News #38: Google Analytics bocciato anche in Danimarca; focus su 231 e infortuni sul lavoro; concorrenza e GDPR si intrecciano in UE
Immagine di copertina di David Köhler grazie a Unsplash.
PRIVACY
DANIMARCA – Datatilsynet, autorità danese in materia di protezione dei dati personali, si è allineata con una recentissima pronuncia alle posizioni di altre autorità europee (tra le altre quelle di Austria, Francia e Italia) propendendo per la #illegalità di Google Analytics alla luce dei trattamenti effettuati che comportano, costantemente, un trasferimento di dati personali verso paesi non adeguati. Anche le società danesi si trovano dunque al fatidico bivio: implementare misure aggiuntive, allo scopo di rendere “legale” lo strumento (come, ad esempio, la psedunimizzazione), o smettere definitivamente di utilizzarlo. In aggiunta, l’autorità si è soffermata anche sulle misure tecniche previste per GA4, sostenendo che a prima analisi esse siano comunque #inadeguate a garantire trattamenti corretti.
ELEZIONI – Il Garante per la protezione dei dati personali ha inviato una richiesta urgente di chiarimenti a Facebook in merito alle attività da questa intraprese in occasione delle elezioni politiche dello scorso 25 settembre. La piattaforma aveva infatti iniziato una campagna – nei confronti dei soli utenti maggiorenni – volta a disincentivare l’astensionismo ed invogliare i suoi utenti al voto. Tuttavia, memore della sanzione comminata per lo scandalo “Cambridge Analytica” e del progetto “Candidati” avviato per le scorse elezioni politiche del 2018, il Garante preferisce vederci chiaro: le informazioni relative agli orientamenti politici, infatti, rientrano nel novero dei dati personali “particolari”di cui all’art. 9 GDPR.
PLENARIA EDPB – Durante l’ultima riunione plenaria, il Comitato Europeo per la Protezione dei Dati (EDPB) ha discusso e pubblicato tre interessanti documenti: (1) la lettera aperta sul rifiuto di approvazione del proprio budget 2023 da parte della Commissione (di cui abbiamo già dato conto nella newsletter #37); (2) uno statement sul “EU Police Cooperation Code” (molto critico e che richiede interventi); (3) un parere molto interessante sul “European Privacy Seal”, schema di certificazione inoltrato da un ente tedesco (tra l’altro, uno dei primissimi): l’EDPB non sembra particolarmente positivo sul sistema proposto, sollevando diversi punti critici e individuando numerosi aspetti da migliorare. Al garante locale – tedesco – l’ultima parola.
RIFORMA PROCESSO PENALE – Il Garante per la protezione dei dati personali ha recentemente dato il proprio via libera alla riforma del processo penale (cd. #riformaCartabia), fornendo al contempo importanti suggerimenti in materia di protezione dei dati personali. In ragione della natura dei dati coinvolti – trattasi infatti di dati giudiziari, dunque particolari ex art. 9 GDPR – si è resa evidente la necessità di maggiori tutele. Tra i suggerimenti, la sottrazione delle notificazioni avvenute tramite annunci su internet alla indicizzazione sui motori di ricerca (con relativa fissazione del termine massimo di presenza del contenuto online) e due nuove forme di diritto all’oblio: la prima, che agisce in maniera preventiva, finalizzata a garantire la deindicizzazione dei provvedimenti giudiziari in modo tale da impedire – a monte – che nomi di imputati e indagati siano oggetto di ricerca, e la seconda, che agisce invece ex post, consentirebbe ai soggetti coinvolti di richiedere la deindicizzazione dei propri dati personali dai provvedimenti.
DATA RETENTION – Lo scorso 20 settembre la Corte di Giustizie dell’Unione Europea (CGUE) ha emesso la propria decisione nelle cause riunite C-793/19 e C-794/19 (rispettivamente SpaceNet e Telekom Deutschland). Con la sentenza la Corte ha ribadito che non è consentita, alla luce della legge dell’Unione, una conservazione generalizzata e indiscriminata dei dei dati relativi al traffico e all’ubicazione delle telecomunicazioni dei clienti, salvo che in caso di grave minaccia alla sicurezza nazionale. La decisione pare dunque mettere il bastone tra le ruote alla #TKG, la legge tedesca in materia di telecomunicazioni, che prescrive proprio tale obbligo agli operatori del settore della comunicazione elettronica.
