News #8/2023: linee guida EDPB, indicazioni sul DSA, Spid a rischio

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • potrebbe non rinnovarsi la convenzione di SPID, spegnendo così 33 milioni di identità digitali italiane;
  • nuova newsletter del Garante e linee guida EDPB: molto da leggere;
  • #privacynotincluded è uno studio della Mozilla Foundation su quanto le app dichiarino all’utente (male, poco, in modo opaco) sul trattamento di dati;
  • pubblicato un interessante toolbox di ENISA per armonizzare gli strumenti di risk management;
  • importante decisione della Cassazione in materia di autoriciclaggio.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Anche in onore del libro consigliato qui sotto, un profilo da seguire per la ricchezza di spunti e la personale (e competentissima) visione del mondo dei dati personali è quello di Francesco Pizzetti, professore di Diritto Costituzionale e già Presidente dell’Autorità Garante.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • A Love Supreme (Suite) – John Coltrane (1965)
Non è stato fornito nessun testo alternativo per questa immagine

IL LIBRO DELLA SETTIMANA

“LA PRIVACY NELL’ERA DIGITALE” – Il nuovo volume dal titolo “La privacy nell’era digitale”  racconta la storia dell’evoluzione di diritti e tecnologie dal 1997 al 2022, e apre una prospettiva sugli scenari futuri. Il libro ricostruisce la storia dell’Autorità Garante attraverso i discorsi dei suoi #Presidenti, dalla sua istituzione nel 1997, e ripercorre l’evoluzione di un’Autorità indipendente che, nelle parole del presidente Stanzione, “ha saputo adeguare la propria azione alle esigenze sociali emergenti e alle istanze di tutela manifestate dai cittadini”. Il libro sottolinea anche le sfide poste all’Autorità nel mondo digitale di oggi: innanzitutto quella di distinguere in rete l’interlocutore umano dall’interlocutore-macchina e la necessità di una rapida risposta della normative alla rapidissima evoluzione della tecnologia.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

IDENTITA’ DIGITALE – Il Governo ha annunciato di voler unificare i servizi di CiE e SPID in un #nuovo sistema pubblico di #identitàdigitale. Giovedì 23 febbraio, presso il Dipartimento della Trasformazione digitale, si è così svolto il primo incontro tra il sottosegretario all’Innovazione e gli esperti del tavolo tecnico nominato per valutare la fattibilità del progetto. L’intenzione del Governo è quello di #unificare i servizi esistenti di identità del cittadino in un’unica applicazione, in linea con il progetto elaborato dalla Commissione europea che mira a rendere operativo un sistema comune europeo di identità elettronica. Tuttavia, come spiega in dettaglio questo articolo di Wired, il Governo ha parallelamente deciso di non rinnovare (per ora) le #convenzioni ai gestori Spid, in scadenza il prossimo #23aprile. Problemi di costi, ma (potenzialmente) grandi problemi per tutti noi cittadini, che potremmo ritrovarci senza uno strumento molto importante per l’accesso al digitale, davvero tra pochi giorni.

COMMENTI PUBBLICI DSA – Lo scorso 17 febbraio la Commissione europea ha annunciato di aver avviato una consultazione pubblica sulle procedure di applicazione del Digital Service Act (#DSA). In particolare, il regolamento di esecuzione del DSA stabilisce che la Commissione ha il potere di ordinare ai fornitori di piattaforme o motori di ricerca molto grandi – quelli cioè che raggiungo il 10% della popolazione dell’UE o 45 milioni di utenti mensili – di (i) fornirle l’accesso a banche dati  e algoritmi e (ii) identificare le informazioni coperte dal segreto aziendale o comunque riservate. Il termine ultimo entro il quale inviare commenti è fissato al 16 marzo 2023. I commenti possono essere inviati a questo link. Ricordiamo, inoltre, che dallo scorso 17 febbraio è ufficialmente in vigore per piattaforme online e motori di ricerca l’obbligo di comunicare con cadenza semestrale un #report relativo al numero di utenti raggiunti.

TWITTER – Attraverso un post sul suo blog ufficiale Twitter ha annunciato una importantissima novità: dal prossimo 20 marzo l’autenticazione a due fattori (cd. #2FA) tramite SMS potrà essere attivata esclusivamente dagli utenti aderenti al piano #TwitterBlue, e cioè quello a pagamento. La notizia è chiaramente allarmante, dal momento che comporterà per milioni di utenti possibili rischi dal punto di vista della #sicurezza #informatica del proprio account. L’autenticazione a due fattori è infatti un livello di protezione ulteriore che si aggiunge alla password e che, attraverso un codice che solo l’utente può avere, ne rafforza l’autenticazione. Alla luce di questo imminente cambiamento il consiglio è quindi quello di affrettarsi ad attivare la doppia identificazione via app prima che sia troppo tardi. 

