News #44: il Data Markets Act è legge (e il 2 maggio 2023 sarà applicabile); colpa di organizzazione e modello 231 per la Cassazione; TwitterSaga, again..

Immagine di copertina di Andrea Vaiuso grazie a Unsplash.

PRIVACY

DIGITAL MARKETS ACT – Con la sua entrata in vigore lo scorso 1 novembre, il DMA diventa ufficialmente legge. La nuova legge sui mercati digitali si prefigge l’obiettivo di porre fine alle pratiche sleali poste in essere da quelle aziende definite #gatekeeper – quelle cioè che, fungendo da punto di incontro tra utenti commerciali e consumatori, godono di una posizione privilegiata che, sostanzialmente, consente loro di “dettare le regole del gioco”, col rischio di compromettere il delicato l’equilibrio dell’economia digitale. Tre i criteri fissati dal DMA per qualificare un’impresa come gatekeeper: (i) le dimensioni in termini di fatturato, (ii) il numero di utenti finali raggiunti (45 milioni su base mensile o almeno 10 mila su base annua) e (iii) l’aver raggiunto una posizione consolidata e duratura, attraverso il raggiungimento degli obiettivi fissati dal secondo criterio per almeno tre anni. Nel mirino dell’UE rientrano quindi sicuramente le #bigtech americane – come Facebook, Google, Amazon – nei confronti delle quali l’UE fissa specifici obblighi e divieti. Il DMA comincerà ad essere applicato il 2 maggio 2023: da tale momento i potenziali gatekeeper avranno due mesi per comunicare alla Commissione i propri risultati al fine di consentire una loro corretta qualificazione ai fini delle nuove regole comunitarie.

CODICE DI CONDOTTA SIC – Lo scorso 4 novembre il Garante per la protezione dei dati personali ha comunicato sulle proprie pagine di aver definitivamente approvato il testo del #Codicedicondotta degli operatori del settore di informazione creditizia. Il Codice, che entrerà in vigore il giorno successivo alla sua pubblicazione in Gazzetta Ufficiale, va a definire un pacchetto di garanzie e tutele finalizzate ad assicurare il corretto funzionamento del mercato creditizio e finanziario, nel rispetto dei diritti degli interessati. In quest’ottica il Codice specifica, tra le altre cose, le tipologie di dati che possono formare oggetto di trattamento, i tempi di conservazione e le modalità con cui mantenere informati gli interessati. Il nuovo Organismo di Monitoraggio (#OdM) è stato investito del compito di vigilare sull’osservanza delle regole fissate dal Codice e di tutelare i consumatori in caso di problemi con i Sistemi di informazione creditizia: a tale organo dovrà essere proposto reclamo in caso di violazioni, ferma restando la possibilità di adire il Garante, per tutto quanto di sua competenza.

“AI ACT” –  La presidenza ceca del Consiglio dell’Unione ha presentato agli altri paesi membri la versione finale del #AIACT, il nuovo strumento europeo finalizzato a regolamentare l’#intelligenzaartificiale in relazione al “rischio potenziale”, secondo quanto riporta Euractiv. Il testo, solo lievemente modificato rispetto alla precedente versione proposta qualche settimana fa, si sta dunque avviando verso l’approvazione definitiva da parte dei Ministri dell’UE, prevista per il prossimo 6 dicembre in occasione della riunione del Consiglio Telecomunicazioni.

AGGIORNAMENTO ISO – A fronte dei sempre più frequenti e sofisticati attacchi informatici e nell’ottica di una migliore gestione della sicurezza delle informazioni, l’Organizzazione Internazionale per la Standardizzazione (ISO) ha recentemente annunciato di aver rilasciato una nuova versione della sua ISO/IEC 27001.

Non è stato fornito nessun testo alternativo per questa immagine

D.LGS. 231

RINVIATA LA RIFORMA CARTABIA – Nel Consiglio dei Ministri del 31 ottobre il Governo ha approvato il D.L. 162/2022, con cui è stata posticipata l’entrata in vigore del D.Lgs. 150/2022 recante norme per l’efficienza del processo penale, nonché in materia di giustizia riparativa e disposizioni per la celere definizione dei procedimenti giudiziari. La riforma, pubblicata in Gazzetta Ufficiale lo scorso 17 ottobre, sarebbe dovuta entrare in vigore il 1° novembre, modificando il termine per la pubblica accusa per richiedere il decreto penale di condanna nei confronti dell’ente. Il D.L. 162/2022 ha invece rinviato di due mesi la data di efficacia delle modifiche, fissandola – al momento – al prossimo 30 dicembre.

