News #14/2023: SPID (forse) è salvo, ma cosa ne sarà dello sviluppo del digitale in Italia, tra OpenAI e Meta vs. SIAE?

LE PRINCIPALI NEWS DELLA SETTIMANA

  • il Governo pare aver stanziato una somma utile a mantenere attivo e funzionante #SPID, strumento pionere dell’identità digitale in Europa;
  • AGCM pubblica gli impegni di Google in materia di #portabilità dei dati personali, generati dall’impulso di una startup italiana;
  • Meta è nei guai in Italia, con AGCM che vigila sull’affare SIAE, mentre TikTok riceve una sanzione monstre in UK
  • fare il Whistleblower non ti esime, secondo la Cassazione, dalla responsabilità per aver contribuito al reato.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Georg Philip Krog pubblica con frequenza spunti, schemi e mappe di notevole interesse relativamente alle tematiche digitali e privacy.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • So Happy It Hurts – Bryan Adams (2022).
Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

CONTRIBUTO AI GESTORI SPID – E’ stato presentato da parte del Governo un emendamento al “Decreto Pnrr” – in esame alla Commissione Bilancio del Senato – che sembra offrire un sostegno una tantum per garantire continuità alla fornitura del servizio di identità digitale nazionale, sostenendo con 40 milioni i costi a carico dei provider per l’adeguamento delle infrastrutture tecnologiche. L’intenzione del Governo, peraltro già ampiamente nota, è quella di unificare Spid e Cie all’interno di un’unica applicazione, il cui nome dovrebbe essere Idn (“Identità digitale nazionale”), in linea con il progetto elaborato dalla Commissione europea che, nel 2024, mira a rendere operativo un sistema comune europeo di identità elettronica tramite una app unica, prendendo come modello di riferimento quanto fatto in tema di Green Pass. In quella applicazione, immaginata come un wallet per smartphone, saranno disponibili dati personali, tessera sanitarie e tutti i documenti che potranno “viaggiare” in maniera interoperabile in tutta la zona europea.

AGCM – L’Autorità Garante della Concorrenza e del Mercato (‘AGCM’) ha pubblicato, in data 21 marzo 2023, gli impegni scritti assunti da Alphabet Inc., Google LLC, Google Ireland Limited e Google Italy Srl, e il relativo parere, a seguito dell’avvio di un’istruttoria, a luglio 2022, per presunto abuso di posizione dominante nella #portabilità dei dati. In particolare, l’AGCM ha ritenuto che gli impegni presentati non appaiano manifestamente infondati e, pertanto, li ha pubblicati sul proprio sito internet per l’osservazione dei terzi interessati. Tuttavia, l’Autorità ha anche precisato di riservarsi ogni ulteriore valutazione circa l’idoneità degli impegni assunti a rimuovere le restrizioni alla concorrenza, anche alla luce delle osservazioni che potrebbe ricevere da parte di terzi.

SMART WORKING – Numerosi lavoratori godono, dalla fine dell’emergenza Covid, di una maggiore flessibilità sul lavoro, considerando la tecnologia come un fattore di flessibilità, che consente di lavorare da qualsiasi luogo. La flessibilità dell’orario o della sede di lavoro è sempre più considerato un requisito fondamentale, e addirittura la flessibilità viene considerata come la priorità assoluta nel momento in cui ci si trovasse nella condizione di voler cercare una nuova occupazione. Sono i principali dati che riguardano l’Italia che emergono dal report “Future of Work Life”, realizzato dalla Ericsson Consumer & IndustryLab per fare luce su come i dipendenti e i datori di lavoro stiano affrontando l’attuale situazione e per far emergere le loro opinioni sul futuro del lavoro dopo l’impatto di pandemia, digitalizzazione e flessibilità del mercato. La ricerca è stata condotta in 30 mercati a livello globale, tra cui l’Italia, attraverso 38mila sondaggi online tra i dipendenti, 3.600 tra i decision maker e 11 interviste approfondite con i decision maker in settori selezionati in tre mercati: Cina, Spagna e Stati Uniti.

META VS ANTITRUST (a causa di SIAE) –  L’Antitrust ha avviato un’istruttoria nei confronti di Meta Platform, Meta Platforms Ireland, Meta Platforms Technologies UK Limited e Facebook Italy per accertare un presunto abuso di dipendenza economica nella negoziazione con #SIAE della stipula della licenza d’uso, sulle proprie piattaforme, dei diritti musicali. Secondo l’Autorità, la società di Mark Zuckerberg potrebbe aver indebitamente interrotto le trattative per la stipula della licenza d’uso, sulle proprie piattaforme, dei diritti musicali abusando della dipendenza economica di SIAE, così eliminando i contenuti musicali tutelati dalle proprie piattaforme social, senza fornire alla società le informazioni necessarie per svolgere le negoziazioni nel pieno rispetto del principio di trasparenza ed equità. L’Antitrust indaga sull’ipotesi che Meta potrebbe avere abusato dello squilibrio contrattuale, chiedendo a SIAE di accettare un’offerta economica inadeguata, senza però fornire le opportune informazioni per valutarne l’effettiva congruità.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

ISPEZIONI GIURIDICO CONTABILI – I negozi giuridici predisposti da alcuni professionisti giuridico-contabili sono finiti nel mirino della Guardia di finanza negli accertamenti ispettivi pianificati per il 2023. La bassa propensione della categoria a compiere le comunicazioni antiriciclaggio, unitamente a un aumento di atti opachi connessi agli eventi straordinari del PNRR e della “bonus economy”, hanno attivato un allarme. Sulla base di questi presupposti, la Guardia di finanza per il 2023 stabilisce un’adeguata presenza ispettiva, da svolgere sui professionisti giuridico-contabili. In particolare, la Guardia di finanza ha ritenuto di calibrare il numero delle ispezioni in modo uniforme su tutti i vari professionisti obbligati alle comunicazioni antiriciclaggio: avvocati, commercialisti, notai, contabili ed esperti giuridico-contabili. Stando all’ordine del Comando generale delle Fiamme gialle, le ispezioni sono necessarie alla luce del ruolo che i professionisti assumono nella gestione contabile e nel perfezionamento di negozi giuridici di varia natura, che impattano sulle dinamiche di movimentazione della ricchezza e sugli assetti proprietari del tessuto economico, come ad esempio, la costituzione o la modificazione di veicoli societari o la compravendita di asset patrimoniali.

RESPONSABILITÀ WHISTLEBLOWER – Con sentenza n. 9148 dello scorso 31 marzo (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Sezione Lavoro della Corte di Cassazione si è pronunciata in materia di responsabilità del whistleblower. Chiamati a decidere su un ricorso presentato da un’infermiera – la quale aveva denunciato il comportamento di alcuni colleghi e che, solo per tale ragione, chiedeva di essere esonerata dalla responsabilità derivante dai suoi propri illeciti –  gli Ermellini hanno specificato che la normativa in materia di whistleblowing, se da un lato certamente protegge il segnalante dalle ritorsioni che potrebbero derivargli in conseguenza della denuncia, dall’altro “non istituisce una esimente per gli autonomi illeciti che egli, da solo o in concorso con altri responsabili, abbia commesso, potendosi al più valutare il ravvedimento operoso o la collaborazione al fine di consentire gli opportuni accertamenti nel contesto dell’apprezzamento, sotto il profilo soggettivo, della proporzionalità della sanzione da irrogarsi nei confronti del medesimo”

MESSA ALLA PROVA – Lo scorso 6 aprile sono state depositate le motivazioni della sentenza n.14840 (scaricabile gratuitamente per gli iscritti all’Associazione Aodv231), con la quale le Sezioni Unite della Corte di Cassazione si sono pronunciate in materia di inapplicabilità dell’istituto della messa alla prova, ex art.168-bis c.p., a favore degli enti. Secondo l’interpretazione degli Ermellini, infatti, “le norme relative alla messa alla prova non contengono alcun riferimenti agli enti quali possibili soggetti destinatari di esse e neppure le norme del D. Lgs. 231 del 2001(…). Gli artt. 34 e 35 del D. Lgs. 231 del 2001, infatti, nel dettare le disposizioni generali sul procedimento di accertamento e di applicazione delle sanzioni amministrative dipendenti da reato (…) contengono un richiamo esclusivamente alle disposizioni del codice di procedura penale e alle disposizioni processuali relativa all’imputato, in quanto compatibili”. Concludono le secondo le Sezioni Unite con la seguente considerazione: “se, dunque, la responsabilità amministrativa da reato riguardante gli enti rientra in un genus diverso da quello penale (tertium genus) e la messa alla prova deve ricondursi a un “trattamento sanzionatorio penale (…), deve ritenersi che l’istituto della messa alla prova non può essere applicato agli enti, a ciò ostando, innanzitutto, il principio di riserva di legge, di cui all’art. 25, secondo comma, della Costituzione”.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

LINEE GUIDA DATA BREACH – Il Comitato europeo per la protezione dei dati personali (EDPB) ha pubblicato lo scorso 4 aprile la versione 2.0 delle sue Linee guida sulla notifica di violazione di dati personali (Linee guida 9/22). In particolare, le Linee guida – che costituiscono un aggiornamento di quelle rilasciate dal Working Party 29 ai sensi del GDPR, poi approvate dall’EDPB nella sua primissima riunione plenaria – si concentrano sui requisiti di notifica di violazioni di dati personali relative a titolari del trattamento stabiliti al di fuori dell’UE.

GARANTE E OPENAI – In seguito al blocco imposto a ChatGPT alla fine di marzo, lo scorso 5 aprile si è tenuto l’incontro tra l’Autorità garante per la protezione dei dati personali e OpenAI, seguito da un comunicato stampa dell’8 aprile in cui il Garante ha confermato l’inizio dell’esame delle misure proposte da OpenAI per andare in contro alle richieste ricevute. Seppur convinta di rispettare la normativa europea in materia di privacy, la società si è mostrata disponibile a collaborare con l’Autorità al fine di trovare una soluzione positiva alle criticità sollevate in merito al software ChatGPT. Dal canto suo, il Garante ha specificato che la propria posizione non va letta in termini di “chiusura” verso l’innovazione tecnologica – e in particolare verso l’intelligenza artificiale – ma, più semplicemente, come un atteggiamento premuroso nei confronti delle disposizioni dettate dalla normativa europea e italiana in materia.

NUOVO RANSOMWARE CONTRO GRANDI AZIENDE  – Il nuovo gruppo ransomware Money Message è apparso nella scena cyber con un blog nel quale pubblica le vittime rivendicate negli attacchi ed emette richieste di riscatto da milioni di dollari, prendendo di mira grandi aziende. Gli attori della minaccia chiedono riscatti di milioni di dollari per non divulgare i dati interni rubati durante l’attacco e rilasciare un decryptor per ripristinare i sistemi danneggiati. Tra le vittime già colpite c’è una compagnia aerea asiatica con un reddito annuo di 1 miliardo di dollari. Gli attori della minaccia hanno annunciato di aver esfiltrato informazioni da questa azienda, pubblicando uno screenshot dei file come prova di attacco avvenuto con successo.

ICO vs TIK TOK  – L’Information Commissioner’s Office (“ICO”) ha annunciato, il 4 aprile 2023, di aver inflitto una multa di 12,7 milioni di sterline a TikTok Information Technologies UK Limited e TikTok Inc. (collettivamente, “TikTok”), per violazioni del UK GDPR, anche in relazione all’utilizzo dei dati personali dei bambini, a seguito dell’emissione di un avviso di intenti nel settembre 2023. In particolare, TikTok ha trattato i dati di bambini di età inferiore ai 13 anni senza il consenso dei genitori, senza fornire informazioni adeguate ai propri utenti in modo conciso, trasparente e facilmente comprensibile e ha elaborato dati di categorie particolari senza un’adeguata base giuridica.

PRIVACY BROWSER – Due organizzazioni che si occupano della privacy degli utenti hanno rilasciato un nuovo browser Web incentrato sulla privacy, chiamato “Mullvad Browser”, che può essere scaricato gratuitamente e funziona su Windows, MacOS e Linux. Il browser Mullvad si occupa di fornire più alternative di privacy per raggiungere quante più persone possibile e rendere la vita più difficile a coloro che raccolgono dati sugli utenti. Il browser è stato sviluppato per ridurre al minimo il tracciamento dei dati, facendo apparire tutti gli utenti come uno solo. Quindi, più persone lo utilizzano, maggiore è la protezione degli utenti. Il sistema ha l’obiettivo di fornire alle persone più opzioni di privacy per la navigazione quotidiana e sfidare l’attuale modello di business di sfruttamento dei dati comportamentali delle persone. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA – Il 30 marzo 2023 il Center for Artificial Intelligence and Digital Policy (“CAIDP”) americano ha presentato un reclamo alla Federal Trade Commission (“FTC”) sollecitando un’indagine su ChatGPT. In particolare, il reclamo afferma che ChatGPT è parziale, ingannevole e rappresenta un rischio per la privacy e la sicurezza pubblica, notando che, tra le altre cose, i suoi risultati non possono essere provati o replicati e che non è stata effettuata alcuna valutazione indipendente prima della sua diffusione. Inoltre, la denuncia ricorda che la FTC ha dichiarato che l’uso dell’IA dovrebbe essere trasparente, spiegabile, equo ed empiricamente valido, promuovendo al contempo la responsabilità, e sostiene che il prodotto di OpenAI, GPT4, non soddisfa nessuno di questi requisiti. 

USA (PENNSYLVANIA)  Il House Bill 708, recante norme sulla protezione dei dati personali dei consumatori e sugli obblighi dei Titolari e Responsabili del trattamento dei dati personali dei consumatori, è stato presentato alla Camera dei rappresentanti della Pennsylvania, e successivamente deferita, nella stessa data, al Comitato per il commercio. In particolare, il disegno di legge si applicherebbe alle persone che conducono affari in Pennsylvania o producono beni, prodotti o servizi che vengono venduti o offerti in vendita ai residenti della Pennsylvania.

SVIZZERA – Dopo il Garante italiano – con il quale ha dichiarato di essere in contatto – anche l’Incaricato federale della protezione dei dati e dell’informazione (IFPDT) si è recentemente pronunciato in relazione all’utilizzo di app supportate dalla tecnologia dell’Intelligenza Artificiale (e in particolare ChatGPT). Pur riconoscendo le innegabili opportunità di tali strumenti, l’Incaricato ha tuttavia sottolineato i rischi che potrebbero derivare tanto per la vita privata quanto per l’informazione, e dunque l’autodeterminazione, dei suoi utenti. È pertanto necessario garantire a tutti gli utenti una chiara e precisa informazione su tutti gli aspetti rilevanti del trattamento, rimanendo comunque consigliabile che lo stesso utente operi una verifica delle finalità del trattamento prima di inserire informazioni personali su tali app.