- 231
INFORTUNISTICA – Con la sentenza n. 33976 (consultabile gratuitamente per gli iscritti all’associazione AODV231) la Corte di Cassazione è tornata a pronunciarsi in materia di morte e lesioni del lavoratore. Nel caso sottoposto all’attenzione della Corte, un lavoratore aveva riportato gravi lesioni in seguito ad una scivolata causata dal pavimento bagnato (cadendo aveva infatti inserito la mano all’interno di una vasca di raccolta dell’uva, priva della prescritta griglia di protezione). Respingendo il ricorso presentato dalla società e dal suo presidente e confermando le condanna nei loro confronti, i giudici di piazza Cavour hanno stabilito che ai fini dell’esclusione del vantaggio non rileva che il risparmio di spesa sia esiguo rispetto alla capacità patrimoniale della società. Infatti, sebbene un esiguo risparmio di spesa può in via generale escludere la responsabilità dell’ente, si richiede che tale risparmio di spesa non insista su un’area di rischio di rilievo.
INFORTUNISTICA/2 – Con la sentenza n. 34943 dello scorso 21 settembre la Corte di Cassazione ha stabilito che una società non risponde del reato di lesioni colpose commesso dal soggetto responsabile del servizio di prevenzione e protezione aziendale. La scriminante opera nei confronti dell’ente alla duplice condizione che (i) il fatto sia imputabile ad una figura sottoposta alla direzione dei vertici, e che (ii) l’ente abbia in precedenza adottato un modello di organizzazione, gestione e controllo (cd. MOGC). Infatti, quando una fattispecie criminosa sia ascrivibile ad un soggetto sottoposto, l’adozione di un modello libera la società da ogni responsabilità 231 anche nel caso in cui il reato si sia reso possibile dalla violazione degli obblighi di direzione che gravano sui vertici.
AUTORICICLAGGIO – Affinché possa configurarsi il reato di autoriciclaggio è necessario che la condotta, nell’esatto momento della sua esecuzione, sia concretamente idonea a ostacolare la provenienza illecita dei beni. In tal senso si è pronunciata la Corte di Cassazione con sentenza n. 32571 (consultabile gratuitamente per gli iscritti all’associazione AODV231). Il criterio da seguire, dunque, per una corretta individuazione della condotta dissimulatoria è quella della idoneità ex ante.
- MERCATI DIGITALI
CONCORRENZA E GDPR – Lo scorso 20 settembre l’avvocato generale della Corte di Giustizia dell’Unione, Athanasios Rantos, ha emesso un importantissimo parere circa la possibilità che una Autorità garante della concorrenza possa legittimamente pronunciarsi in merito al rispetto o alla violazione del GDPR. Il parere, che si inserisce in un contesto più ampio – la causa intentata da Meta Platforms Inc. nei confronti della Bundeskartellamt, autorità per la concorrenza tedesca – stabilisce che sebbene non sia compito di un’autorità garante della concorrenza pronunciarsi sul rispetto del GDPR, è sua facoltà (seppur in via meramente incidentale) valutare se le pratiche commerciali poste in essere dagli operatori del settore siano compatibili col Regolamento. Secondo l’avvocato generale, infatti, il fatto che una pratica sia conforme o meno al GDPR è un importante indizio per stabilire se la pratica in questione costituisca una violazione delle regole della concorrenza.
CYBERSECURITY – Per contrastare il numero sempre in crescita di attacchi hacker – soprattutto nei confronti di istituzioni statali – il D.L. n.115/22 (cd. Decreto Aiuti) ha introdotto la possibilità di compiere operazioni cibernetiche offensive. La possibilità di ricorrere a tale strumento, previsto come extrema ratio, è attribuita esclusivamente al corpo dei servizi segreti e a due condizioni: che ci si trovi in una situazione di crisi o emergenza (con potenziali risvolti sulla sicurezza nazionale) e che, appunto, non sia possibile fronteggiare diversamente la situazione, ad esempio attraverso azioni di mera resilienza.