REATI COLPOSI – E’ stata pubblicata la sentenza della Cassazione n. 39615/2022 sui reati colposi in materia 231, a seguito del ricorso presentato da una società, condannata sia in appello che in primo grado, per lesioni colpose patite da un proprio dipendente, rimasto schiacciato nel 2008 durante lavori all’interno di un silos. Per quanto riguarda la #colpa di #organizzazione, in primo luogo, essa deve essere specificamente provata in giudizio, avendo riguardo (i) al concreto assetto organizzativo adottato dall’impresa in tema di prevenzione e (ii) al nesso causale tra la carenza organizzativa e il verificarsi del reato presupposto. La sentenza dei giudici di legittimità, inoltre, ripercorre e sintetizza l’evoluzione giurisprudenziale in materia di norme sulla sicurezza sul lavoro in ambito 231, ponendo l’attenzione su (i) il c.d. criterio di #compatibilità, in virtù del quale, per potersi apprezzare l’interesse o il vantaggio dell’Ente, va effettuata una valutazione rispetto alla condotta e non all’evento; (ii) sulla #natura #soggettiva del criterio dell’interesse, dato che esso rappresenta l’intento del reo di procurare un beneficio all’ente mediante la commissione del reato, tale valutazione va fatta solo a priori; (iii) sul #vantaggio, che è un criterio oggettivo, da analizzare a posteriori perché legato all’effettiva realizzazione di un profitto in capo all’ente come conseguenza della commissione del reato.

DIRETTIVA PIF – È entrato ufficialmente in vigore ieri il D. Lgs. 156/2022 – pubblicato in Gazzetta Ufficiale lo scorso 22 ottobre, recante “Disposizioni correttive e integrative del decreto legislativo 14 luglio 2020, n.75, di attuazione della direttiva (UE) 2017/1371, relativa  alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale” – c.d. #correttivoPIF. Con i suoi sei articoli, il Decreto apporta modifiche a reati quali, tra gli altri, quelli #tributari previsti dall’art. 25-quinquiesdecies del D. Lgs. 231/2001.

COMMISSARIAMENTO E PATTEGGIAMENTO – Una società indagata per corruzione può, comunque, accedere all’applicazione della pena su richiesta delle parti (“patteggiamento”): lo ha affermato la Cassazione con la sentenza n. 40563/2022, stabilendo che il commissariamento non può essere inserito tra le sanzioni amministrative applicabili, ma rappresenta una misura diversa che non impedisce di patteggiare.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TRUFFE VIA SMS –  Sono state segnalate dalla Consob, da ultimo con la comunicazione del 31 ottobre, numerose truffe via SMS, che fanno indebitamente leva sulla notorietà del marchio #Amazon per estorcere ai risparmiatori denaro o dati personali, e prospettano opportunità di guadagno irrealistiche legate al presunto acquisto di azioni della piattaforma e-commerce. La Consob precisa che le truffe, non realmente riconducibili ad Amazon, risultano finalizzate all’acquisizione di dati personali e/o somme di denaro degli utenti. Amazon stessa conferma l’accaduto, e precisa che le comunicazioni via e-mail, sms o telefono da parte di Amazon non includono mai richieste di informazioni personali e/o proposte di investimenti finanziari finalizzati ad opportunità di guadagno.

MULTA A MEDIAWORLD PER PRATICHE COMMERCIALI INGANNEVOLI – L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha sanzionato Mediaworld per aver messo in atto una prassi commerciale nei confronti di prodotti IT particolarmente desiderati dai consumatori (smartphone, pc, iPad, playstation, smart tv) che, in media, presentano un prezzo non irrisorio e che vengono di frequente esposti al pubblico in “offerta”. Secondo l’AGCM, infatti, nei volantini e nei cartelli in negozio la società ha utilizzato modalità ingannevoli per promuovere tali prodotti, spesso presentati come in promozione e invece abbinati e venduti insieme ad un prodotto accessorio, facendo pagare così al consumatore un prezzo superiore e diverso rispetto a quello pubblicizzato.