EVASIONE IVA DI META, FORSE – Il Nucleo di polizia economico finanziaria della Guardia di Finanza di Milano ha #contestato come omesso versamento dell’Iva un importo di 870 milioni, per gli anni che vanno dal 2015 al 2021, alla piattaforma Meta. L’indagine, attraverso un calcolo specifico sulla permuta di beni differenti, ha permesso di rilevare l’Iva non versata, che riguarda l’iscrizione degli utenti sulle diverse #piattaforme social. Tali Iscrizioni, infatti, avvengono #gratuitamente, ma con l’utente che in realtà paga una sorta di tassa, perché mette a disposizione i propri dati personali e si sottopone a una potenziale profilazione. Attraverso questo scambio, formalmente gratuito, Meta può trarre un profitto, che, in base a valutazioni giuridiche e fiscali, deve essere #tassato, secondo gli inquirenti, con l’applicazione dell’imposta sul valore aggiunto, che Meta, invece, negli anni non ha mai versato.

ARTIFACT – I creatori di Instagram hanno lanciato una nuova App, ci racconta TechCrunch: si chiama Artifact ed è un #newsfeed personalizzato che promette grande controllo su ciò che si legge e, al contempo, un supporto importante a contrastare la ormai dilagante FOMO (Fear Of Missing Out) per quanto riguarda le informazioni che circolano in rete e nel mondo iperconnesso di oggi.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

NEWSLETTER GARANTE – Pubblicata lo scorso 22 febbraio l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata Edison Energia S.p.A. per condotte illecite nei confronti degli utenti in materia di telemarketing –;(ii) fornito al Ministero della Salute un parere su uno schema di decreto in materia di accesso ai medicinali in caso di ricette transfrontaliere; (iii) adottata dall’EDPB una relazione – frutto dell’attività di 22 Autorità garanti dell’area SEE – sui risultati della sua prima azione di applicazione coordinata in materia di #cloud nelle amministrazioni pubbliche. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9857857

LINEE GUIDA EDPB – Il 24 febbraio 2023 il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato di aver adottato tre serie di linee guida nella loro versione finale, a seguito della sua 75° riunione plenaria. In particolare, le linee guida adottate dall’EDPB riguardano (i) l’interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali di cui al capo V del GDPR (Linee guida 05/2021); (ii) la Certificazione come strumento per i Trasferimenti (Linee guida 07/2022); (iii) i dark patterns nelle interfacce delle piattaforme di social media (Linee guida 03/2022). L’EDPB ha sottolineato che, a seguito di consultazione pubblica, le linee guida sono state aggiornate e sono stati aggiunti ulteriori chiarimenti, in particolare, in merito alle responsabilità del Titolare del trattamento quando l’esportatore dei dati è un Responsabile del trattamento. Nel frattempo, sempre l’EDPB ha annunciato la pubblicazione del suo programma di lavoro 2023-2024, in cui delinea priorità e strategia per il prossimo biennio, con particolare focus sulla armonizzazione del GDPR nei vari paesi UE.

ONE-STOP-SHOP – L’European Data Protection Board (EDPB) ha di recente pubblicato un documento tematico in materia di diritto di opposizione al trattamento e di cancellazione dei dati persona dal titolo “One-Stop-Shop case digest on right to object and right to erasure”. Il documento, datato 9 dicembre 2022, esamina una serie di decisioni finali prese dal registro pubblico dell’EDPB (cd. One-Stop-Shop) tra l’agosto e il novembre dello scorso anno, rendendo evidente – e anzi, sottolineando – il pregevole lavoro di collaborazione svolto dalle diverse Autorità garanti nazionali ai fini di una corretta applicazione del GDPR

UTENTI META DEL REGNO UNITO – La piattaforma Meta modificherà i propri termini di servizio e le condizioni sulla privacy per gli utenti del Regno Unito. Gli utenti britannici di Facebook, Instagram e WhatsApp manterranno i diritti sui dati ai sensi del UK GDPR, mentre l’azienda #sposterà i dati degli utenti fuori dalla giurisdizione del Regolamento. Un portavoce di Meta ha dichiarato che gli aggiornamenti, pianificati in seguito all’accordo Brexit 2020 del Regno Unito, non cambiano il modo in cui la piattaforma tratta i dati degli utenti britannici. La dichiarazione arriva proprio nel momento in cui Meta si trova ad affrontare un potenziale blackout dei servizi dell’Unione europea, in attesa di una decisione sul trasferimento dei dati da parte dell’European Data Protection Board (“EDPB”).