- NEWS DAL MONDO
STATE OF PRIVACY ’22 – Ha avuto risonanza mondiale l’evento organizzato dal Garante italiano a Napoli, in cui si sono riuniti i principali stakeholder in materia di protezione dei dati, organizzati in tavoli tematici dedicati alle più importanti sfide del presente e del futuro di questo settore. Si attende ora, dopo gli annunci di comunicazione, la pubblicazione dei lavori e dei risultati di questi incontri, al di là delle immagini dei partecipanti.
FATCA e GDPR – Fabien Lehagre, presidente della Association des Américans Accidentels il cui scopo è difendere i cittadini (americani non) dagli effetti dannosi derivanti dalla extraterritorialità della legge americana, ha recentemente inoltrato una lettera al presidente dell’EDPB con lo scopo sollecitare i Garanti europei ad effettuare una valutazione di compatibilità tra gli accordi sottoscritti dagli stati membri con gli Stati Uniti – c.d. FATCA (Foreign Account Tax Compliance Act) – e il GDPR. Tali accordi, finalizzati a identificare tutte le persone soggette all’imposizione fiscale statunitense che detengono conti in Europa, inevitabilmente comportano un trasferimento di dati. Indispensabile, dunque, valutare caso per caso la compatibilità del FATCA, soprattutto a fronte delle ormai note complicazioni in materia di trasferimenti di dati verso gli USA. Al momento,tuttavia, solamente il garante slovacco ha effettuato una seria valutazione, finendo per dichiarare l’accordo non adeguato alle garanzie richieste dall’art. 46 GDPR.
GERMANIA – L’ufficio federale tedesco per la sicurezza delle informazioni (“BSI”) ha pubblicato una guida per la gestione della cybersecurity da parte delle piccole e medie imprese, destinato a supportare con un approccio “easy-to-use” il miglioramento delle infrastrutture e l’organizzazione a tutela verso attacchi dall’esterno.
ROMANIA – Il Garante rumeno (ANSPDCP) ha irrogato una sanzione di circa 40mila lei (equivalenti a 8 mila euro) un responsabile del trattamento gestore di una piattaforma immobiliare per divulgazione non autorizzata di dati personali riconducibili a quasi 200mila interessati. Alla base della sanzione, dunque, la mancata implementazione da parte del responsabile delle misure tecniche ed organizzative necessarie per garantire un adeguato livello di sicurezza dei dati personali.
HONG KONG – Il Garante per la protezione dei dati personali di Hong Kong (PCPD) ha recentemente annunciato di aver effettuato un arresto nei confronti di un sospettato del reato di doxxing. Secondo le informazioni attualmente a disposizione, l’imputato – per lungo tempo dipendente e collaboratore del denunciante – avrebbe diffuso illecitamente informazioni personali dell’ex socio, anche a mezzo di manifesti affissi sui muri dell’edificio degli uffici. L’imputato, attualmente in custodia, rischia una multa di 1 milione di HKD (parti a poco più di 120 mila euro) e la reclusione per cinque anni: il reato di doxxing – ossia la diffusione pubblica di dati personali e privati al fine di arrecare un danno all’interessato – è infatti considerato (a buona ragione) particolarmente grave.
BERLINO – Il Commissario di Berlino, autorità locale in materia privacy, ha inflitto una sanzione di oltre 500 mila euro ad una società per violazione del GDPR, riferisce DataGuidance. La sanzione si ricollega al conflitto di interessi emerso in seguito alla nomina del responsabile della protezione dei dati personali: dalle indagini è infatti emerso che il responsabile della protezione dei dati già ricopriva il ruolo di amministratore di due società del medesimo gruppo – società che, in concreto, aveva il compito di trattare dati personali proprio per conto della società sanzionata, nella quale l’amministratore era chiamato a svolgere le funzioni di DPO.