News #49: la Corte di Giustizia UE dà torto a WhatsApp; maxi-sanzione italiana a Clubhouse; dal Governo novità su whistleblowing e concorrenza
Immagine di copertina di Clint Patterson grazie a Unsplash.
PRIVACY
WHATSAPP vs EDPB – La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata nella causa “WhatsApp Ireland v. EDPB”, promossa dalla società per vedere annullata una decisione vincolante (e, di conseguenza, la sanzione ricevuta). Il 28 luglio 2021, infatti, l’EDPB aveva adottato una decisione vincolante in virtù della quale la DPC aveva multato la WhatsApp per ben 225 milioni di euro. La sentenza – la prima mai pronunciata dalla Corte su una domanda di annullamento di una decisione vincolante – respinge le pretese di WhatsApp in quanto il (i) ricorso è stato proposto contro un provvedimento che, ex art. 263 del TFUE, non è impugnabile e (ii) WhatsApp non è direttamente interessata dalla decisione contestata. La CGUE, al contempo, conferma che una tale questione può essere sollevata dinanzi ad un tribunale nazionale a seguito della relativa presa di posizione della Data protetion authority locale. Spetterà quindi ad un tribunale irlandese verificare la legittimità della decisione resa a livello nazionale – in conseguenza del “One Stop Shop” previsto dal GDPR – e, se necessario, presentare una domanda di pronuncia pregiudiziale alla CGUE.
CLUBHOUSE – In seguito ad una istruttoria avviata d’ufficio nei confronti di #ClubHouse – social network di chat audio formata da “stanze”, talvolta “su invito” – il Garante per la protezione dei dati personali ha recentemente sanzionato (per ben 2 milioni di euro) la società Alpha Exploration Co., gestore della piattaforma. Alla base della decisione la scoperta da parte dell’Autorità di numerose #violazioni del GDPR, normativa alla quale Alpha Exploration Co. asseriva di non essere soggetta in virtù del suo essere statunitense ed in mancanza di stabilimento nel territorio dell’UE. Oltre alla #sanzione (che tiene conto della gravità delle violazioni e del numero – vastissimo – di interessati coinvolti: 16 milioni globali e circa 90 mila in Italia) il Garante ha anche prescritto una serie di #misure quali, tra le altre, l’identificazione di idonee basi giuridiche per le proprie attività di trattamento e la nomina di un rappresentante in uno Stato UE, con conseguenza indicazione del relativo indirizzo e-mail. Alla società è stato ora concesso un termine di 30 giorni per dare esecuzione alle prescrizioni del Garante.
DIRITTO ALL’OBLIO – La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata in materia di diritto all’ #oblio. Attraverso una interpretazione dell’art. 17 GDPR la Corte ha stabilito che il diritto a richiedere la deindicizzazione di informazioni false o inesatte sul proprio conto è legittima anche quando il richiedente non abbia a disposizione una “prova forte” come lo è una sentenza – che rimane tuttavia necessaria nei casi di inesattezza non manifesta – purchè (chiaramente) fornisca informazioni esatte e puntuali al fine di suffragare la propria richiesta.
COMPARAZIONE PRIVACY FRA PAESI ASIATICI – Il Future of Privacy Forum (“FPF”) e l’Asian Business Law Institute (“ABLI”) hanno pubblicato il report “Balancing organizational accountability and privacy self-management in Asia-Pacific”, che mette a confronto i requisiti per il trattamento dei dati personali in diverse giurisdizioni della zona Asia-Pacifico. Il report analizza, in prospettiva comparata, le basi giuridiche per il trattamento dei dati personali nei diversi ordinamenti della zona. Tra le osservazioni del report, si nota il progressivo abbandono della base giuridica del consenso, a favore di alternative che promuovano la responsabilizzazione delle organizzazioni che trattano dati personali.
