato di aver ricevuto nella sezione “Per te” – quella cioè gestita da un algoritmo – moltissimi tweet e risposte provenienti proprio dall’account di Musk. 

FONDO “ETCI” PER IMPRESE INNOVATIVE – La Banca europea per gli investimenti, il Fondo europeo per gli investimenti e cinque Stati membri dell’Ue, tra i quali l’Italia, hanno inaugurato la European Tech Champions Initiative (“ETCI”), un fondo da 3,75 miliardi di euro che destinerà a imprese innovative europee il capitale di crescita necessario nelle fasi avanzate del loro sviluppo. Il fondo ha l’obiettivo di consolidare i mercati del capitale di rischio per le imprese innovative in Europa, e di appianare divari esistenti nell’accesso ai finanziamenti. I leader del progetto hanno dichiarato che l’Europa può contare su solide imprese innovatrici, ma deve migliorare il contesto che consente alle imprese di fare il passaggio dallo status di start-up a quello di concorrente credibile e leader di mercato.

FURTO DI DATI – Il “Threat Intelligence Report” pubblicato il 14 febbraio dall’Osservatorio Exprivia e relativo all’ultimo quadrimestre del 2022 ha registrato un picco molto alto di minacce informatiche in Italia, con un numero di incidenti informatici e attacchi andati a buon fine pari al doppio del 2021 e oltre al quadruplo del 2020 Secondo gli esperti, ciò è stato possibile proprio per via del crescente lasso di tempo tra il momento dell’attacco e l’incidente, oltre che per le tecniche sempre più sofisticate usate dagli hacker e dalla poca consapevolezza sui rischi legati alla rete da parte di imprese e cittadini. Il settore Finance risulta tra i più colpiti dagli attacchi, dato che le aziende finanziarie, gli istituti bancari, le piattaforme di criptovalute, gestendo importanti quantità di denaro, rappresentano un obiettivo promettente per gli attaccanti.

STANDARD CERTIFICAZIONE AI NATO – Il Data and Artificial Intelligence Review Board (“DARB”) della NATO ha annunciato di aver avviato lo sviluppo di uno standard di certificazione dell’intelligenza artificiale (“AI”) di facile utilizzo. In particolare, il DARB ha sottolineato che lo standard aiuterebbe le industrie e le istituzioni di tutti i membri della NATO a garantire che i nuovi progetti di intelligenza artificiale e dati siano in linea con il diritto internazionale, nonché con le norme e i valori della NATO. Inoltre, il DARB ha precisato che lo standard dovrebbe essere completato entro la fine del 2023 e che il suo scopo è tradurre i Principi di uso responsabile della NATO, approvati nell’ottobre 2021 come parte della prima strategia di intelligenza artificiale della NATO, in controlli ed equilibri concreti in termini di governabilità, tracciabilità e affidabilità, contribuendo così a creare fiducia tra la comunità dell’innovazione, gli utenti finali operativi e il pubblico in generale.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SLOVENIA – Il Commissario per l’informazione sloveno ha recentemente annunciato la pubblicazione di linee guida in materia di organizzazione di eventi. L’organizzazione di tali iniziative, infatti, comporta inevitabilmente il trattamento di dati personali dei soggetti partecipanti partecipanti: per tale ragione è, tra le altre cose, indispensabile garantire la corretta informazione dei partecipanti in merito (i) alle categorie di dati da trattare, (ii) ai motivi per cui tale trattamento risulta necessario e (iii) ai diritti che i partecipanti possono esercitare.

PAESI BASSI – La AP, Autorità garante olandese, ha emesso lo scorso 13 febbraio un parere in materia di utilizzo dei dati personali per finalità di ricerca scientifica. Interrogata dalla Camera dei rappresentanti circa la possibilità di riutilizzo dati di vaccinazione al fine di condurre una ricerca sull’eccesso di mortalità durante la pandemia, l’Autorità ha stabilito – in via generale – che la fornitura di dati sanitari ai ricercatori è possibile e lecita  sia alla luce del GDPR che del CBS (Centraal Bureau voor de Statistiek, organizzazione ufficiale olandese responsabile per il coordinamento dei servizi statistici). L’Autorità ha tuttavia chiarito che il GDPR non si applica al trattamento dei dati sanitari delle persone decedute: per tale motivo, una volta che il soggetto titolare dei dati di vaccinazione sia morto,i dati dovranno tornare ad essere  soggetti al segreto professionale e alla riservatezza. 

GERMANIA – Il 10 febbraio 2023 il Consiglio federale (“Bundesrat”) ha annunciato la decisione di respingere il progetto di legge sulla protezione contro le denunce (“HinSchG”), a seguito della sua adozione da parte del parlamento tedesco (“Bundestag”), il 16 dicembre 2022. In particolare, il Bundesrat ha osservato che il governo federale e il Bundestag potranno convocare un comitato di mediazione per discutere un accordo con gli Stati federali.

BAVIERA – L’Autorità bavarese per la protezione dei dati (BayLfD) ha emesso una guida contenente indicazioni utili al fine di evitare violazioni di dati durante l’utilizzo di Microsoft Excel. L’Autorità, tra le altre cose, ha sottolineato l’importanza di (i) una corretta configurazione dell’applicazione, (ii) l’adozione di particolari precauzioni che riducano al minimo il rischio di divulgazione involontaria di dati personali e (iii) l’utilizzo dello strumento di revisione prima di condividere una cartella di lavoro.

AMBURGO – Interessante decisione di incostituzionalità della Corte territoriale in merito a una legge locale che consentiva l’utilizzo di un software (Palantir “Gotham”, di origine CIA) che permetteva alle forze di polizia di monitorare la “rete” di contatti di un determinato di soggetto, di fatto ponendolo sotto controllo senza necessità di imputargli un effettivo reato.

OMAN – Lo scorso 13 febbraio è entrato in vigore il Regio Decreto n.6/2022, di promulgazione del “Codice in materia di protezione dei dati personali”. Con i suoi 32 articoli, il Codice  allinea il sistema legislativo nazionale con le altre normative globali in materia di privacy. 

USA – La Securities and Exchange Commission (“SEC”) ha annunciato, il 14 febbraio 2023, di aver proposto una norma finalizzata a rivedere i regolamenti della SEC ai sensi del Privacy Act del 1974, dato che le norme attuali prevedono procedure per la presentazione delle richieste ai sensi della legge sulla privacy, comprese le richieste di accesso e modifica dei registri relativi alla persona che effettua la richiesta, e che le revisioni chiariranno, aggiorneranno e semplificheranno il linguaggio di diverse disposizioni procedurali.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Cristofer Maximilian grazie a Unsplash.

Potrebbero interessarti
Decreto “Trasparenza”/ 1: implicazioni privacy delle novità
Il prossimo “Privacy Shield”: avvenimenti, criticità e possibilità aperte
La 231 si applica anche alle società unipersonali
News #9/2023: la strada dei dati tra USA e UE è ancora lunga e complessa 
News #12/2023: anche OpenAI subisce un databreach e ChatGPT va offline senza preavviso
News #6/2023: il chatbot Replika bloccato dal Garante italiano per gravi rischi verso i minori
Nuove linee guida di Confindustria: focus sull’Organismo di Vigilanza
Privacy e tutela del consumatore – Considerazioni a margine dei “Digital Service” e “Digital Markets” Acts