ARABIA SAUDITA – Sono state pubblicate in Gazzetta Ufficiale le modifiche alla Legge sulla protezione dei dati personali (“PDPL”), attuate con Regio Decreto M/19 del 17 settembre 2021. Secondo il preambolo della PDPL, gli enti avranno un periodo di transizione di un anno da tale data per adeguare le loro operazioni. La PDPL ora consente il trasferimento o la divulgazione di dati personali al di fuori dell’Arabia Saudita, ma solo per il raggiungimento di determinate finalità e a condizione che siano soddisfatte alcune condizioni previste dall’articolo 29: (i) il trasferimento o la divulgazione non pregiudica la sicurezza nazionale o gli interessi vitali dell’Arabia Saudita; (ii) il paese in cui i dati personali sono trasferiti protegge i dati personali almeno allo stesso livello dell’Arabia Saudita, secondo i risultati di una valutazione condotta dall’autorità competente in materia in coordinamento con gli interessati; (iii) il trasferimento o la divulgazione siano limitati alla quantità minima di dati personali richiesta.

GIAPPONE – La Commissione europea ha annunciato, il 4 aprile 2023, che l’Unione europea e il Giappone hanno completato con successo il primo riesame dell’accordo di adeguatezza reciproca Giappone-UE. In particolare, la Commissione ha sottolineato che il riesame ha dimostrato che la convergenza tra il quadro di protezione dei dati dell’Unione e del Giappone si è ulteriormente perfezionato negli ultimi anni, e che l’accordo sull’adeguatezza reciproca funziona bene, consentendo ai dati di circolare con fiducia e apportando vantaggi significativi ai cittadini e imprese.

GERMANIA – La Conferenza tedesca sulla protezione dei dati (“DSK”) ha pubblicato, il 27 marzo 2023, il suo parere sull’uso dei dati sanitari in relazione allo spazio europeo dei dati sanitari. In particolare, la DSK ha affermato che esso non dovrebbe pregiudicare la protezione dei dati prevista dal GDPR, e la Commissione europea ha presentato una proposta di regolamento del Parlamento europeo e del Consiglio sullo spazio europeo dei dati sanitari, che contiene norme sull’uso primario e secondario a livello europeo di dati sanitari elettronici, per poter accedere alle informazioni provenienti dai sistemi di altri Stati membri quando prestano assistenza sanitaria. 

ARGENTINA – Lo scorso 5 aprile l’Autorità garante per la protezione dei dati personali ha argentina ha pubblicato la relazione sulla gestione relativa al 2022, nella quale è stato incluso il nuovo disegno di legge in materia di protezione dei dati personali.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Shubham Dhage grazie a Unsplash.

News #11/2023: in Europa si discute di AI, Facebook Pixel e DPO, mentre in Iowa arriva la privacy

LE PRINCIPALI NEWS DELLA SETTIMANA

  • l’EDPB avvia una “task force” sul ruolo dei DPO
  • il Pixel di Facebook (Meta) è “illegale” come Google Analytics
  • l’AI ACT avanza insieme al Data Act: altre leggi in arrivo
  • META contro SIAE: una battaglia dolorosa
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Continuando con il filone degli esperti stranieri che si occupano di data protection, questa settimana consigliamo il follow ad un profilo “misterioso”, Mr. George M, che propone sempre spunti molto interessanti soprattutto in materia di compliance organizzativa.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Heard It Through The Grapevine – Marvin Gaye (1967)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

EDPB – Il 15 marzo, il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato la propria azione coordinata con la quale, al fine di valutare se i Data Protection Officer (“DPO”) detengono effettivamente, all’interno delle rispettive organizzazioni, una posizione con le caratteristiche richieste dagli articoli 37-39 del GDPR e le risorse necessarie per svolgere i propri compiti, inviterà le Autorità europee per la protezione dei dati a (i) inviare questionari ai DPO per un esercizio di accertamento dei fatti o per identificare se è giustificata un’indagine formale e (ii) avviare indagini formali. Inoltre, l’EDPB ha sottolineato che i risultati dell’iniziativa saranno analizzati in modo coordinato, e che le Autorità di protezione dei dati decideranno in merito a possibili ulteriori azioni locali di vigilanza e applicazione della normativa sulla protezione dei dati.

PIXEL META – L’Autorità austriaca per la protezione dei dati personali (DBS) ha di recente stabilito che il #pixel di tracciamento di Meta Platforms Inc viola non solo il GDPR ma anche quanto stabilito dalla Corte di Giustizia dell’Unione europea (CGUE) nella storica sentenza Schrems II. La decisione della DBS – resa pubblica proprio da NOYB, l’associazione di Max Schrems – scaturisce infatti dalle 101 denunce presentate dall’associazione contro Google Analytics, reggendosi sui medesimi presupposti: l’inevitabile trasferimento internazionale dei dati extra SEE, in particolare verso gli Stati Uniti.

NEWSLETTER GARANTE –  Pubblicata il 15 marzo l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata una società di servizi di messaggistica per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti; (ii) la sanzione ad un’azienda che, dopo l’interruzione della collaborazione con il dipendente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società; (iii) la firma di nuovi protocolli di intesa per contrastare revenge porn e cyberbullismo, con l’attenzione ad organizzare eventi che coinvolgano esperti di settore in materia di fenomeni sul web che riguardano i minori.

DATA ACT e AI ACT – Lo scorso 14 marzo nel corso di una votazione plenaria al Parlamento europeo è stata adottata la versione definitiva del #DataAct, la proposta legislativa che – come più volte specificato –  mira a (i) rimuovere tutti gli ostacoli alla libera circolazione dei dati industriali e (ii) regolare i diritti e gli obblighi delle parti coinvolte nella condivisione dei dati prodotti dal cd. Internet of Things (IoT). L’adozione di tale versione, che apre ai negoziati con la Commissione e il Consiglio,  rappresenta un passo molto importante in vista di una sua approvazione. Nella stessa giornata, Dragos Tudorache e Brando Benifei – i correlatori del Parlamento europeo – hanno condiviso una prima bozza di AI Act, nella quale vengono proposti alcuni obblighi specifici per i fornitori di cd. #GPAI, ossia sistemi di intelligenza artificiale per l’uso generale, come – ad esempio – ChatGPT). Per spunti di riflessione sul tema dell’Intelligenza Artificiale, segnaliamo anche questo interessantissimo articolo di Paolo Benanti.

BILANCIAMENTO NEL DIRITTO ALL’OBLIO – Con la sentenza n. 6806 la Suprema Corte di Cassazione si è recentemente pronunciata in materia di diritto all’oblio. I Giudici hanno in particolare stabilito che il gestore di un sito web non è tenuto a provvedere alla deindicizzazione e/o alla cancellazione di informazioni non più dotate dei caratteri di “ verità, continenza e attualità”  in assenza di una legittima ed esplicita richiesta da parte dell’interessato. Concordando con la ricostruzione del giudice di prime cure – secondo cui “la tutela del diritto all’oblio non comporta automaticamente in capo ad una testata giornalistica l’obbligo di rimozione o deindicizzazione della notizia, dal momento che il diritto del soggetto a non vedere rappresentata una versione di sé non più corrispondente alla realtà presuppone una valutazione di non attualità della notizia che non è possibile compiere se non dopo un’espressa richiesta dell’interessato” –  gli Ermellini hanno specificato che sarebbe in ogni caso oltremodo gravoso per il gestore di un archivio digitale l’onere di controllare periodicamente il superamento o la inattualità dei contenuti pubblicati. Grazie ad Agostino Imperatore per la segnalazione: nel suo post trovate il testo della sentenza.

Non è stato fornito nessun testo alternativo per questa immagine

231

DECRETO WHISTLEBLOWING – Lo scorso 9 marzo è stato approvato dal Consiglio dei Ministri il Decreto Legislativo di recepimento della Direttiva 2019/1937 (cd. Direttiva #Whistleblowing). Il Decreto – che entrerà in vigore il prossimo 15 luglio – andrà a disciplinare la protezione dei cd. “whistleblowers”, ossia i soggetti che segnalano la violazione di norme interne o europee di cui siano venuti a conoscenza in ragione della loro posizione lavorativa, pubblica o privata. Sul punto è intervenuta anche l’ANAC (Autorità Nazionale Anticorruzione, investita dal Decreto del ruolo di valutare le segnalazioni e le eventuali sanzioni amministrative da irrogare), attraverso un comunicato stampa dello scorso 10 marzo che illustra le principali novità introdotte.

SICUREZZA SUL LAVORO – Con la sentenza n. 8476 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha affrontato la questione del rapporto tra delega in materia di sicurezza sul lavoro prevista dall’art. 16 del D. Lgs. 81/08 e la delega gestoria affidata dal Consiglio di Amministrazione, di cui all’art. 2381 c.c. Chiamati a decidere sulla responsabilità di un amministratore delegato in relazione ad un incidente occorso ad un lavoratore – responsabilità, più in particolare, basata sull’assunto che la delega alla sicurezza sul lavoro conferita ad altro membro del CdA non fosse accompagnata dal potere di spesa e che, pertanto, non fosse “liberatoria” –  gli Ermellini hanno precisato che “la delega di funzioni prevista dall’art. 16 del D. Lgs. n. 81/08 presuppone un trasferimento di poteri e correlati obblighi dal datore di lavoro verso altre figure non qualificabili come tali e che non lo diventano per effetto della delega. La delega di gestione, anche quando non abbia ad oggetto la sicurezza sul lavoro, invece, in caso di strutture complesse, consente di concentrare i poteri decisionali e di spesa connessi alla funzione datoriale, che fa capo ad una pluralità di soggetti (ovvero i membri del CdA) su alcuni di essi”. I Supremi Giudici di legittimità hanno pertanto accolto il ricorso della difesa, imponendo al giudice di rinvio un approfondimento circa contenuto della delega conferita.  https://www.aodv231.it/novita/sicurezza-sul-lavoro-e-deleghe/

RIFORMA CARTABIA E COORDINAMENTO CON LA 231 – Con una recente ordinanza (consultabile gratuitamente per gli iscritti all’Associazione Aodv231), il Giudice per le indagini preliminari (GUP) di Milano ha stabilito che la nuova regola di giudizio introdotta dalla Riforma Cartabia non si applica ai processi a carico degli enti. Secondo il GUP, infatti, a fronte della modifica dell’art. 425, comma 3, per cui il giudice pronuncia sentenza di non luogo a procedere anche quando gli elementi acquisiti non consentono di formulare una ragionevole previsione di #condanna,  “il disposto dell’art. 61 D. Lgs. 231/2001 non ha subito alcuna modificazione, sicchè statuisce ancora che il giudice pronuncia sentenza di non luogo a procedere (oltre che in ipotesi specificamente enucleate con riferimento alle peculiarità del processo nei confronti dell’ente), quando gli elementi acquisiti risultano insufficienti, contraddittori o comunque non idonei a sostenere in giudizio la responsabilità dell’ente”.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

META E SIAE –  Meta ha comunicato tramite un proprio portavoce di non aver raggiunto un accordo con la Siae (“Società Italiana Autori ed Editori”) per il rinnovo della licenza sul diritto d’autore, scaduto l’anno scorso. Di conseguenza, nelle prossime 48 ore un team dedicato della piattaforma provvederà a rimuovere tutti i contenuti, video e reels recanti tracce del repertorio Siae – che rappresentano una grandissima quantità. Più che ad una questione di soldi, il mancato raggiungimento dell’accordo è stato dovuto a una sensibile differenza nell’approccio tra le due parti in causa. Dal punto di vista della Siae, infatti, non c’è stata sufficiente trasparenza nella trattativa da parte della piattaforma di Zuckerberg: Siae avrebbe infatti chiesto a Meta di quantificare i ricavi provenienti dai contenuti con «colonna sonora» tutelata da Siae, per meglio stabilire la somma necessaria a compensare autori ed editori italiani. Meta, però, non fornisce verticalizzazioni nazionali sul proprio giro d’affari. Da qui uno scontro frontale che ha portato la multinazionale alla decisione di far saltare il dialogo.

OCSE – L’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) ha recentemente pubblicato un rapporto dal titolo “Advancing accountability in AI – Governing and management risk throughout the lifecycle for trustworthy AI”. Il documento illustra come gli approcci di gestione del rischio possono permettere l’attuazione dei principi dettati dall’OCSE in materia di intelligenza artificiale, e ciò durante l’intero ciclo di vita del sistema di AI. All’interno del rapporto l’Organizzazione presenta inoltre importanti ricerche e risultati in merito alle responsabilità e ai rischi connessi ai sistemi di intelligenza artificiale, provvedendo a fornire altresì una panoramica di come i quadri di gestione del rischio e dei cicli di vita del sistema di intelligenza artificiale possono essere integrati al fine di promuovere una AI affidabile.  

REPORT ENISA – L’Agenzia dell’Unione europea per la sicurezza informatica (“ENISA”) ha annunciato la pubblicazione di due rapporti su eSIM ed Edge computing in 5G. In particolare, il primo mira a fornire una panoramica della tecnologia utilizzata, valutare le sfide per la sicurezza e proporre misure di mitigazione del rischio. Le sfide alla sicurezza includono lo scambio di eSIM, l’esaurimento della memoria, gli attacchi di memoria sottodimensionati e l’accesso illegale a informazioni sensibili da parte dei criminali informatici. Inoltre, per quanto riguarda il fog e l’edge computing nel 5G, l’ENISA ha spiegato che la tecnologia fornisce servizi di elaborazione, dati di archiviazione e applicazioni agli utenti finali, pur essendo ospitata all’edge della rete. Il report fornisce una panoramica delle tecnologie fog and edge in termini di 5G, in relazione alla loro architettura, attributi e aspetti di sicurezza.