TUTELA DEGLI INTERESSATI – Il Garante per la protezione dei dati personali ha recentemente pubblicato una scheda informativa che illustra le caratteristiche e le modalità di utilizzo di segnalazioni e reclami ( cioè degli strumenti posti dal GDPR nelle mani dei soggetti interessati per assicurare una loro adeguata protezione).
D. LGS. 231 E PENALE
WHISTLEBLOWING – Lo scorso 9 dicembre è stata annunciata l’approvazione, da parte del Consiglio dei Ministri, del decreto legislativo necessario per l’attuazione delle direttiva UE 2019/1937 (cd. Direttiva #Whistleblowing). Il decreto permetterà finalmente all’Italia – uno dei pochi Paesi membri rimasti fino a questo momento “indietro” – di adeguarsi alla nuova normativa europea dettata in materia di protezione di tutti quei soggetti segnalatori di minacce o pregiudizi al pubblico interesse di cui siano venuti a conoscenza in ragione e nell’ambito della propria attività professionale.
COLPA DI ORGANIZZAZIONE – La Corte di Cassazione si è recentemente pronunciata in materia di #sicurezza e infortuni sul luogo di lavoro. Con la sentenza n. 45131 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) i giudici hanno specificato alcuni aspetti della cd. #colpadiorganizzazione, chiarendo che per tale deve intende il rimprovero che può essere mosso nei confronti di una società per non aver ottemperato agli #obblighi che impongono l’adozione di tutte le #cautele necessarie affinché non si realizzi la commissione dei reati previsti dalla normativa 231. Gli Ermellini hanno inoltre sottolineato la necessità che tali cautele vengano opportunamente #documentate – insieme ai rischi e alle misure idonee per contrastarli – in apposito documento.
NE BIS IN IDEM – La Procura di Milano ha recentemente #archiviato un procedimento penale avviato a carico di una società indagata per il reato 231 di dichiarazione fraudolenta in quanto la questione era già definita per ravvedimento operoso in sede tributaria. Infatti, rifacendosi alla giurisprudenza europea e nazionale in materia di #nebisinidem, i pubblici ministeri – pur in mancanza nel corpo del Decreto 231 di una norma che impone di tenere in considerazione sanzioni eventualmente già irrogate – hanno convenuto che la prosecuzione del procedimento avrebbe portato la società ad essere, di fatto, destinataria di una sanzione #sproporzionata.
LA RESPONSABILITA’ DI CONTROLLARE IL CONSULENTE – La Corte di Cassazione con l’ordinanza n. 35612/2022 ha accolto un ricorso dell’Agenzia delle Entrate e ha chiarito un importante punto in tema di sanzioni amministrative tributarie: il contribuente non è considerato esente dalla responsabilità di presentazione regolare delle dichiarazioni fiscali a meno che l’inadempimento al pagamento di un tributo sia imputabile esclusivamente ad un soggetto terzo (di solito, l’intermediario a cui è attribuito l’incarico di provvedere ai pagamenti, di gestire la contabilità ed effettuare le dichiarazioni fiscali). infatti, ai fini dell’esclusione della responsabilità per difetto dell’elemento soggettivo, grava proprio sul contribuente la prova dell’assenza assoluta di colpa, ed egli deve dimostrare di versare in stato di ignoranza incolpevole e non superabile con l’ordinaria diligenza, e non si può ritenere esente da responsabilità il contribuente che non abbia vigilato sul professionista al quale erano affidate le incombenze fiscali.