PRIVACYNOTINCLUDED – Uno studio dei ricercatori di Mozilla Foundation ha evidenziato come vi sia una sostanziale (e dilagante) #inconsistenza tra le “etichette” presenti ormai da tempo sul Google Play Store e quello che in realtà le App fanno con i dati personali, per almeno l’80% dei casi analizzati. Principale imputato di ciò è il Data Safety Form di Google che permette di nascondere e/o rendere opaco il trattamento di dati personali effettivamente svolto con una app.

COOPERAZIONE TRA AUTORITA’ GARANTI – La Commissione europea ha pubblicato un’iniziativa che specifica nel dettaglio le norme procedurali relative all’applicazione del GDPR da parte delle Autorità garanti. In particolare, l’iniziativa, ancora in fase di preparazione, mira a semplificare la #cooperazione tra le Autorità garanti nell’applicazione del GDPR nei casi #transfrontalieri. A tal fine, la Commissione punta ad armonizzare alcuni aspetti della procedura amministrativa che le Autorità garanti applicano nei casi transfrontalieri, con l’obiettivo di favorire il buon funzionamento dei meccanismi di cooperazione e di risoluzione delle controversie del GDPR.

TOOLBOX ENISA – E’ stato presentato dall’Agenzia ENISA il EU-Risk Management toolbox, ovvero una soluzione proposta dall’agenzia europea per affrontare i problemi di interoperabilità legati all’uso dei metodi di Risk Management per la sicurezza delle informazioni. Il #toolbox mira a facilitare l’integrazione dei vari metodi di Risk Management nell’ambiente di un’organizzazione, o tra organizzazioni diverse, e a colmare le lacune associate ai diversi approcci dei metodi. L’obiettivo è rendere gli operatori delle società e degli enti in grado di comprendere in modo allineato e omogeneo i #rischi, e di riferire alla comunità e alle autorità competenti i risultati di valutazione del rischio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

AUTORICICLAGGIO – Con sentenza n. 4855 dello scorso 3 febbraio (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che nel delitto di #autoriciclaggio non può applicarsi la causa di esclusione di punibilità di cui all’art. 648-ter.1 comma 4 – e cioè quella relativa alla mera utilizzazione o al godimento personale del denaro, dei beni o delle altre utilità provenienti da delitto – nel caso in cui “(…) per la pluralità degli acquisti effettuati e dei trasferimenti verso altri conti correnti si manifesti una evidente attività di trasformazione del denaro in altri impieghi e beni con chiaro intento speculativo effetto decettivo”.

DOLO EVENTUALE E DICHIARAZIONI INTEGRATIVE – Con la sentenza n.49427 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Cassazione si è pronunciata in materia di delitti tributari, stabilendo in particolare che (i) anche con riferimento ai delitti di cui al D. Lgs. 74/2000 il dolo specifico di evasione è compatibile con il #dolo #eventuale; (ii) ai fini della sussistenza del delitto di #dichiarazione #fraudolenta mediante uso di fatture o altri documenti per operazioni inesistenti è necessario che le fatture false siano già esistenti al momento della dichiarazione fraudolentemente presentata; (iii) la natura giuridica di tali delitti è quella di #delitti #istantanei, e che pertanto il momento del loro perfezionamento è quello della presentazione della dichiarazione annuale. 

CONTROLLO GIUDIZIARIO VOLONTARIO –  La Suprema Corte di Cassazione ha stabilito, con la sentenza n. 2156 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) che ai fini dell’ammissibilità al #controllo #giudiziario di un’impresa a rischio di infiltrazione mafiosa, sono da considerarsi presupposti equivalenti (i) l’interdittiva antimafia e (ii) il rifiuto di iscrizione alla cd. white list. Secondo i Giudici di piazza Cavour, infatti, entrambi i provvedimenti si fondano sulla “sussistenza di un pericolo di infiltrazione e/o attività agevolativa dell’impresa nei confronti della criminalità organizzata”.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

NORVEGIA – Datatilsynet, Autorità garante norvegese, ha di recente inflitto una sanzione di 10 milioni di NOK (pari a quasi 100mila euro) alla società SATS ASA per violazione delle disposizioni del GDPR, in particolare a quelle relative ai diritti degli interessati. Dei quattro reclami ricevuti, l’Autorità ha infatti constatato che la società sanzionata (i) in tre casi non aveva fornito alcun feedback alle richieste di riscontro presentate e (ii) in un caso aveva operato trasferimenti illeciti di dati personali. 

USA – La Federal Communication Commission (FCC) ha annunciato di aver sottoscritto, insieme al Procuratore Generale dello stato dell’Illinois,  un memorandum d’intesa che istituisce strutture di cooperazione e condivisione di informazioni critiche al fine di indagare su spoofing e robocall di truffa. 