PIRATERIA DIGITALE – Le commissioni parlamentari Cultura e Trasporti e Telecomunicazioni hanno deliberato favorevolmente sull’esame, da parte dell’assemblea legislativa, della proposta di legge contro la pirateria digitale, che sarà esaminata in Aula il 20 marzo. Saranno previste #sanzioni per oltre 15mila euro per chi detiene abusivamente opere coperte dal diritto d’autore. Più poteri saranno conferiti ad #Agcom, con l’obiettivo di fermare la riproduzione di contenuti illeciti entro poco tempo dalla notifica. Agcom che potrà intervenire con urgenza per ordinare ai prestatori di servizi, compresi i prestatori di accesso alla rete, di disabilitare l’accesso a contenuti illeciti. Lo stesso ordine potrà essere dato anche ai motori di ricerca e ai fornitori di servizi della società dell’informazione, coinvolti a qualsiasi titolo nell’accessibilità del sito web o dei servizi illegali.

GAZZETTA UFFICIALE – Pubblicato nell’edizione dello scorso 18 marzo il Decreto Legislativo di attuazione e recepimento della Direttiva 2019/2161 che prevede una migliore armonizzazione delle norme a protezione dei #diritti dei #consumatori, di cui avevamo già dato conto nelle edizioni precedenti. Nella medesima edizione è stato pubblicato anche un Decreto Legge (d’urgenza) in materia di strumenti finanziari digitali, che riguarda l’emissione e la loro circolazione, oltre che alcune norme di organizzazione.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA / IOWA – Dopo l’ok del Senato locale, è stato definitivamente approvato dalla Camera (con voto unanime!) il disegno di legge in materia di protezione dei dati dei consumatori dello Stato dell’Iowa. In caso di approvazione finale da parte del Governo dello Stato, il documento andrebbe a costituire la sesta normativa completa in materia di privacy degli Stati Uniti. Da una comparazione con le altre normative US si evince tuttavia che la bozza, oltre a fissare in 90 giorni il termine per fornire un feedback alle richieste degli interessati, non contiene (i) una definizione di dati sensibili, (ii) la previsione del diritto del consumatore alla correzione dei propri dati, nè (iii) la previsione di valutazioni d’impatto sui diritti e le libertà dei consumatori (DPIA). 

COSTA RICA – il disegno di legge n. 23097 sulla protezione dei dati personali è stato presentato all’assemblea legislativa del Costa Rica. La proposta mira a vietare il trattamento di dati personali (“particolari”, come definiti dalla normativa europea) che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche e l’appartenenza sindacale, nonché il trattamento di dati genetici, biometrici, relativi alla salute o alla vita sessuale. Vengono introdotti i principali diritti degli interessati, quali il diritto di accesso, rettifica, cancellazione e portabilità dei dati, nonché il diritto di rinunciare al trattamento. Sono anche definiti i principi del trattamento dei dati, tra i quali, accuratezza, legittimità, equità, trasparenza, proporzionalità, responsabilità, sicurezza e riservatezza. 

AUSTRALIA – L’Ufficio dell’Australian Information Commissioner (“OAIC”) ha pubblicato un comunicato stampa in cui ha accolto con favore la decisione dell’Alta Corte australiana di revocare il permesso speciale di Facebook Inc. di appellarsi all’Alta Corte, consentendo il rinvio del procedimento al Tribunale federale. In particolare, l’OAIC ha evidenziato che il procedimento in questione mira ad irrogare sanzioni civili nei confronti di Facebook Ireland e Facebook Inc. per lo scandalo Cambridge Analytica, che ora proseguirà davanti alla Corte Federale. A questo proposito, l’OAIC ha osservato di aver avviato un procedimento contro Facebook, con sede negli Stati Uniti, il 9 marzo 2020, sostenendo che la piattaforma di social media abbia commesso gravi e ripetute interferenze in violazione della legge australiana sulla privacy.

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) ha annunciato la pubblicazione di una nuova guida (“Privacy in the product design lifecycle”) per aiutare i progettisti, i product manager e gli ingegneri dei software a integrare la protezione dei dati nei loro prodotti e servizi fin dall’inizio. Inoltre, la guida affronta le principali considerazioni sulla privacy per ogni fase della progettazione del prodotto. L’ICO ha osservato che la guida, scritta insieme a diversi tecnici di lavoro, offre maggiore certezza su ciò che le organizzazioni potrebbero fare per affrontare i problemi di privacy nel ciclo di vita del prodotto.

REGNO UNITO/2 – L’Information Commissioner’s Office (“ICO”) ha pubblicato un comunicato stampa per annunciare un aggiornamento della propria guida su AI e Data Protection, a seguito dei rilievi e commenti ricevuti dall’industria del settore e dagli esperti in materia privacy.

NORVEGIA – L’autorità norvegese per la protezione dei dati (“Datatilsynet”) ha pubblicato un post sul proprio sito contenente un estratto del discorso tenuto al Parlamento europeo e incentrato sull’intelligenza artificiale. In particolare, il post sul blog sottolinea che, sebbene molte delle tecnologie di intelligenza artificiale abbiano un impatto positivo, dovrebbero essere gestite con cura, poiché a volte possono avere conseguenze negative di vasta portata, in particolare per i diritti e le libertà fondamentali delle persone. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Austin Goode grazie a Unsplash.

News #9/2023: la strada dei dati tra USA e UE è ancora lunga e complessa 

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • l’EDPB si accoda al Parlamento nel chiedere alla Commissione nuovi approfondimenti prima di dichiarare “adeguati” gli USA per il trasferimento di dati personali ai sensi del GDPR;
  • il Governo approva il recepimento della Direttiva Omnibus, con importanti impatti sulla tutela dei consumatori (anche nell’eCommerce);
  • TikTok bannata dai device dei dipendenti UE, lo faremo anche in Italia?
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • chi si interessa di trasferimenti internazionali di dati non può mancare di seguire il profilo di Luiz Alberto Montezuma, “facilitatore di spazi internazionali di dati personali”, con post quotidiani ricchi di numerosi spunti in materia.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Three O’Clock Blues – Eric Clapton & B.B. King (2000)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

EDPB SUL PROGETTO DI DPF – Lo scorso 28 febbraio l’European Data Protection Board (EDPB) ha pubblicato il parere 5/2023 in merito al progetto di esecuzione della Commissione europea sull’adeguata protezione dei dati nell’ambito del Data Protection Framework UE-USA. Nel documento l’EDPB espone diverse preoccupazioni – già evidenziate in precedenza rispetto al defunto “Privacy Shield” – soprattutto per quel che riguarda la tematica dei diritti degli interessati. Più in particolare, il Comitato si è soffermato (i) sui trattamenti decisionali automatizzati, stabilendo che vanno formulate norma più specifiche al di fornire le “garanzie sufficienti” richieste dal GDPR e (ii) sul meccanismo di ricorso, evidenziando che – nonostante i miglioramenti – rimangono ferme le preoccupazione relative all’applicazione generale della risposta standard della DPCR (Data Protection Review Court). Dopo il Parlamento, quindi, un altro parere critico e che poco aiuta la Commissione nel percorso di approvazione della decisione (eminentemente politica) riguardo all’adeguatezza degli USA per il trasferimento di dati personali.

NOYB – “None Of Your Business” – l’organizzazione no profit di Max Schrems – ha di recente annunciato di aver presentato una serie di reclami contro siti web e broker di dati in materia di diritto di accesso. In particolare, NOYB ha spiegato che alcuni utenti hanno effettuato una serie di richieste di accesso al fine di testare la gestione dell’autenticazione dei cookie, allegando alla richiesta  i cookie installati dai siti web di riferimento quale mezzo di identificazione. Secondo l’organizzazione, molte delle risposte ricevute dagli interessati non erano sufficienti e,  addirittura, in alcuni casi (i) erano stati richiesti dati ulteriori ai fini della identificazione e (ii) la richiesta di accesso era stata completamente ignorata.

CYBERCRIME –  I furti di identità in Italia sono cresciuti in modo esponenziale, ha evidenziato la Relazione sulla politica dell’informazione per la sicurezza relativa al 2022, curata dal Comparto Intelligence nella sezione dedicata alla minaccia cibernetica. La capacità di attribuzione acquisita dall’Intelligence e l’ampio ricorso da parte degli attori statuali a strumenti impiegati anche da gruppi criminali ha consentito di rilevare una sensibile crescita degli attacchi di matrice criminale. Si è confermato anche per il 2022 il ricorso da parte dei principali criminali informatici, alla registrazione di domini malevoli, ossia quelli connotati, per denominazione e caratteristiche, da un’elevata similitudine con quelli di siti istituzionali e governativi, al fine di dirottare inconsapevolmente gli utenti verso siti web compromessi. È continuata anche la ricerca delle vulnerabilità tecniche esposte dai target selezionati, funzionale a tentativi di violazione delle loro reti informatiche, nonché ad attacchi informatici. A tale contrazione ha fatto da contraltare un incremento nell’impiego di malware da parte di attori di matrice criminale.

DSA E TASSA DI VIGILANZA –  La Commissione europea ha stabilito le regole per la riscossione delle tasse sulla vigilanza per le piattaforme e i motori di ricerca online di grandi dimensioni, che verranno applicate per la prima volta nell’autunno 2023. Come previsto dal Digital Services Act (“DSA”), la Commissione può imporre una tassa ai fornitori sottoposti alla sua supervisione, risorse che serviranno a finanziare i costi sostenuti per le attività di controllo della Commissione. Il regolamento specifica infatti le procedure per il calcolo e la riscossione della tassa di vigilanza, fornisce dettagli sui costi complessivi stimati da coprire con le tasse riscosse e sulla determinazione delle singole imposte. Gli obblighi per i fornitori di servizi individuati dal DSA diventeranno applicabili quattro mesi dopo la loro designazione formale.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CRIMINALITÀ ECONOMICA – L’Ufficio Nazionale del Procuratore Finanziario francese (PNF) – operante nel settore del monitoraggio e contrasto dei reati di natura economica e finanziaria – ha emesso di recente un aggiornamento delle Linee Guida del 2019 in materia di accordi di negoziazione sull’esercizio dell’azione penale in materia di criminalità di impresa (cd. CJIP, Convention Judiciaire d’Intérêt Public). Il documento delinea una politica premiale tesa a stimolare la spontanea cooperazione tra gli enti operanti nel settore nell’ambito della quale vengono valorizzate iniziative quali l’auto-segnalazione. In caso di fallimento tali accordi di negoziazione rimangono secretati, ma in caso di esito favorevole le imprese possono ottenere concreti benefici, soprattutto in termini di ridimensionamento delle sanzioni.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

ECOMMERCE – E’ stato approvato dal Consglio dei Ministri il Decreto Legislativo di attuazione della cosiddetta “Direttiva Omnibus”, di grande rilevanza per l’impatto sulla tutela dei consumatori in particolare nell’ambito eCommerce. Come precisato dal Ministero dello Sviluppo Economico, le principali novità riguardano la #trasparenza di informazione, l’aggiornamento dei casi di #praticheingannevoli e l’aumento del regime delle #sanzioni applicabili.

TWITTER – Tornano i licenziamenti in casa Twitter. Ad essere colpiti ben 200 dipendenti, il 10% di quelli “sopravvissuti” all’ondata dello scorso autunno. La ragione di tale ridimensionamento è da ricercarsi nella “necessità” avvertita da Musk di ridurre i costi della società. Qualche stranezza, in effetti, era già nell’aria: già da una settimana il servizio di messaggistica istantanea aziendale  era stato messo offline, rendendo di fatto impossibile la comunicazione tra i dipendenti e la consultazione di dati aziendali. Alcuni dipendenti hanno poi riferito di aver avuto qualche certezza in più circa il loro imminente allontanamento lo scorso sabato, quando hanno scoperto di essere stati disconnessi dal loro account aziendale. 

AGCOM & TIKTOK – Si è espresso anche il commissario Agcom, Antonello Giacomelli, sull’ipotesi di divieto di utilizzo, all’interno della Pubblica Amministrazione, della app di TikTok negli smartphone lavorativi, che impatterebbe circa 3,2 milioni di dipendenti statali. La decisione vorrebbe porsi nel solco di quella adottata dalla Commissione Europea, che ha già imposto il divieto. Dal canto suo, la piattaforma ha ribadito che i dati degli utenti non si troverebbero in Cina, e che il governo cinese non avrebbe mai presentato alcuna richiesta di accesso ai dati.

OPEN BANKING – Uno studio pubblicato dalla Banca d’Italia (“L’open banking nel sistema dei pagamenti: evoluzione infrastrutturale, innovazione e sicurezza, prassi di vigilanza e sorveglianza”) ha rilevato che la diffusione dell’open banking sta determinando una profonda discontinuità nelle modalità di possesso e di utilizzo dei dati personali degli utenti dei servizi finanziari. In particolare, nei pagamenti, l’open banking porta a un parziale ridimensionamento del ruolo, finora esclusivo, degli intermediari presso cui i conti dei clienti sono radicati, consentendo a terze parti di effettuare il pagamento per conto del consumatore, senza la necessità che esse abbiano una relazione contrattuale con la banca. L’open banking genera una maggiore complessità tecnologica e aumenta le interconnessioni all’interno dell’industria dei pagamenti. Per questo, afferma Banca d’Italia, è necessario che le autorità pubbliche definiscano assetti regolamentari e di vigilanza in grado di fare evolvere l’intero sistema finanziario verso una maggiore efficienza e inclusività, garantendo sicurezza e affidabilità.

PREVISIONI DI CRESCITA DELL’ECONOMIA DIGITALE – L’economia digitale rappresenterà più della metà del Pil globale entro la fine del 2023, e la crescita del 5G e l’evoluzione delle tecnologie di connettività aumenteranno i benefici economici globali di circa il 15%. È quanto emerge dallo studio “Driving development: The impact of Ict investments on the digital economy” realizzato da Huawei, in collaborazione con EI Studios e Gsma Intelligence e presentato in occasione del Mobile World Congress di Barcellona. La principale conclusione a cui si giunge è che che informatica e digitalizzazione sono destinati a guidare la quarta rivoluzione industriale. Le telecomunicazioni hanno un ruolo centrale in quanto promotori dell’economia digitale, sono state determinanti nel fornire le necessarie infrastrutture di connettività e finora hanno sostenuto l’onere degli investimenti in linea con il loro ruolo di servizi pubblici. Per mantenere questa crescita sostenibile ed efficace, sarà necessario creare collaborazione e dialogo con il settore privato per creare quadri normativi di supporto e incentivare l’innovazione, entrambi aspetti essenziali per dare impulso all’economia digitale del futuro.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

IRLANDA –  L’Autorità garante irlandese (DPC) ha di recente annunciato di aver sanzionato la società Centric Health Ltd. per violazione del GDPR, in particolare delle disposizioni in materia di misure di sicurezza. Dalle indagini svolte dall’Autorità è infatti emerso che, in conseguenza di attacco hacker, era stato registrato l’accesso non autorizzato e la perdita della disponibilità di dati personali – anche particolari – di 70 mila interessati, nonché la perdita definitiva di dati di oltre 2500 pazienti. Secondo l’Autorità l’incidente di sicurezza non si sarebbe verificato se la Centric Health avesse implementato adeguate misure di sicurezza – tecniche e organizzative – tali da garantire un livello di rischio “adeguato”. Per tale motivo, la società è stata sanzionata per 460 mila euro.