MERCATI DIGITALI
PROTEZIONE DEI CONSUMATORI – Il Consiglio dei Ministri di giovedì 1° dicembre 2022 ha approvato il Decreto Legislativo riguardante la modernizzazione delle norme europee sulla protezione dei consumatori. Nello specifico, il Decreto Legislativo di attuazione della direttiva (UE) 2019/2161 del Parlamento europeo e del Consiglio del 27 novembre 2019, che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del Parlamento europeo e del Consiglio, si pone l’obiettivo di una migliore applicazione e una modernizzazione delle norme dell’Unione relative alla protezione dei consumatori, ampliando la #tutela dei #consumatori nel caso di contratti con clausole vessatorie, di condotte commerciali scorrette, di concorrenza sleale o di comunicazioni commerciali non veritiere con conseguente modifica della disciplina delle sanzioni pecuniarie amministrative. Tra le #novità: (i) è previsto che gli annunci di riduzione del prezzo dovranno indicare quello praticato nei 30 giorni precedenti; (ii) sarà elevato da 5 a 10 milioni il limite massimo edittale relativo alla sanzione irrogabile dall’Autorità garante della concorrenza e del mercato (“AGCM”) in caso di pratica commerciale scorretta; (iii) sarà consentito al consumatore di adire il giudice ordinario in caso di pratiche commerciali sleali; (iv) verrà prevista la sanzione da 5.000 euro a 10 milioni per violazioni in materia di clausole vessatorie.
ACCORDO AMAZON / ANTITRUST UE – Il Financial Times riporta che si sarebbe raggiunto un accordo tra il colosso dell’eCommerce e l’autorità UE in merito ad alcune delle più redditizie pratiche commerciali poste in essere da Amazon: la principale, la c.d. “buy box” che comportano un importante aumento dei ricavi e delle vendite, ma sfavoriscono la concorrenza con meccanismi come il “lock-in” dei clienti Prime alla logistica di Amazon, a discapito dei venditori indipendenti. L’annuncio ufficiale dell’intesa è previsto, si riferisce, entro il 20 dicembre prossimo, e costituirà una prima base di confronto rispetto alla normativa del Digital Markets Act di recente approvazione.
SANZIONE AGCM – L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha sanzionato Vinted, società operante nel settore della vendita online di articoli – principalmente di abbigliamento – di seconda mano, per pratiche commerciali scorrette legate alla pubblicità ingannevole. Oggetto della contestazione sono stati infatti dei claim quali, ad esempio “vendita senza commissioni”, o ancora, “zero commissioni, zero limiti”, i quali – secondo l’AGCM – celavano una serie di costi addebitati in realtà agli utenti per ogni transazione, che rendevano il servizio sostanzialmente non gratuito, come invece pareva dagli spot pubblicitari.
NEWS DAL MONDO
FRANCIA – Il CNIL (Garante francese) ha richiesto commenti pubblici sul progetto di Raccomandazioni sulle Modalità di attuazione dei dispositivi di monitoraggio a distanza per gli esami online. A fronte della tendenza sempre in crescita di attività didattiche online – e, in particolare, di esami – il CNIL ha sottolineato l’importanza e la necessità a che la privacy degli studenti non venga compressa in maniera sproporzionata. L’implementazione di sistemi di monitoraggio a distanza, infatti, risulta particolarmente invasiva e pertanto si richiede l’assunzione, da parte dell’istituto, della responsabilità del relativo trattamento di dat personali. Ulteriori raccomandazioni riguardano la scelta della corretta base giuridica
MOZAMBICO – E’ stata pubblicata una proposta di legge sulla Cybersecurity con gli obiettivi di (i) garantire la sicurezza di cittadini e istituzioni e (ii) assicurare la protezione dei sistemi informatici e delle infrastrutture fondamentali del cyberspazio. Se la proposta diventerà legge, essa fonderà il Consiglio Nazionale per la Cybersicurezza in Mozambico, un organismo centrale e responsabile del coordinamento delle politiche, delle strategie e delle linee guida sul tema, di concerto con il Ministro dell’informazione e della comunicazione tecnologica. La proposta di legge è attualmente in fase di consultazione pubblica.
BRASILE – E’ stato approvato dal Senato del Brasile il nuovo progetto di quadro normativo sull’intelligenza artificiale (“IA”) da parte della Commissione di giuristi istituita per il tema. Il progetto si fonda su tre pilastri centrali: (i) la garanzia dei diritti delle persone interessate dal sistema, (ii) la classificazione del livello di rischio e la previsione di misure di governance rivolte ad aziende che gestiscono sistemi di IA.