REGNO UNITO – Il First-Tier Tribunal inglese si è pronunciato il 20 febbraio 2023 sull’azione dell’Information Commissioner’s Office (“ICO”), che ha ingiunto a una società locale di modificare il modo in cui gestisce i dati personali dei soggetti interessati. In particolare, l’ICO ha affermato che la sentenza del Tribunale ha supportato alcuni aspetti della decisione, pur consentendo l’appello della società in altre aree. L’ICO ha dichiarato che farà il punto sulla sentenza del Tribunale e valuterà attentamente i prossimi passi, inclusa l’opportunità di presentare ricorso.

BELGIO – La Corte d’appello di Bruxelles ha annullato la decisione dell’Autorità di protezione dei dati belga, che aveva sanzionato un Titolare del trattamento per 7.500 euro, per aver ripristinato i dati personali sul laptop di lavoro di un ex dipendente. La decisione è stata annullata perché l’Autorità di protezione dei dati non aveva sufficientemente motivato e specificato le presunte violazioni del GDPR da parte del Titolare del trattamento.

GERMANIA – Il Tribunale regionale superiore di Hamm ha respinto un ricorso e ha confermato che un centro di vaccinazione sia tenuto a pagare i danni morali per aver inviato accidentalmente i dati personali di un soggetto interessato a numerosi destinatari non autorizzati.

GERMANIA/2 – Il Commissario Federale per la Protezione dei Dati ha proibito al Governo Federale di gestire la propria pagina di Facebook in Germania. Secondo le conclusioni dell’autorità, l’Ufficio stampa federale ha violato l’obbligo di rendicontazione di cui all’articolo 5, paragrafo 2, del GDPR, gestendo la propria pagina su Facebook senza essere in grado di dimostrare la conformità ai principi per il trattamento dei dati personali di cui all’articolo 5, paragrafo 1, del GDPR.

SPAGNA – La legge n. 2/2023, del 20 febbraio, che disciplina la protezione delle persone che segnalano violazioni della normativa e la lotta alla corruzione (“Whistleblowing”) e che recepisce la direttiva sulla protezione delle persone che segnalano violazioni del diritto dell’Unione (Direttiva (UE) 2019/1937) (“la Direttiva Whistleblowing”), è stata pubblicata sulla Gazzetta Ufficiale dello Stato, a seguito della sua approvazione da parte del Senato. La legge ha lo scopo di tutelare coloro che, in ambito lavorativo o professionale, rilevano reati penali o amministrativi gravi o gravissimi e li segnalano attraverso i meccanismi ivi disciplinati. Oltre a tutelare chi segnala violazioni della Direttiva Whistleblowing, la Legge Whistleblower copre i reati penali e gli illeciti amministrativi gravi e gravissimi.

SPAGNA/2 – L’AEPD, garante spagnolo, ha recentemente pubblicato sul proprio blog un post in materia di anonimizzazione e rischio di re-identificazione. In particolare, secondo l’Autorità, i titolari del trattamento dovrebbero sempre valutare il rischio degli interessati di essere re-identificati e, se necessario, adottare misure al fine di abbattere tale rischio.

DANIMARCA – L’autorità danese per la protezione dei dati (“Datatilsynet”) ha annunciato, il 20 febbraio 2023, dopo aver emesso due decisioni in relazione all’uso dei cookie wall da parte dei siti web, la pubblicazione di linee guida sull’uso dei cookie wall. In particolare, l’Autorità garante ha affermato che le linee guida includono quattro criteri, che saranno il punto di partenza per la valutazione rispetto all’uso conforme di un cookie wall.

FRANCIA – L’autorità francese per la protezione dei dati personali (“CNIL”) ha pubblicato, il 22 febbraio 2023, un comunicato stampa in cui si affrontano gli usi e le considerazioni sulla privacy della proposta di tessera sanitaria elettronica facoltativa (“E-Carte Vitale”), che dovrebbe essere proposta a tutti fornitori di assicurazioni sanitarie entro la fine del 2025. In particolare, CNIL ha sottolineato che la E-Carte Vitale è una versione virtuale della tradizionale tessera sanitaria e sarà disponibile tramite un’app mobile. La CNIL ha precisato che la E-Carte Vitale conterrà tutte le informazioni amministrative richieste all’interno della tessera sanitaria fisica, comprese quelle relative ai rimborsi delle cure, alla copertura per i ricoveri e all’autenticazione del titolare della tessera, rilevando che nessun dato medico sarà raccolto tramite la E-Carta Vitale.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Steven Kamenar grazie a Unsplash.