DANIMARCA – L’autorità danese per la protezione dei dati (“Datatilsynet”) ha annunciato che l’agenzia danese per la sicurezza digitale ha attivato una nuova hotline per i cittadini e le imprese che necessitano di consulenza e orientamento per proteggersi da crimine informatico. In particolare, il Datatilsynet ha affermato che la hotline (i) facilita l’accesso alle di prevenzione su come i cittadini dovrebbero proteggersi dai criminali informatici, (ii) fornisce consigli e indicazioni su come proteggere una rete wireless domestica, aggiornare i programmi o proteggere i dispositivi digitali dei bambini; (iii) propone indicazioni su come un’azienda può reagire se esposta a un attacco informatico, compresi i vantaggi e gli svantaggi delle diverse azioni.

USA –  L’Electronic Privacy Information Center (“EPIC”) ha annunciato di aver presentato commenti alla Federal Communications Commission (“FCC”) in merito alla proposta per cui potrebbero essere raccolti dati sulla posizione dei telefoni cellulari per migliorare l’instradamento delle chiamate al 911. In particolare, EPIC ha sottolineato di apprezzare l’obiettivo della FCC di migliorare i tempi di risposta alle emergenze, ma anche che la proposta non tiene conto dell’incapacità dei dispositivi di salvaguardare i dati sulla posizione. 

USA / COLORADO – La bozza rivista del Colorado Privacy Act (“CPA”) è stata depositata presso il Segretario di Stato, dopo la loro pubblicazione da parte del Colorado Attorney General (“AG”) il 27 gennaio 2023. In particolare, l’ultima revisione riguarda diversi elementi del progetto di CPA, tra cui (i) l’aggiornamento di alcune definizioni, (ii) fornire nuovi esempi per i programmi di fidelizzazione, (iii) modifiche alla divulgazione e alle specifiche delle finalità, (iv) modifiche al consenso, (v) requisiti di contenuto minimo per le valutazioni sulla protezione dei dati.

USA / NEW YORK – E’ stato presentato all’Assemblea dello Stato di New York, e successivamente deferito, nella stessa data, al Comitato per la scienza e la tecnologia dell’Assemblea statale, un atto di modifica del diritto commerciale generale in relazione all’emanazione del New York Child Data Privacy and Protection act. In particolare, il disegno di legge sottolinea che ogni entità che offre un prodotto online destinato agli utenti minorenni a New York deve completare una valutazione dell’impatto sulla protezione dei dati (“DPIA”), e delinea un divieto di raccolta di dati e pubblicità digitale, in modo che nessuna entità che offre un prodotto online destinato a utenti minorenni possa raccogliere, conservare, elaborare o vendere dati personali, a meno che non sia necessario fornire tale servizio agli utenti.

SPAGNA – L’autorità catalana per la protezione dei dati (“APDCAT”) ha pubblicato, il 1° marzo 2023, una guida intitolata “Privacy by design e privacy by default: una guida per gli sviluppatori”. In particolare, l’APDCAT ha evidenziato che la guida funge da risorsa per il rispetto degli obblighi di Privacy by Design e Default ai sensi dell’articolo 25 del GDPR. Inoltre, la guida identifica una serie di misure che possono aiutare la protezione dei dati personali nelle diverse fasi del trattamento dei dati personali, tra cui la crittografia, l’anonimizzazione e la pseudonimizzazione, insieme alle tecniche per l’attuazione di tali misure.

BRASILE –  L’autorità brasiliana per la protezione dei dati (“ANPD”) ha pubblicato una risoluzione definitiva sull’applicazione delle sanzioni amministrative a seguito di consultazione pubblica. In particolare, l’ANPD ha evidenziato che la risoluzione mira a disciplinare i criteri e i parametri per le sanzioni pecuniarie e non pecuniarie che possono essere irrogate dall’ANPD. Inoltre, l’autorità ha rilevato che la delibera modificherà alcuni articoli al fine di migliorare il processo sanzionatorio amministrativo e ispettivo per fornire certezza del diritto e trasparenza.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Charles Forerunner grazie a Unsplash.

News #8/2023: linee guida EDPB, indicazioni sul DSA, Spid a rischio

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • potrebbe non rinnovarsi la convenzione di SPID, spegnendo così 33 milioni di identità digitali italiane;
  • nuova newsletter del Garante e linee guida EDPB: molto da leggere;
  • #privacynotincluded è uno studio della Mozilla Foundation su quanto le app dichiarino all’utente (male, poco, in modo opaco) sul trattamento di dati;
  • pubblicato un interessante toolbox di ENISA per armonizzare gli strumenti di risk management;
  • importante decisione della Cassazione in materia di autoriciclaggio.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Anche in onore del libro consigliato qui sotto, un profilo da seguire per la ricchezza di spunti e la personale (e competentissima) visione del mondo dei dati personali è quello di Francesco Pizzetti, professore di Diritto Costituzionale e già Presidente dell’Autorità Garante.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • A Love Supreme (Suite) – John Coltrane (1965)
Non è stato fornito nessun testo alternativo per questa immagine

IL LIBRO DELLA SETTIMANA

“LA PRIVACY NELL’ERA DIGITALE” – Il nuovo volume dal titolo “La privacy nell’era digitale”  racconta la storia dell’evoluzione di diritti e tecnologie dal 1997 al 2022, e apre una prospettiva sugli scenari futuri. Il libro ricostruisce la storia dell’Autorità Garante attraverso i discorsi dei suoi #Presidenti, dalla sua istituzione nel 1997, e ripercorre l’evoluzione di un’Autorità indipendente che, nelle parole del presidente Stanzione, “ha saputo adeguare la propria azione alle esigenze sociali emergenti e alle istanze di tutela manifestate dai cittadini”. Il libro sottolinea anche le sfide poste all’Autorità nel mondo digitale di oggi: innanzitutto quella di distinguere in rete l’interlocutore umano dall’interlocutore-macchina e la necessità di una rapida risposta della normative alla rapidissima evoluzione della tecnologia.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

IDENTITA’ DIGITALE – Il Governo ha annunciato di voler unificare i servizi di CiE e SPID in un #nuovo sistema pubblico di #identitàdigitale. Giovedì 23 febbraio, presso il Dipartimento della Trasformazione digitale, si è così svolto il primo incontro tra il sottosegretario all’Innovazione e gli esperti del tavolo tecnico nominato per valutare la fattibilità del progetto. L’intenzione del Governo è quello di #unificare i servizi esistenti di identità del cittadino in un’unica applicazione, in linea con il progetto elaborato dalla Commissione europea che mira a rendere operativo un sistema comune europeo di identità elettronica. Tuttavia, come spiega in dettaglio questo articolo di Wired, il Governo ha parallelamente deciso di non rinnovare (per ora) le #convenzioni ai gestori Spid, in scadenza il prossimo #23aprile. Problemi di costi, ma (potenzialmente) grandi problemi per tutti noi cittadini, che potremmo ritrovarci senza uno strumento molto importante per l’accesso al digitale, davvero tra pochi giorni.

COMMENTI PUBBLICI DSA – Lo scorso 17 febbraio la Commissione europea ha annunciato di aver avviato una consultazione pubblica sulle procedure di applicazione del Digital Service Act (#DSA). In particolare, il regolamento di esecuzione del DSA stabilisce che la Commissione ha il potere di ordinare ai fornitori di piattaforme o motori di ricerca molto grandi – quelli cioè che raggiungo il 10% della popolazione dell’UE o 45 milioni di utenti mensili – di (i) fornirle l’accesso a banche dati  e algoritmi e (ii) identificare le informazioni coperte dal segreto aziendale o comunque riservate. Il termine ultimo entro il quale inviare commenti è fissato al 16 marzo 2023. I commenti possono essere inviati a questo link. Ricordiamo, inoltre, che dallo scorso 17 febbraio è ufficialmente in vigore per piattaforme online e motori di ricerca l’obbligo di comunicare con cadenza semestrale un #report relativo al numero di utenti raggiunti.

TWITTER – Attraverso un post sul suo blog ufficiale Twitter ha annunciato una importantissima novità: dal prossimo 20 marzo l’autenticazione a due fattori (cd. #2FA) tramite SMS potrà essere attivata esclusivamente dagli utenti aderenti al piano #TwitterBlue, e cioè quello a pagamento. La notizia è chiaramente allarmante, dal momento che comporterà per milioni di utenti possibili rischi dal punto di vista della #sicurezza #informatica del proprio account. L’autenticazione a due fattori è infatti un livello di protezione ulteriore che si aggiunge alla password e che, attraverso un codice che solo l’utente può avere, ne rafforza l’autenticazione. Alla luce di questo imminente cambiamento il consiglio è quindi quello di affrettarsi ad attivare la doppia identificazione via app prima che sia troppo tardi. 

EVASIONE IVA DI META, FORSE – Il Nucleo di polizia economico finanziaria della Guardia di Finanza di Milano ha #contestato come omesso versamento dell’Iva un importo di 870 milioni, per gli anni che vanno dal 2015 al 2021, alla piattaforma Meta. L’indagine, attraverso un calcolo specifico sulla permuta di beni differenti, ha permesso di rilevare l’Iva non versata, che riguarda l’iscrizione degli utenti sulle diverse #piattaforme social. Tali Iscrizioni, infatti, avvengono #gratuitamente, ma con l’utente che in realtà paga una sorta di tassa, perché mette a disposizione i propri dati personali e si sottopone a una potenziale profilazione. Attraverso questo scambio, formalmente gratuito, Meta può trarre un profitto, che, in base a valutazioni giuridiche e fiscali, deve essere #tassato, secondo gli inquirenti, con l’applicazione dell’imposta sul valore aggiunto, che Meta, invece, negli anni non ha mai versato.

ARTIFACT – I creatori di Instagram hanno lanciato una nuova App, ci racconta TechCrunch: si chiama Artifact ed è un #newsfeed personalizzato che promette grande controllo su ciò che si legge e, al contempo, un supporto importante a contrastare la ormai dilagante FOMO (Fear Of Missing Out) per quanto riguarda le informazioni che circolano in rete e nel mondo iperconnesso di oggi.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

NEWSLETTER GARANTE – Pubblicata lo scorso 22 febbraio l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata Edison Energia S.p.A. per condotte illecite nei confronti degli utenti in materia di telemarketing –;(ii) fornito al Ministero della Salute un parere su uno schema di decreto in materia di accesso ai medicinali in caso di ricette transfrontaliere; (iii) adottata dall’EDPB una relazione – frutto dell’attività di 22 Autorità garanti dell’area SEE – sui risultati della sua prima azione di applicazione coordinata in materia di #cloud nelle amministrazioni pubbliche. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9857857

LINEE GUIDA EDPB – Il 24 febbraio 2023 il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato di aver adottato tre serie di linee guida nella loro versione finale, a seguito della sua 75° riunione plenaria. In particolare, le linee guida adottate dall’EDPB riguardano (i) l’interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali di cui al capo V del GDPR (Linee guida 05/2021); (ii) la Certificazione come strumento per i Trasferimenti (Linee guida 07/2022); (iii) i dark patterns nelle interfacce delle piattaforme di social media (Linee guida 03/2022). L’EDPB ha sottolineato che, a seguito di consultazione pubblica, le linee guida sono state aggiornate e sono stati aggiunti ulteriori chiarimenti, in particolare, in merito alle responsabilità del Titolare del trattamento quando l’esportatore dei dati è un Responsabile del trattamento. Nel frattempo, sempre l’EDPB ha annunciato la pubblicazione del suo programma di lavoro 2023-2024, in cui delinea priorità e strategia per il prossimo biennio, con particolare focus sulla armonizzazione del GDPR nei vari paesi UE.

ONE-STOP-SHOP – L’European Data Protection Board (EDPB) ha di recente pubblicato un documento tematico in materia di diritto di opposizione al trattamento e di cancellazione dei dati persona dal titolo “One-Stop-Shop case digest on right to object and right to erasure”. Il documento, datato 9 dicembre 2022, esamina una serie di decisioni finali prese dal registro pubblico dell’EDPB (cd. One-Stop-Shop) tra l’agosto e il novembre dello scorso anno, rendendo evidente – e anzi, sottolineando – il pregevole lavoro di collaborazione svolto dalle diverse Autorità garanti nazionali ai fini di una corretta applicazione del GDPR

UTENTI META DEL REGNO UNITO – La piattaforma Meta modificherà i propri termini di servizio e le condizioni sulla privacy per gli utenti del Regno Unito. Gli utenti britannici di Facebook, Instagram e WhatsApp manterranno i diritti sui dati ai sensi del UK GDPR, mentre l’azienda #sposterà i dati degli utenti fuori dalla giurisdizione del Regolamento. Un portavoce di Meta ha dichiarato che gli aggiornamenti, pianificati in seguito all’accordo Brexit 2020 del Regno Unito, non cambiano il modo in cui la piattaforma tratta i dati degli utenti britannici. La dichiarazione arriva proprio nel momento in cui Meta si trova ad affrontare un potenziale blackout dei servizi dell’Unione europea, in attesa di una decisione sul trasferimento dei dati da parte dell’European Data Protection Board (“EDPB”).

PRIVACYNOTINCLUDED – Uno studio dei ricercatori di Mozilla Foundation ha evidenziato come vi sia una sostanziale (e dilagante) #inconsistenza tra le “etichette” presenti ormai da tempo sul Google Play Store e quello che in realtà le App fanno con i dati personali, per almeno l’80% dei casi analizzati. Principale imputato di ciò è il Data Safety Form di Google che permette di nascondere e/o rendere opaco il trattamento di dati personali effettivamente svolto con una app.