TWITTER SAGA – Dopo i vertici societari, tocca a dipendenti: #Musk continua a licenziare. Dai dati disponibili online pare che ad essere colpiti dalla nuova mossa di Mr. Tesla sarebbero oltre 3 mila persone (ben il 50% dei dipendenti!). A colpire non è solamente il merito della scelta – che, secondo Musk, sarebbe “obbligata” a fronte delle perdite che stanno investendo la società – quanto, soprattutto, le modalità di comunicazione prescelte. È stata infatti una semplice e-mail a comunicare ai dipendenti le sorti della loro permanenza in #Twitter. I lavoratori licenziati non hanno comunque aspettato a fare la loro mossa: una class action è già stata presentata al Tribunale Federale di San Francisco per violazione della legge californiana in materia di licenziamento (in spregio all’obbligo di preavviso di licenziamento fissato a 60 giorni, Twitter ha, immediatamente dopo la comunicazione, bloccato gli account dei dipendenti coinvolti). La gestione del caos con i dipendenti si aggiunge, per altro, alla delicata questione dei rapporti della società con i suoi investitori, molti dei quali – come L’Oreal e Volkswagen – cominciano ad abbandonare la nave.

DATA ACT – E’ stato pubblicato il report dell’European Telecommunications Network Operators (“ETNO”) sul #impatto del Data Act – la proposta di regolamento relativo a norme armonizzate in materia di accesso equo ai dati e di loro uso – sugli operatori di telecomunicazioni europee. Lo studio #analizza come le nuove regole proposte influenzeranno i modelli di business, sia quelli già esistenti che quelli emergenti, nei mercati B2B, B2C, business-to-government (“B2G”), cloud e edge computing. Le fonti di dati per realizzare lo studio sono state raccolte attraverso un sondaggio e varie interviste.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

UK GDPR vs. UE GDPR – Dal 2 al 4 novembre alcuni eurodeputati membri della LIBE (Commissione per le libertà civili) sono volati a Londra per discutere con alcune importanti figure britanniche (tra cui funzionari di governo e membri delle Camere) delle possibili conseguenze della riforma in materia di protezione dei dati personali. In particolare, la missione esplorativa consentirà all’Unione di valutare l’effettiva adeguatezza dell’UK alla luce del GDPR e del LED (direttiva in materia di trattamento dei dati personali da parte delle autorità competenti per finalità di prevenzione, investigazione e repressione di reati).

GIAPPONE – Il Paese punta a un deciso rafforzamento della propria unità di difesa informatica: secondo quanto reso noto in un comunicato del ministero della Difesa, Tokyo rinforzerà notevolmente il proprio organico di esperti in materia di cybersecurity, puntando a contare anche su più di cinquemila addetti militari specializzati, entro il 2027.

SPAGNA – L’Autorità garante spagnola, AEPD, si è recentemente pronunciata nei confronti di una società per il trattamento di dati personali di soggetti minori (infraquattordicenni) in violazione delle disposizioni #GDPR nonché della legge locale in materia di servizi della società dell’informazione e del commercio elettronico (LSS). Dai rilievi dell’Autorità sarebbe in particolare emerso, tra le altre cose, che la Società (i) raccoglieva dati personali in assenza di consenso, (ii) procedeva a conservarli senza prevedere un idoneo tempo di conservazione, (iii) forniva le informazioni di trattamento esclusivamente in inglese (lingua non ufficiale del Paese e, in quanto tale, di non facile comprensione per la gran parte degli utenti). Inoltre, in violazione dell’art. 8 del Regolamento, le pagine web della società risultavano sforniti dei meccanismi idonei a raccogliere il consenso dei genitori o tutori dei minori. Alla luce di tali gravi violazioni, l’AEPD ha irrogato alla società una importante sanzione, di oltre mezzo milione di euro.

PERÙ – L’Autorità garante peruviana, ANPD, ha di recente approvato la “Guida all’implementazione delle Clausole Contrattuali Tipo per il trasferimento dei dati personali”, strumento che consentirà un trasferimento di dati personali sicuro ed in linea con gli standard internazionali.

INDIA – Pubblicate nella Gazzetta Ufficiale le nuove modifiche alle norme sugli intermediari IT,  che puntano a rafforzare i requisiti di due diligence e a garantire la responsabilità dei social media e di altri intermediari online.

USA – Il 31 ottobre la Cybersecurity and Infrastructure Security Agency (“CISA”) ha pubblicato due schede che illustrano le minacce contro i sistemi che utilizzano l’autenticazione a più fattori (“MFA”). La CISA ha esortato tutte le organizzazioni a implementare l’autenticazione multifattoriale resistente al phishing o la corrispondenza dei numeri come misura di mitigazione provvisoria.

UCRAINA – È stato presentato al Parlamento ucraino un progetto di legge sulla protezione dei dati, volto a disciplinare il trattamento dei dati personali, nonché di altri tipi di dati, comprese le informazioni biometriche. La legge si rende necessaria soprattutto in quanto la legislazione attuale non garantisce pienamente la protezione dei dati personali in Ucraina, alla luce dello sviluppo degli standard internazionali in questo settore.