CINA – Il Comitato Tecnico nazionale per la standardizzazione della sicurezza delle informazioni (“TC260”) ha richiesto una consultazione pubblica, aperta fino al 30 gennaio 2023, sulla proposta di legge relativa alla sicurezza delle reti Internet delle aziende. In particolare, il TC260 ha evidenziato che la bozza dello standard è una parte di una serie, pensata per garantire (i) la sicurezza dei dati, (ii) la sicurezza della rete e (iii) i requisiti tecnici di protezione dei dati. La proposta delinea i processi dei requisiti di sicurezza dei dati di Internet delle industrie, compresa la sicurezza dei dati e i requisiti di protezione della sicurezza.
ARGENTINA – L’autorità argentina per la protezione dei dati personali (“AAIP”) ha pubblicato una risoluzione che classifica e stabilisce quali sono le violazioni minori, gravi e molto gravi nell’ambito dell’applicazione della legge locale sulla protezione dei dati personali. Il principale parametro di classificazione è la gradualità delle sanzioni. Tra le violazioni più gravi sono comprese: (i) dichiarare dati falsi all’atto dell’iscrizione all’Anagrafe Nazionale; (ii) trattare i dati personali senza un’adeguata base giuridica; (iii) raccogliere dati personali senza conferire agli interessati un’informativa adeguata; (iv) raccogliere ed elaborare dati particolari senza la dovuta anonimizzazione; (v) trasferire dati personali in paesi senza livelli adeguati di protezione.
REGNO UNITO – L’Information Commissioner’s Office (“ICO”) ha annunciato un nuovo hub relativo al marketing diretto, destinato alle organizzazioni che vogliono pianificare e fornire campagne di marketing efficaci rispettose della privacy dei soggetti interessati e della normativa applicabile in materia. L’Hub specifica cosa dovranno fare le organizzazioni per adeguarsi alla legge, e fornisce raccomandazioni di buone pratiche per farlo. Tra le indicazioni: (i) l’identificazione delle pratiche di marketing diretto; (ii) la pianificazione attraverso un approccio di protezione dei dati by Design e fin dall’inizio; (iii) raccolta di informazioni per il marketing diretto in modo equo e chiaro, spiegando alle persone come verranno utilizzate le loro informazioni; (iv) rispetto delle preferenze delle persone, incluso il diritto assoluto di opporsi o rinunciare al marketing diretto in qualsiasi momento.
SVIZZERA – Il Centro nazionale per la sicurezza informatica (“NCSC”) diventerà un nuovo ufficio federale situato all’interno del Dipartimento federale della difesa, della protezione della popolazione e dello sport (“DDPS”). Il Consiglio federale svizzero ha infatti incaricato il DDPS di definire le strutture del nuovo ufficio federale entro la fine di marzo 2023. L’NCSC ha sottolineato che continuerà ad assumere i compiti fondamentali in materia di cybersecurity, che comprendono (i) il sostegno alle imprese e al pubblico in generale nella gestione degli incidenti informatici, (ii) la creazione di un ufficio nazionale di segnalazione e di un punto di contatto, (iii) la diffusione di informazioni e avvisi sulle minacce informatiche e sulle misure di protezione, (iv) la sensibilizzazione del pubblico in generale e la protezione dell’Amministrazione federale.
ROMANIA – L’ANSPDCP (Autorità garante rumena) ha recentemente pubblicato delle linee guida indirizzate agli enti pubblici in materia di uso legittimo della #videosorveglianza negli spazi pubblici. L’Autorità, in particolare, ha sottolineato che anche gli enti pubblici, in qualità di titolari del trattamento, devono assicurare un trattamento di dati sicuro, adeguato e limitato a quanto effettivamente necessario per il perseguimento delle finalità individuate. In accordo con una sua precedente decisione (n.174/2018) l’Autorità ha poi ricordato la necessità di effettuare una DPIA quando si vuole porre in essere un trattamento di dati su larga scala mediante tecnologie, come appunto quella del #riconoscimentofacciale.