COOPERAZIONE TRA AUTORITA’ GARANTI – La Commissione europea ha pubblicato un’iniziativa che specifica nel dettaglio le norme procedurali relative all’applicazione del GDPR da parte delle Autorità garanti. In particolare, l’iniziativa, ancora in fase di preparazione, mira a semplificare la #cooperazione tra le Autorità garanti nell’applicazione del GDPR nei casi #transfrontalieri. A tal fine, la Commissione punta ad armonizzare alcuni aspetti della procedura amministrativa che le Autorità garanti applicano nei casi transfrontalieri, con l’obiettivo di favorire il buon funzionamento dei meccanismi di cooperazione e di risoluzione delle controversie del GDPR.

TOOLBOX ENISA – E’ stato presentato dall’Agenzia ENISA il EU-Risk Management toolbox, ovvero una soluzione proposta dall’agenzia europea per affrontare i problemi di interoperabilità legati all’uso dei metodi di Risk Management per la sicurezza delle informazioni. Il #toolbox mira a facilitare l’integrazione dei vari metodi di Risk Management nell’ambiente di un’organizzazione, o tra organizzazioni diverse, e a colmare le lacune associate ai diversi approcci dei metodi. L’obiettivo è rendere gli operatori delle società e degli enti in grado di comprendere in modo allineato e omogeneo i #rischi, e di riferire alla comunità e alle autorità competenti i risultati di valutazione del rischio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

AUTORICICLAGGIO – Con sentenza n. 4855 dello scorso 3 febbraio (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che nel delitto di #autoriciclaggio non può applicarsi la causa di esclusione di punibilità di cui all’art. 648-ter.1 comma 4 – e cioè quella relativa alla mera utilizzazione o al godimento personale del denaro, dei beni o delle altre utilità provenienti da delitto – nel caso in cui “(…) per la pluralità degli acquisti effettuati e dei trasferimenti verso altri conti correnti si manifesti una evidente attività di trasformazione del denaro in altri impieghi e beni con chiaro intento speculativo effetto decettivo”.

DOLO EVENTUALE E DICHIARAZIONI INTEGRATIVE – Con la sentenza n.49427 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Cassazione si è pronunciata in materia di delitti tributari, stabilendo in particolare che (i) anche con riferimento ai delitti di cui al D. Lgs. 74/2000 il dolo specifico di evasione è compatibile con il #dolo #eventuale; (ii) ai fini della sussistenza del delitto di #dichiarazione #fraudolenta mediante uso di fatture o altri documenti per operazioni inesistenti è necessario che le fatture false siano già esistenti al momento della dichiarazione fraudolentemente presentata; (iii) la natura giuridica di tali delitti è quella di #delitti #istantanei, e che pertanto il momento del loro perfezionamento è quello della presentazione della dichiarazione annuale. 

CONTROLLO GIUDIZIARIO VOLONTARIO –  La Suprema Corte di Cassazione ha stabilito, con la sentenza n. 2156 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) che ai fini dell’ammissibilità al #controllo #giudiziario di un’impresa a rischio di infiltrazione mafiosa, sono da considerarsi presupposti equivalenti (i) l’interdittiva antimafia e (ii) il rifiuto di iscrizione alla cd. white list. Secondo i Giudici di piazza Cavour, infatti, entrambi i provvedimenti si fondano sulla “sussistenza di un pericolo di infiltrazione e/o attività agevolativa dell’impresa nei confronti della criminalità organizzata”.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

NORVEGIA – Datatilsynet, Autorità garante norvegese, ha di recente inflitto una sanzione di 10 milioni di NOK (pari a quasi 100mila euro) alla società SATS ASA per violazione delle disposizioni del GDPR, in particolare a quelle relative ai diritti degli interessati. Dei quattro reclami ricevuti, l’Autorità ha infatti constatato che la società sanzionata (i) in tre casi non aveva fornito alcun feedback alle richieste di riscontro presentate e (ii) in un caso aveva operato trasferimenti illeciti di dati personali. 

USA – La Federal Communication Commission (FCC) ha annunciato di aver sottoscritto, insieme al Procuratore Generale dello stato dell’Illinois,  un memorandum d’intesa che istituisce strutture di cooperazione e condivisione di informazioni critiche al fine di indagare su spoofing e robocall di truffa. 

REGNO UNITO – Il First-Tier Tribunal inglese si è pronunciato il 20 febbraio 2023 sull’azione dell’Information Commissioner’s Office (“ICO”), che ha ingiunto a una società locale di modificare il modo in cui gestisce i dati personali dei soggetti interessati. In particolare, l’ICO ha affermato che la sentenza del Tribunale ha supportato alcuni aspetti della decisione, pur consentendo l’appello della società in altre aree. L’ICO ha dichiarato che farà il punto sulla sentenza del Tribunale e valuterà attentamente i prossimi passi, inclusa l’opportunità di presentare ricorso.

BELGIO – La Corte d’appello di Bruxelles ha annullato la decisione dell’Autorità di protezione dei dati belga, che aveva sanzionato un Titolare del trattamento per 7.500 euro, per aver ripristinato i dati personali sul laptop di lavoro di un ex dipendente. La decisione è stata annullata perché l’Autorità di protezione dei dati non aveva sufficientemente motivato e specificato le presunte violazioni del GDPR da parte del Titolare del trattamento.

GERMANIA – Il Tribunale regionale superiore di Hamm ha respinto un ricorso e ha confermato che un centro di vaccinazione sia tenuto a pagare i danni morali per aver inviato accidentalmente i dati personali di un soggetto interessato a numerosi destinatari non autorizzati.

GERMANIA/2 – Il Commissario Federale per la Protezione dei Dati ha proibito al Governo Federale di gestire la propria pagina di Facebook in Germania. Secondo le conclusioni dell’autorità, l’Ufficio stampa federale ha violato l’obbligo di rendicontazione di cui all’articolo 5, paragrafo 2, del GDPR, gestendo la propria pagina su Facebook senza essere in grado di dimostrare la conformità ai principi per il trattamento dei dati personali di cui all’articolo 5, paragrafo 1, del GDPR.

SPAGNA – La legge n. 2/2023, del 20 febbraio, che disciplina la protezione delle persone che segnalano violazioni della normativa e la lotta alla corruzione (“Whistleblowing”) e che recepisce la direttiva sulla protezione delle persone che segnalano violazioni del diritto dell’Unione (Direttiva (UE) 2019/1937) (“la Direttiva Whistleblowing”), è stata pubblicata sulla Gazzetta Ufficiale dello Stato, a seguito della sua approvazione da parte del Senato. La legge ha lo scopo di tutelare coloro che, in ambito lavorativo o professionale, rilevano reati penali o amministrativi gravi o gravissimi e li segnalano attraverso i meccanismi ivi disciplinati. Oltre a tutelare chi segnala violazioni della Direttiva Whistleblowing, la Legge Whistleblower copre i reati penali e gli illeciti amministrativi gravi e gravissimi.

SPAGNA/2 – L’AEPD, garante spagnolo, ha recentemente pubblicato sul proprio blog un post in materia di anonimizzazione e rischio di re-identificazione. In particolare, secondo l’Autorità, i titolari del trattamento dovrebbero sempre valutare il rischio degli interessati di essere re-identificati e, se necessario, adottare misure al fine di abbattere tale rischio.

DANIMARCA – L’autorità danese per la protezione dei dati (“Datatilsynet”) ha annunciato, il 20 febbraio 2023, dopo aver emesso due decisioni in relazione all’uso dei cookie wall da parte dei siti web, la pubblicazione di linee guida sull’uso dei cookie wall. In particolare, l’Autorità garante ha affermato che le linee guida includono quattro criteri, che saranno il punto di partenza per la valutazione rispetto all’uso conforme di un cookie wall.

FRANCIA – L’autorità francese per la protezione dei dati personali (“CNIL”) ha pubblicato, il 22 febbraio 2023, un comunicato stampa in cui si affrontano gli usi e le considerazioni sulla privacy della proposta di tessera sanitaria elettronica facoltativa (“E-Carte Vitale”), che dovrebbe essere proposta a tutti fornitori di assicurazioni sanitarie entro la fine del 2025. In particolare, CNIL ha sottolineato che la E-Carte Vitale è una versione virtuale della tradizionale tessera sanitaria e sarà disponibile tramite un’app mobile. La CNIL ha precisato che la E-Carte Vitale conterrà tutte le informazioni amministrative richieste all’interno della tessera sanitaria fisica, comprese quelle relative ai rimborsi delle cure, alla copertura per i ricoveri e all’autenticazione del titolare della tessera, rilevando che nessun dato medico sarà raccolto tramite la E-Carta Vitale.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Steven Kamenar grazie a Unsplash.

News #7/2023: trasferimento di dati tra UE e USA, si riparte da zero?

Un nuovo appuntamento con la nostra #Newsletter in edizione #2023, che raccoglie le più interessanti novità degli ultimi sette giorni in ambito Privacy, 231 e Mercati Digitali, oltre a uno sguardo sulle news dal mondo.

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • il Parlamento UE “boccia” la proposta di decisione di adeguatezza della Commissione riguardo agli Stati Uniti d’America;
  • e intanto si discute della bozza di “Data Act” per i consumatori;
  • mentre l’EDPB annuncia a breve una decisione vincolante sul trasferimento dati UE-USA effettuato da Meta in base alle Clausole Contrattuali Tipo;
  • molte novità in materia di 231 e Whistleblowing;
  • la SEC USA aggiorna i propri regolamenti sul Privacy Act.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana il consiglio è di seguire Luisa Jarovsky, founder di Implement Privacy e di “The Privacy Whisperer”, che è anche una interessante newsletter su LinkedIn a tema privacy e diritti civili.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Have A Nice Day – Stereophonics (2013)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DECISIONE DI ADEGUATEZZA USA – La Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento UE ha presentato, lo scorso 14 febbraio, una bozza di mozione che invita chiaramente la Commissione UE a non proseguire con la decisione di adeguatezza nei confronti degli Stati Uniti, ritornando invece al tavolo delle trattative per far sì che l’amministrazione Biden si impegni a migliorare la situazione legislativa interna. Un duro colpo – seppur non vincolante, e che sarà votato non prima di marzo – al percorso disegnato dalla Commissione per tornare a un flusso transfrontaliero di dati personali conforme al GDPR, in attesa del parere (sempre non vincolante) che sarà emanato dal EDPB tra la primavera e l’estate.

DRAFT DATA ACT – Lo scorso 9 febbraio il Parlamento europeo ha annunciato l’adozione – da parte della commissione per l’industria, la ricerca e l’energia – della bozza di #DataAct, cioè il regolamento recante norme armonizzate in materia di accesso e uso equo dei dati personali, soprattutto da parte di consumatori. Nel suo comunicato il Parlamento ha specificato che la bozza di regolamento dovrà ora essere sottoposta al voto dell’intero Parlamento in occasione della sessione plenaria del prossimo 13-16 marzo.

PLENARIA EDPB – Nelle giornate del 14 e 15 febbraio si è tenuta la 75esima riunione plenaria del Comitato europeo per la protezione dei dati (“EDPB”). Tra gli argomenti discussi, le linee guida (i) sull’interazione tra applicazione dell’articolo 3 e le disposizioni sui trasferimenti interazioni di cui al capo V del GDPR,(ii) sulla Certificazione come strumento per i trasferimenti, (iii) sui Dark Patterns nelle interfacce delle piattaforme dei social media. Nella stessa seduta l’EDPB ha inoltre dato seguito alla sua decisione vincolante del 5 dicembre 2022 sulla questione promossa dalla Data Protection Commission in relazione a WhatsApp Ireland Limited, annunciando una decisione finale entro il 14 aprile (che potrebbe bloccare l’uso di Facebook, Instagram e WhatsApp).

FAKE NEWS E BUONE PRATICHE IN UE – I firmatari del Codice di buone pratiche sulla disinformazione del 2022, comprese tutte le principali piattaforme online (Google, Meta, Microsoft, TikTok, Twitter), hanno pubblicato per la prima volta le relazioni di riferimento sul modo in cui mettono in pratica gli impegni derivanti dal codice. Il Centro per la trasparenza garantirà la visibilità e la responsabilità degli sforzi compiuti dai firmatari per combattere la disinformazione e l’attuazione degli impegni assunti a norma del codice. Con queste relazioni di riferimento, le piattaforme forniscono informazioni e dati completi, tra i quali (i) quante entrate pubblicitarie che affluiscono agli attori della disinformazione sono state evitate; (ii) il numero o il valore degli annunci politici accettati ed etichettati o respinti; (iii) i casi di comportamenti manipolativi rilevati (ossia creazione e utilizzo di account falsi).

TOOLBOX PER IDENTITA’ DIGITALE EUROPEA –  La guida pratica (“toolbox”) pubblicata dalla Commissione europea ed elaborata dagli Stati membri rappresenta una base per progettare un pacchetto di strumenti che integrerà la proposta legislativa sull’identità digitale europea. Si tratta di un primo passo che consentirà la creazione di un quadro per l’identificazione e l’autenticazione digitale basato su standard comuni in tutta l’Unione europea. L’adozione dell’identità digitale europea ha l’obiettivo di fornire un modo sicuro e conveniente per i cittadini e le imprese europee di identificarsi, ove necessario, per accedere ai servizi digitali, in modo rapido e immediato. Gli utenti saranno in grado di archiviare e utilizzare in modo sicuro i dati per tutti i tipi di servizi, come il check-in in aeroporto, il noleggio di un’auto, l’apertura di un conto bancario o l’accesso al proprio account su grandi piattaforme online. Inoltre, l’identità digitale europea consentirà ai cittadini di archiviare credenziali, come patente di guida mobile, patenti professionali, eHealth o credenziali educative.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

WHISTLEBLOWING/1 – Lo scorso 14 febbraio le Commissioni Giustizia e Lavoro pubblico e privato della Camera dei Deputati hanno espresso – con un documento scaricabile gratuitamente per gli iscritti all’Associazione Aodv231 – il loro parere favorevole sullo schema di decreto legislativo in materia di #whistleblowing. All’interno del documento sono inoltre presenti un’osservazione di carattere generale – consistente in un invito a restringere l’ambito di operatività della bozza di decreto alle sole violazioni del diritto europeo – e nove osservazioni di carattere “particolare”, tra cui (i) il suggerimento di prevedere un esonero all’obbligo di istituire un canale interno di segnalazione per le realtà con meno di 50 dipendenti e (ii) istituire sanzioni per i soggetti che effettuano volontariamente segnalazioni false.

WHISTLEBLOWING/2 –  La Commissione europea ha aperto, lo scorso 15 febbraio, la procedura di infrazione per mancato recepimento della direttiva UE 2019/193 (cd. #Whistleblowing) nei confronti di otto Stati membri, tra cui l’Italia. Ciascun Paese membro, infatti, avrebbe dovuto recepire la direttiva entro il 17 dicembre 2021. In particolare, la decisione si fonda sulle risposte – a parere della Commissione “non soddisfacenti” – fornite da tali stati dopo la messa in mora disposta nel gennaio 2022.

WHISTLEBLOWING E LIBERTÀ DI ESPRESSIONE – La Corte Europea per i Diritti dell’Uomo si è recentemente pronunciata, con sentenza dello scorso 14 febbraio, sul tema del regime di tutela del segnalante. In particolare, secondo la Corte, il criterio per valutare il regime di tutela applicabile al whistleblower è la verifica dell’interesse pubblico rivestito dalla informazione diffusa. Quando, cioè, l’informazione è tale da attirare l’attenzione o preoccupare la comunità, la necessità di una sua divulgazione prevale sulla tutela della riservatezza proprio in quanto funzionale alla creazione di un dibattito su questioni di interesse pubblico.

CASSAZIONE SU REQUISITI PER RESPONSABILITA’ 231 –  Non sussiste alcuna responsabilità a carico dell’impresa, imputata di illeciti 231, per i reati commessi dai propri collaboratori, perché il coinvolgimento dell’azienda deve essere puntualmente provato dall’accusa. Anche se l’Ente non ha preventivamente adottato o efficacemente attuato il noto Modello previsto dal Decreto 231, è necessaria la prova di una precisa colpa di organizzazione per potersi configurare la responsabilità amministrativa da reato dell’Ente. Con la recente sentenza 11 gennaio 2023 n. 570 la Corte di Cassazione è tornata su uno dei punti nodali della disciplina sulla responsabilità disciplinata dal Decreto 231, effettuando da un lato la precisa ricognizione dei suoi elementi indispensabili e, dall’altro, sottolineando come essi debbano essere tutti positivamente provati in sede giudiziaria.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TWITTER/ MUSK – Elon Musk ritorna a far parlare di sè. Deluso dai risultati ottenuti nell’ultimo periodo dai suoi tweet, il CEO di Twitter ha modificato il codice dell’app in modo tale da risolvere i suoi problemi di “visibilità”. Il risultato? Migliaia e migliaia di utenti hanno segnalato di aver ricevuto nella sezione “Per te” – quella cioè gestita da un algoritmo – moltissimi tweet e risposte provenienti proprio dall’account di Musk. 

FONDO “ETCI” PER IMPRESE INNOVATIVE – La Banca europea per gli investimenti, il Fondo europeo per gli investimenti e cinque Stati membri dell’Ue, tra i quali l’Italia, hanno inaugurato la European Tech Champions Initiative (“ETCI”), un fondo da 3,75 miliardi di euro che destinerà a imprese innovative europee il capitale di crescita necessario nelle fasi avanzate del loro sviluppo. Il fondo ha l’obiettivo di consolidare i mercati del capitale di rischio per le imprese innovative in Europa, e di appianare divari esistenti nell’accesso ai finanziamenti. I leader del progetto hanno dichiarato che l’Europa può contare su solide imprese innovatrici, ma deve migliorare il contesto che consente alle imprese di fare il passaggio dallo status di start-up a quello di concorrente credibile e leader di mercato.

FURTO DI DATI – Il “Threat Intelligence Report” pubblicato il 14 febbraio dall’Osservatorio Exprivia e relativo all’ultimo quadrimestre del 2022 ha registrato un picco molto alto di minacce informatiche in Italia, con un numero di incidenti informatici e attacchi andati a buon fine pari al doppio del 2021 e oltre al quadruplo del 2020 Secondo gli esperti, ciò è stato possibile proprio per via del crescente lasso di tempo tra il momento dell’attacco e l’incidente, oltre che per le tecniche sempre più sofisticate usate dagli hacker e dalla poca consapevolezza sui rischi legati alla rete da parte di imprese e cittadini. Il settore Finance risulta tra i più colpiti dagli attacchi, dato che le aziende finanziarie, gli istituti bancari, le piattaforme di criptovalute, gestendo importanti quantità di denaro, rappresentano un obiettivo promettente per gli attaccanti.

STANDARD CERTIFICAZIONE AI NATO – Il Data and Artificial Intelligence Review Board (“DARB”) della NATO ha annunciato di aver avviato lo sviluppo di uno standard di certificazione dell’intelligenza artificiale (“AI”) di facile utilizzo. In particolare, il DARB ha sottolineato che lo standard aiuterebbe le industrie e le istituzioni di tutti i membri della NATO a garantire che i nuovi progetti di intelligenza artificiale e dati siano in linea con il diritto internazionale, nonché con le norme e i valori della NATO. Inoltre, il DARB ha precisato che lo standard dovrebbe essere completato entro la fine del 2023 e che il suo scopo è tradurre i Principi di uso responsabile della NATO, approvati nell’ottobre 2021 come parte della prima strategia di intelligenza artificiale della NATO, in controlli ed equilibri concreti in termini di governabilità, tracciabilità e affidabilità, contribuendo così a creare fiducia tra la comunità dell’innovazione, gli utenti finali operativi e il pubblico in generale.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SLOVENIA – Il Commissario per l’informazione sloveno ha recentemente annunciato la pubblicazione di linee guida in materia di organizzazione di eventi. L’organizzazione di tali iniziative, infatti, comporta inevitabilmente il trattamento di dati personali dei soggetti partecipanti partecipanti: per tale ragione è, tra le altre cose, indispensabile garantire la corretta informazione dei partecipanti in merito (i) alle categorie di dati da trattare, (ii) ai motivi per cui tale trattamento risulta necessario e (iii) ai diritti che i partecipanti possono esercitare.

PAESI BASSI – La AP, Autorità garante olandese, ha emesso lo scorso 13 febbraio un parere in materia di utilizzo dei dati personali per finalità di ricerca scientifica. Interrogata dalla Camera dei rappresentanti circa la possibilità di riutilizzo dati di vaccinazione al fine di condurre una ricerca sull’eccesso di mortalità durante la pandemia, l’Autorità ha stabilito – in via generale – che la fornitura di dati sanitari ai ricercatori è possibile e lecita  sia alla luce del GDPR che del CBS (Centraal Bureau voor de Statistiek, organizzazione ufficiale olandese responsabile per il coordinamento dei servizi statistici). L’Autorità ha tuttavia chiarito che il GDPR non si applica al trattamento dei dati sanitari delle persone decedute: per tale motivo, una volta che il soggetto titolare dei dati di vaccinazione sia morto,i dati dovranno tornare ad essere  soggetti al segreto professionale e alla riservatezza. 

GERMANIA – Il 10 febbraio 2023 il Consiglio federale (“Bundesrat”) ha annunciato la decisione di respingere il progetto di legge sulla protezione contro le denunce (“HinSchG”), a seguito della sua adozione da parte del parlamento tedesco (“Bundestag”), il 16 dicembre 2022. In particolare, il Bundesrat ha osservato che il governo federale e il Bundestag potranno convocare un comitato di mediazione per discutere un accordo con gli Stati federali.

BAVIERA – L’Autorità bavarese per la protezione dei dati (BayLfD) ha emesso una guida contenente indicazioni utili al fine di evitare violazioni di dati durante l’utilizzo di Microsoft Excel. L’Autorità, tra le altre cose, ha sottolineato l’importanza di (i) una corretta configurazione dell’applicazione, (ii) l’adozione di particolari precauzioni che riducano al minimo il rischio di divulgazione involontaria di dati personali e (iii) l’utilizzo dello strumento di revisione prima di condividere una cartella di lavoro.

AMBURGO – Interessante decisione di incostituzionalità della Corte territoriale in merito a una legge locale che consentiva l’utilizzo di un software (Palantir “Gotham”, di origine CIA) che permetteva alle forze di polizia di monitorare la “rete” di contatti di un determinato di soggetto, di fatto ponendolo sotto controllo senza necessità di imputargli un effettivo reato.

OMAN – Lo scorso 13 febbraio è entrato in vigore il Regio Decreto n.6/2022, di promulgazione del “Codice in materia di protezione dei dati personali”. Con i suoi 32 articoli, il Codice  allinea il sistema legislativo nazionale con le altre normative globali in materia di privacy. 

USA – La Securities and Exchange Commission (“SEC”) ha annunciato, il 14 febbraio 2023, di aver proposto una norma finalizzata a rivedere i regolamenti della SEC ai sensi del Privacy Act del 1974, dato che le norme attuali prevedono procedure per la presentazione delle richieste ai sensi della legge sulla privacy, comprese le richieste di accesso e modifica dei registri relativi alla persona che effettua la richiesta, e che le revisioni chiariranno, aggiorneranno e semplificheranno il linguaggio di diverse disposizioni procedurali.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Cristofer Maximilian grazie a Unsplash.

News #5/2023: enforcement privacy in UE, Metaverso e DSA nelle news di questa settimana

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • la Slovenia è l’ultimo stato UE (dopo quasi 5 anni) a implementare il GDPR;
  • arriveranno report su come va l’enforcement privacy in UE;
  • il Metaverso secondo il Garante italiano;
  • in ascesa (seppur di poco) l’Italia nel Corruption Index pubblicato online.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • un gruppo di professionisti che ci informano di aspetti molto interessanti e li approfondiscono è Italian Privacy & Cybersecurity Think Tank, che consigliamo di seguire anche iscrivendosi alla newsletter settimanale, oltre al canale Telegram con cui restare sempre aggiornati.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Superman (It’s Not Easy) – Five For Fighting (2000)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

SLOVENIA & GDPR – Dopo numerosi solleciti da parte della Commissione UE, finalmente la Slovenia ha adottato (il 27 dicembre 2022) la legge di implementazione del Regolamento Europeo 2016/679, che è ora entrata in vigore. Sono stati ora fatti alcuni lievi cambiamenti, tramite la legge nota come ZVOP-2, in particolare con riferimento a dati biometrici, regime del DPO e requisiti specifici per l’esecuzione della DPIA. Con questo passo, ora tutti gli Stati membri hanno implementato il Regolamento (come doveva avvenire nel 2018).

ENFORCEMENT IN UE – Come sta andando l’enforcement in materia privacy nell’Unione Europea? Se lo sta chiedendo la Commissione UE, e la risposta sembra essere “non benissimo, e non in modo uniforme”. Per ovviare alle divergenze di opinioni e approcci, che in alcuni casi (vedi Irlanda) portano a veri e propri scontri pubblici, la Commissione – in risposta all’Ombudsman UE a seguito di una segnalazione dell’ICCL – ha confermato che richiederà a ciascuna Autorità nazionale di fornire un report bimestrale. All’interno di esso – strettamente confidenziale, quindi purtroppo non li vedremo probabilmente mai – saranno indicate una serie di informazioni utili a tenere monitorata la situazione in Europa. Non ci resta che attendere il secondo report della Commissione UE sull’applicazione del GDPR per avere maggiori informazioni: ma già questa notizia fa ben sperare per un maggiore coordinamento tra Autorità nazionali – sia in ambito di sanzioni che di linee guida.

GARANTE PRIVACY SU METAVERSO – Nella 17° giornata europea della protezione dei dati personali, il Garante italiano ha messo in luce i rischi e le opportunità della nuova tecnologia. In linea con l’obiettivo dell’evento, l’intervento del Garante italiano ha approfondito le problematiche legate all’impatto che il Metaverso, definito un nuovo “habitat” digitale, avrà sulle relazioni sociali e sui comportamenti dei singoli, sulle loro libertà e diritti, così come sui processi decisionali della società.

GUIDA SUL DSA PER LE PIATTAFORME ONLINE – la Commissione europea ha annunciato di aver pubblicato una guida per aiutare le piattaforme online e i motori di ricerca che rientrano nell’ambito di applicazione della legge sui servizi digitali (“DSA”) a conformarsi all’obbligo di comunicare il numero di utenti nell’Unione europea, da ottemperare al più tardi entro il 17 febbraio 2023 e successivamente almeno ogni sei mesi.

INFOGRAFICA EDPB –  Il garante europeo della protezione dei dati (“EDPB”) ha pubblicato un’infografica sui principali tipi di reclami e di consultazioni trattati nel 2022. In particolare, l’infografica del GEPD evidenzia che le più frequenti #consultazioni hanno riguardato (i) il concetto di titolare del trattamento, contitolare e responsabile; (ii) i trasferimenti internazionali di dati; (iii) norme interne sulla protezione dei dati. Inoltre, l’infografica dell’EDPB ha illustrato che i #reclami ricevuti nel 2022 hanno riguardato principalmente (i) il diritto di accesso dei soggetti interessati; (ii) il diritto alla cancellazione e (iii) la raccolta adeguata e proporzionata di dati personali.

Non è stato fornito nessun testo alternativo per questa immagine
Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CORRUPTION PERCEPTION INDEX – Transparency International – l’associazione non governativa che si occupa di corruzione a livello internazionale – ha pubblicato lo scorso 31 gennaio il Corruption Perception Index relativo all’anno 2022.  Il documento  classifica ogni anno i Paesi in base al loro livello di corruzione percepito nel settore pubblico su una scala di punteggio da 0 (massimo livello di corruzione percepita) a 100 (minimo livello). Danimarca, Nuova Zelanda e Finlandia si confermano i Paesi in cui la percezione della corruzione è minore a livello globale; in fondo alla classifica, Sud Sudan, Siria e Somalia. In ascesa l’Italia, che pur confermando il punteggio dell’anno precedente (56/100) scala in positivo di una posizione la classifica mondiale.

ODV – La Corte d’Appello di Venezia è intervenuta (con sentenza n. 3348, disponibile gratuitamente per gli iscritti all’Associazione Aodv231) in materia di effettività e autonomia dell’Organismo di Vigilanza. La vicenda, in particolare, è quella di un istituto di credito chiamato a rispondere dei reati di aggiotaggio, ostacolo all’esercizio delle funzioni delle Autorità di vigilanza e falso in prospetto. Nel confermare la condanna per l’ente (con riduzione, però, dell’ammontare della pena inflitta dalla decisione di primo grado) i giudici hanno specificato che il Modello organizzativo adottato dall’istituto di credito introduceva un OdV talmente privo di autonomia, da non costituire in concreto un vero e proprio ostacolo alla commissione dei reati-presupposto previsti dal Decreto 231.

BANCA D’ITALIA E ANTIRICICLAGGIO –  La Banca d’Italia ha rafforzato l’attività di vigilanza in materia di antiriciclaggio, e ha pubblicato sul proprio sito internet una nuova sezione dedicata (sezione “Supervisione e Normativa Antiriciclaggio”), che fornisce agli utenti  linee guida sulla normativa antiriciclaggio a livello internazionale, europeo e nazionale. Inoltre, nella sezione è presente un questionario che le banche e gli intermediari finanziari, soggetti ai poteri regolamentari e di vigilanza della Banca d’Italia, dovranno compilare per permettere la raccolta di dati a fini di statistiche e osservazioni sull’antiriciclaggio.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

CICLO DI VITA DEI PRODOTTI – L’Unione europea sta recentemente valutando la possibilità di adeguare la definizione del ciclo di vita di ciascun prodotto alle sue specifiche peculiarità e spostare le segnalazioni delle vulnerabilità a livello nazionale. Tali valutazioni sono attualmente contenute all’interno di un nuovo compromesso sul #CyberResilienceAct (la proposta legislativa dell’UE finalizzata a introdurre requisiti minimi di sicurezza informatica per l’ “Internet of Things”). Se in principio Cyber Resilience Act imponeva ad ogni produttore di garantire i prodotti immessi sul mercato per tutto il ciclo di vita del singolo prodotto o per un massimo di cinque anni, la nuova proposta – riconoscendo che ogni prodotto è diverso dall’altro e che, di conseguenza, non è possibile fissare indistintamente un ciclo di vita unico per tutti i prodotti – stabilisce che i produttori devono garantire i loro prodotti con elementi digitali “per un periodo di tempo adeguato al tipo di prodotto e alla sua durata prevista”. Per quanto riguarda le segnalazioni delle vulnerabilità, il vecchio testo individuava nell’ENISA il soggetto competente alla loro ricezione. Tuttavia, a fronte dei dubbi circa le concrete capacità dell’Agenzia europea per cybersicurezza di gestire migliaia di notifiche, è stato proposto di dirottare le segnalazioni al Computer Security Incident Response Team (CSIRT) di ciascuno stato membro. La proposta sarà ora discussa a livello tecnico, per comprenderne la fattibilità.

ARTIFACT – Dalle menti di Kevin Systrom e Mike Krieger (co-founder di Instagram) è di recente nata Artifact, una nuova app di notizie personalizzate che utilizza tecnologie di apprendimento automatico per comprendere i gusti dei suoi utenti. La logica di funzionamento di Artifact pare essere la stessa di TikTok: basterà cliccare su un articolo di proprio gradimento per vedere in futuro contenuti simili. Al momento Artifact non è ancora aperta al grande pubblico, ma esiste già una lista d’attesa che consente ai suoi iscritti di vedere il feed centrale. Intanto, nell’attesa, gli utenti beta stanno testando altre due funzionalità dell’app. 

CONSUMATORI E TARGETING POLITICO – La Commissione per il Mercato Interno e la Protezione dei Consumatori del Parlamento europeo (“IMCO”) potrebbe inasprire le norme sulla pubblicità politica per ridurre le interferenze elettorali e migliorare la trasparenza. La proposta dell’IMCO consente agli inserzionisti di utilizzare solo i dati personali espressamente forniti a fini di pubblicità politica. Ciò vieterebbe il “micro-targeting” degli elettori “sulla base del sesso, della razza, dell’orientamento sessuale o di altre caratteristiche individuali”, così come l’uso dei dati dei bambini. La proposta include anche regole per rendere più trasparenti i finanziatori dei candidati.

INVESTIMENTI PNRR PER IL DIGITALE – Il report dell’Istituto per la Competitività (“I-Com”) realizzato dalla Commissione del Parlamento europeo sullo stato d’attuazione dei Piani di ripresa e resilienza (“PNRR”) degli Stati membri in ambito digitale, mostra che l’Italia si colloca al primo posto in Europa per entità degli investimenti nel digitale legati al Pnrr. In generale, l’Italia ha impegnato una quota del 26,7% in cybersecurity, nelle reti e nelle competenze digitali delle imprese. Si rileva anche, però, che manca una visione comune dello sviluppo delle tecnologie avanzate, a partire dall’intelligenza artificiale, coerente con gli obiettivi di autonomia strategica e di competitività che l’Unione europea si sta dando.

CONTACT CENTER AS A SERVICE (“CCaaS”) – Un customer journey efficiente oggi deve essere in grado di attraversare qualsiasi canale e qualsiasi dispositivo, mantenendo costantemente il contatto con il brand e offrendo una esperienza consistente tra i diversi canali. Un’esigenza che trova risposta, grazie al cloud computing, in una nuova generazione di Contact Center as a Service, mercato che ha visto una forte accelerazione nel periodo della pandemia, perché ha permesso, in modo agile e veloce, di abilitare canali di contatto con i clienti o i cittadini. Un recente studio illustra nel dettaglio i benefici che le aziende possono ottenere con un Contact Center as a Service, tra i quali (i) la flessibilità e la scalabilità del contact center in cloud, (ii) la capacità di organizzazione per migliorare la qualità del servizio, (iii) il modello della Total Experience, (iv) la flessibilità nella pianificazione degli investimenti in CCaaS, (v) il ruolo dell’Intelligenza Artificiale nel Contact Center as a Service. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

FRANCIA – L’Autorità francese per la protezione dei dati (CNIL) ha recentemente reso noto di aver pubblicato una guida per fornire indicazioni ai recruiter in materia di trattamento dei dati personali dei candidati. La guida si compone di due sezioni: la prima contiene un richiamo ai principi generali fissati dal GDPR in materia di assunzioni, mentre la seconda contiene una serie di domande e risposte in materia di utilizzo di nuove tecnologie durante il processo di selezione dei candidati.

REPUBBLICA CECA – L’Agenzia nazionale per la sicurezza informatica e dell’informazione ceca (NÚKIB) ha di recente dichiarato di avere preparato un progetto di legge sulla sicurezza informatica in vista del recepimento della direttiva cd. NIS 2. Attualmente la bozza di legge è aperta alla consultazione pubblica fino al prossimo 26 febbraio. 

ANDORRA – L’Autorità garante di Andorra (“APDA”) ha recentemente pubblicato una linea guida in materia di valutazione di impatto (cd. DPIA) ai sensi della legge nazionale sulla protezione dei dati personali. Con tale linea guida l’APDA propone un modello di DPIA sostanzialmente equivalente allo standard europeo.

COREA DEL SUD – La Commissione per la protezione delle informazioni personali coreana (PIPC) ha annunciato di aver rilasciato la versione aggiornata delle linee guida in materia di protezione dei dati personali in materia di lavoro e occupazione. Scopo delle linee guida è migliorare il livello di protezione delle informazioni personali nel contesto lavorativo.

SINGAPORE – Lo scorso 1 febbraio è entrato in vigore l’Online Safety Bill, il disegno di legge in materia di sicurezza online. La nuova legge prevede, in particolare, che i servizi di comunicazione online devono, tra le altre cose, (i) fornire un ambiente online sicuro, (ii) dare prioritaria protezione a quelle categorie di utenti finali che, come i minori, sono maggiormente esposte al rischio di esposizione a contenuti dannosi. 

GIAPPONE – La nota società automobilistica Kitakanto Mazda Co. Ltd ha di recente reso noto di essere stata colpita da una violazione di dati personali. Secondo quanto affermato da Mazda, a causare il data breach (che ha coinvolto i dati di circa 50 mila clienti) sarebbe stato l’accesso non autorizzato da parte di terzi nei propri sistemi. La società – che ha già provveduto a segnalare la violazione alle autorità competenti – è ora impegnata a migliorare i propri sistemi di sicurezza.

USA:

  • il National Institute of Standards and Technology (“NIST”) ha pubblicato l’Artificial Intelligence Risk Management Framework (“AI RMF”), un documento di orientamento rivolto alle organizzazioni che progettano, sviluppano, distribuiscono o utilizzano sistemi di intelligenza artificiale (“AI”) per contribuire a gestire efficacemente i rischi delle tecnologie AI. In particolare, il NIST ha sottolineato che l’AI RMF è destinato ad adattarsi al panorama dell’AI insieme allo sviluppo delle tecnologie, e ad essere utilizzato dalle organizzazioni in modo che la società possa trarre vantaggio dalle tecnologie dell’IA e allo stesso tempo essere protetta dai suoi potenziali danni.
  • la Federal Trade Commission ha di recente annunciato la sua proposta di multare la GoodRx Holdings Inc per 1,5 milioni di dollari in conseguenza della divulgazione di informazioni personali sanitarie a terzi e della mancata notifica ai consumatori. Dalle indagini dell’Autorità è infatti emerso che GoodRx – società che gestisce una piattaforma sanitaria digitale che offre sconti per diversi servizi sanitari – ha condiviso le informazioni sanitarie dei suoi utenti con piattaforme come Google e Facebook (e, in quest’ultimo caso, ha anche sfruttato le informazioni condivise per indirizzare gli utenti verso campagne pubblicitarie mirate). 
  • CALIFORNIA – Rob Bonta, Procuratore generale della California, ha annunciato di aver avviato una indagine nei confronti delle aziende con app mobili che non rispettano il CCPA (California Consumer Privacy Act 2018). In particolare, l’indagine governativa si concentra su tutte le app “popolari” che (i) presumibilmente non soddisfano le richieste degli utenti di rinuncia o (ii) non prevedono alcun meccanismo che consenta ai consumatori di interrompere la vendita dei propri dati personali.
  • NEW YORK –  è stato presentato al Senato dello Stato di New York il disegno di legge nr. 2998 per un atto di modifica del diritto commerciale generale, in relazione all’istituzione della legge sulla protezione dei consumatori online. La proposta normativa prevede, tra le altre cose, che le reti pubblicitarie debbano pubblicare un avviso chiaro e ben visibile sulla home page del loro sito Web relativamente alla loro politica sulla privacy e sulle pratiche di raccolta e utilizzo dei dati. Inoltre, la bozza di testo legislativo prevede che gli editori di una pagina web dovranno, in ogni contratto con una rete pubblicitaria, pubblicare un avviso chiaro e ben visibile che descriva la raccolta e l’uso delle informazioni da parte della rete pubblicitaria.
Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Denys Nevozhai grazie a Unsplash.

News #3/2023: tra sanzione a WhatsApp e novità sui cookie, i mercati digitali sono in fermento

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • ha suscitato reazioni contrastanti la #sanzione di “soli” 5 milioni di euro inflitta dalla DPC irlandese a Meta, questa volta in relazione a #WhatsApp;
  • importanti indicazioni sui #cookie dal survey predisposto dall’EDPB;
  • si apre (forse) una questione sanità vs. algoritmi tra Regione Veneto e Garante;
  • AGCOM regolamenta l’equo compenso online per la pubblicazioni di news giornalistiche.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • grande attenzione ai temi informatici, ISO e di aggiornamento dei numerosi strumenti di compliance disponibili oggi nella newsletter mensile e nei post di Cesare Gallotti, un profilo che seguiamo con grande interesse!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Ghosts (How Can I Move On) – Muse (2022 – Will Of The People)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY & CYBERSECURITY

WHATSAPP – Il Garante irlandese (DPC) ha annunciato di aver inflitto una sanzione (DI appena 5.5 milioni di euro!) a WhatsApp Ireland Limited. A seguito di una segnalazione era infatti emerso che nel 2018 WhatsApp aveva aggiornato i propri Termini di servizio, informando i propri utenti che una loro #accettazione risultava #necessaria per continuare ad usufruire della piattaforma a seguito dell’introduzione del GDPR. Tale accettazione era stata interpretata dalla società come stipula di un #contratto, tale per cui il conseguente trattamento di dati personali degli utenti (che comprendeva anche la fornitura di profilazione per “miglioramenti del servizio”) risultava #legittimo in quanto eseguito in esecuzione di un contratto. Diversamente, il denunciante sosteneva che tale trattamento si dovesse più correttamente basarsi sul #consenso e che, di fatto, WhatsApp aveva obbligato i propri utenti ad acconsentire, pena l’inutilizzabilità del servizio – come per le precedenti sanzioni imposte di recente a carico di Meta. Con il #provvedimento conclusivo del procedimento è stato imposto a WhatsApp, oltre alla sanzione, un termine di sei mesi per rendere conformi alla normativa vigente le proprie operazioni di trattamento.

COOKIE BANNER – Il Comitato Europeo per la protezione dei dati (EDPB) ha di recente reso noto di aver adottato – nel corso della seduta plenaria di gennaio 2023 – una bozza di relazione in merito al lavoro svolto dalla sua Cookie Banner Task Force, istituita in seguito ai (molti) reclami avanzati da NOYB ai vari Garanti europei. In particolare, all’interno della relazione l’EDPB ha specificato che le diverse Autorità europee hanno raggiunto un accordo circa l’interpretazione delle disposizioni applicabili nel caso concreto, e cioè Direttiva 2002/58/CE (c.d. direttiva #ePrivacy) e Regolamento UE 2016/679 (GDPR). Tra gli argomenti trattati all’interno della relazione, (i) i pulsanti di rifiuto, (ii) i colori ingannevoli e il contrasto dei pulsanti, (iii) la classificazione dei cookie essenziali e (iv) le caselle preselezionate.

UE – DIRETTIVE NIS2 e CER – Lo scorso 16 gennaio la Commissione Europea ha annunciato con un proprio comunicato stampa l’entrata in vigore  di due direttive: (i) la Direttiva UE 2022/2557 sulla resilienza delle entità critiche (cd. Direttiva CER) e (ii) la Direttiva UE 2022/2555 recante disposizioni finalizzate a garantire un livello elevato di #cybersicurezza comune in tutti i Paesi dell’Unione (cd. Direttiva NIS2). Con particolare riferimento alla Direttiva CER, questa impone valutazioni volte a individuare i settori “critici” della società e dell’economia – ossia maggiormente esposti a rischi quali attacchi terroristici, pericoli naturali o sabotaggi – e migliorarne la resilienza. Per quanto righuarda la Direttiva NIS2, la Commissione ha reso disponibile sul proprio sito web una scheda illustrativa nonchè una serie di domande e risposte. Gli Stati membri hanno ora 21 mesi a disposizione per adeguarsi alle disposizioni dettate dalle nuove direttive.

WHISTLEBLOWING E DPIA – Un punto importante dello schema di Decreto Legislativo di recepimento della Direttiva UE 2019/1937 riguardante la #segnalazione di illeciti per contrastare fenomeni di #corruzione, sia nelle imprese private che nelle Pubbliche Amministrazioni – che l’11 gennaio scorso ha ricevuto #parerepositivo dall’Autorità Garante – è dedicato al trattamento di dati personali nei procedimenti di whistleblowing. All’art. 13 si chiariscono infatti gli adempimenti necessari per la corretta applicazione della disciplina #privacy, tra i quali, al comma 6, è previsto che gli enti debbano definire il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, “sulla base di una #valutazionediimpatto sulla protezione dei dati”. Tutti gli enti dovranno quindi attivare canali sicuri, soprattutto quando si utilizzano piattaforme online o Internet per fare in modo di garantire ai segnalatori la riservatezza sulla loro identità, necessaria ad assicurare sia il flusso di informazioni sugli illeciti, sia a #proteggere gli stessi #whistleblower da atti ritorsivi e persecutori.

REGIONE VENETO E ALGORITMI IN SANITA’ – Il Garante per la protezione dei dati personali ha recentemente annunciato di aver inviato alla Regione Veneto una richiesta formale al fine di verificare la compatibilità di una #delibera – in virtù della quale sarebbe un #algoritmo, e non più un medico di medicina generale, a scegliere la classe di priorità della prestazione sanitaria richiesta dai pazienti – con la normativa privacy vigente. La questione è particolarmente delicata, non solo perché comporterebbe un trattamento su larga scala di dati sanitari (particolari, e dunque sensibili, ai sensi dell’art. 9 GDPR), ma anche perché dalle prime informazioni in possesso dell’Autorità sembrerebbe che le valutazioni espresse dall’algoritmo non potrebbero in concreto essere #modificate da nessun medico. La Regione Veneto dispone ora di 20 giorni per comunicare all’Autorità tutti gli elementi utili ai fini della valutazione dell’Autorità, tra cui (i) il tipo di algoritmo utilizzato, (ii) la norma giuridica posta alla base del trattamento e (iii) le tipologie di informazioni e di documenti trattati. La Regione, inoltre, dovrà specificare il numero di pazienti coinvolti, le modalità attraverso le quali ha informato gli interessati e gli elementi relativi alla valutazione di impatto (DPIA) effettuata.

CASO MESSINA DENARO –  Il clamoroso arresto del boss mafioso Matteo Messina Denaro  – latitante dal 1993 e catturato lo scorso 16 gennaio a Palermo, in una clinica privata presso la quale si trovava in cura – ha scatenato una pioggia di commenti, reazioni, riflessioni e (prevedibilmente)…infiniti articoli giornalistici. Sul punto è prontamente intervenuto il Garante per la protezione dei dati personali italiani che, in un comunicato diffuso sul proprio sito web, ha ribadito ai media il rispetto del #principio di #essenzialità fissato dalle Regole deontologiche della professione giornalistica. “Anche in casi di vicende di assoluto interesse pubblico” – scrive il Garante – “riguardanti persone che si sono macchiate di crimini orribili, la #pubblicazione integrale di referti, o la diffusione di dettagli particolareggiati presenti nelle cartelle cliniche relative a patologie, non appare giustificata”. 

TASSONOMIA STRUMENTI INFORMATICI – La ACN (Agenzia per la Cybersicurezza Nazionale) ha di recente annunciato la pubblicazione in Gazzetta Ufficiale di una nuova tassonomia degli incidenti informatici che devono essere notificati al fine di rafforzare il cd. Perimetro Nazionale di Cybersicurezza. Nel suo comunicato l’Agenzia pone l’accento sull’art. 1, comma 3-bis del D.L. n.115 dello scorso 9 agosto 2022 (convertito con l. n. 142/2022) il quale impone l’obbligo di notificare all’ACN, nel termine di 72 ore, ogni incidente che (i) interessa beni informatici compresi nel Perimetro Nazionale di Cybersicurezza nonchè (ii) gli incidenti che impattano su reti, sistemi e servizi informativi non contemplati in maniera diretta nel Perimetro. La nuova #categorizzazione degli incidenti informatici entrerà in vigore il prossimo 25 gennaio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

INTERDITTIVA ANTIMAFIA E AGEVOLAZIONI PUBBLICHE – Con la sentenza n. 49124 (disponibile gratuitamente per gli iscritti all’associazione Aodv231) la Corte di Cassazione ha stabilito che il #sequestropreventivo dei fondi ottenuti da una società durante il periodo di emergenza pandemica non può fondarsi sulla #omessadichiarazione circa l’interdittiva antimafia a carico di una società diversa da quella che ottenuto il beneficio, anche se facente parte del medesimo gruppo societario. Oltre a ciò, la Corte chiarisce che – in ogni caso – l’accesso a fondi e contributi è precluso per la società destinataria di una interdittiva antimafia solamente nel momento in cui questa diventa definitiva. 

AUTONOMIA DELLA RESPONSABILITÀ DELL’ENTE –  La Corte di Cassazione è recentemente tornata ad esprimersi in materia di #autonomia della responsabilità dell’ente rispetto a quella propria del soggetto (apicale o sottoposto) autore del reato. Sul presupposto che non può essere condannata una società senza il dovuto approfondimento circa l’incidenza della c.d. colpa di organizzazione ai fini della commissione del fatto di reato, con sentenza n. 570 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) gli Ermellini hanno annullato la condanna di una società. In particolare, in conseguenza di un incidente mortale – verificatosi a causa di una non corretta edificazione di un ponteggio – l’ente era stato #condannato per l’illecito di cui all’art. 25-septies, comma 3 del Decreto 231. Secondo i giudici, tuttavia, i profili di colpa ascrivibili all’amministratore della società in quanto datore di lavoro non possono automaticamente addebitare all’ente, senza le dovute valutazioni e le necessarie prove circa la citata colpa di organizzazione.

INQUINAMENTO E AUTORIZZAZIONE INTEGRATA AMBIENTALE – Con sentenza dello scorso 10 gennaio (n. 398, consultabile gratuitamente per gli iscritti all’associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che il reato di #inquinamento ambientale non si estingue con il rilascio dell’autorizzazione di cui all’art. 29-bis del D. Lgs. 152/2006. Nel pronunciarsi, i giudici di piazza Cavour hanno chiarito che (i) la semplice effettuazione del programma necessario all’ottenimento dell’autorizzazione non è sufficiente a determinare l’estinzione del reato e (ii) il rilascio della certificazione non produce effetti sui reati già commessi.

SISTEMA DI GESTIONE DELLA SICUREZZA – La regolarità del sistema di gestione della sicurezza, secondo quanto previsto dal D. Lgs. 81/2008, non esclude la responsabilità dell’ente per i reati previsti dal Decreto 231. Lo ribadisce la Corte di Cassazione, IV sez. penale, con la sentenza 45131/2022 (disponibile gratuitamente per gli iscritti ad Aodv231).  I giudici di legittimità hanno ritenuto irrilevante la presenza, al momento dell’infortunio sul luogo di lavoro, sia di un #sistema di #gestione della sicurezza che dell’individuazione di tutti i soggetti da esso previsti. Queste misure, infatti, sono funzionali alla prevenzione degli infortuni sul lavoro, ma è il Modello 231 a determinare e rispondere alle necessità di mappare le aree maggiormente a rischio e di disporre i controll opportuni per assicurare l’adempimento degli obblighi in ambito di sicurezza sul lavoro, così da contenere il rischio di commettere reati, violando la normativa antinfortunistica. 

INDICATORE PNRR PER DEBITI COMMERCIALI – Dal 1° gennaio il rispetto dei tempi di pagamento della Pubblica Amministrazione sarà misurato da indicatori funzionali all’erogazione dei fondi del PNRR, con un #parametro elaborato grazie alla riforma sulla “Riduzione dei tempi di pagamento delle PA e del sistema sanitario”, inserita fra quelle abilitanti del Piano, che prevede il rispetto dei tempi di pagamento previsti dalla normativa nazionale ed europea entro il quarto trimestre 2023, con conferma nel 2024.

VENDITA FALSI PRODOTTI DOC – La Cassazione con la sentenza n. 47810/2022 (disponibile gratuitamente per gli iscritti al sito Aodv231) ha respinto un ricorso secondo il quale il sequestro, finalizzato alla confisca per equivalente, non poteva essere supportato dal reato associativo, strumento utile di per sé a commettere reati che, solo potenzialmente, possono portare profitto. I giudici di legittimità hanno così condannato alla misura del #sequestro preventivo delle #quote sociali – per l’illecito amministrativo previsto dalla legge 231/2001 – la cooperativa che vendeva falsi vini DOC.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

EQUO COMPENSO PER PUBBLICAZIONI ONLINE – L’Autorità Garante nelle Comunicazioni (“AGCOM”) ha approvato un regolamento sulla determinazione dell’equo compenso per l’utilizzo online delle pubblicazioni giornalistiche, in base al quale, per la #diffusione online dei #contenuti #giornalistici, le piattaforme dedicate dovranno stipulare specifici contratti con gli editori e determinare quanto della raccolta pubblicitaria proveniente da tale utilizzo debba essere corrisposta a questi ultimi. Lo scopo principale è di incentivare accordi tra editori e prestatori di servizi della società dell’informazione, comprese le imprese di media monitoring e rassegne stampa, ispirandosi alle pratiche commerciali e ai modelli di business adottati dal mercato. 

INTELLIGENZA ARTIFICIALE PER I RETAILER – Sono state lanciate sul mercato alcune tecnologie digitali funzionali ad aiutare i retailer a trasformare i loro processi di controllo degli scaffali in negozio e migliorare i loro siti di e-commerce con esperienze di acquisto online più fluide e naturali per i clienti. In particolare, è disponibile in anteprima a livello globale la nuova #soluzione di #controllo degli #scaffali basata sull’intelligenza artificiale di Google Cloud, che permette di aiutare i retailer a migliorare la disponibilità dei prodotti sugli scaffali, fornire una migliore visibilità sull’aspetto effettivo dei loro scaffali e aiutarli a capire dove sono necessari rifornimenti. L’intelligenza artificiale per il controllo degli scaffali consente ai retailer di risolvere il problema di come identificare prodotti di tutti i tipi, su larga scala, basandosi esclusivamente sul caratteristiche visive e testuali di un prodotto, e tradurre tali dati in insight fruibili.

PROGETTO EURO DIGITALE – Alla sede del Consiglio Economia e finanza a Bruxelles i ministri dell’Economia dell’Unione europea hanno discusso alcune richieste sul progetto allo studio della Banca Centrale Europea (“BCE”) sull’Euro digitale, che dovrebbe integrare il contante ed essere introdotto in un contesto di #digitalizzazione dell’economia. Secondo le aspettative, l’Euro digitale potrebbe garantire l’accesso alla moneta della BCE per gli utenti della zona euro in tempi di maggiore digitalizzazione dei #pagamenti, dovrebbe essere sicuro e resiliente, e garantire un elevato livello di privacy, essendo facile da usare e ampiamente accessibile al pubblico, anche in termini di costi per gli utenti finali.

SANITA’ DIGITALE – Il recente report di CB Insight sulla sanità digitale ha evidenziato le principali criticità riguardanti i “deserti sanitari”, cioè aree geografiche con un accesso limitato alle cure e ai servizi sanitari fondamentali, e i fattori socio-economici che di fatto limitano l’accesso alle cure, come lo scarso accesso a Internet, la scarsa alfabetizzazione sanitaria e un basso livello di istruzione. Il #report identifica i principali obiettivi della sfida tecnologica in sanità, che corrispondono anche alle #quattro #aree a maggior intensità di investimenti: (i) portare i pazienti alle cure, abbassando le barriere di accesso alle cure in ambulatorio; (ii) portare le cure al paziente, aumentando gli strumenti direct-to-consumer e favorendo l’accesso alle cure; (iii) in-store innovations, sfruttando l’hardware che trasforma i retailer in sandbox per i futuri centri di cura e (iv) il potenziamento dei software per l’accesso ai centri di cura.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SPAGNA – L’AEPD, Autorità garante spagnola, ha annunciato lo scorso 17 gennaio di aver approvato il nuovo Codice di condotta relativo al trattamento dei dati per attività pubblicitarie. Il nuovo Codice – che rivede quello inizialmente approvato il 3 novembre 2022 e che entrerà in vigore il prossimo 28 gennaio – si applicherà al trattamento di dati a fine pubblicitario, tra cui (i) comunicazioni commerciali, (ii) utilizzo di cookie per pubblicità comportamentale o profilazione e (iii) promozioni effettuate al fine di raccogliere dati personali a fini pubblicitari. Il Codice prevede inoltre un modulo online come sistema di risoluzione extragiudiziale delle controversie nell’ambito del quale AUTOCONTROL (Associazione per l’auto-regolamento della comunicazione commerciale) opererà in veste di mediatore. Si specifica, inoltre, che qualora i reclami dovessero essere inoltrati direttamente all’AEPD, questa si riserverà il diritto di deferirli al Giurì della pubblicità.

CINA – La China Academy for Information Communications Technology (“CAICT”) ha pubblicato un recente paper sulla legislazione informatica, evidenziando lo sviluppo della legislazione in materia di protezione dei dati personali nel 2022, compresa quella incentrata sui trasferimenti transfrontalieri di dati e sulla regolamentazione delle piattaforme digitali. Il CAICT ha sottolineato anche la necessità di migliorare l’attuale supervisione dei trasferimenti transfrontalieri di dati personali nelle bozze di regolamento, nonché la regolamentazione del trattamento di categorie speciali di dati personali, come i dati relativi ai minori o i dati sanitari, in base alla base giuridica stabilita dalla legge sulla protezione delle informazioni personali (“PIPL”).

DANIMARCA – Datatilsynet, Autorità garante danese, ha annunciato di aver avviato, in seguito alla segnalazione di un privato, un’indagine nei confronti della regione Jutland centrale. Il segnalante – paziente dell’ospedale universitario di Aarhus – aveva infatti denunciato l’uso da parte della struttura sanitaria del social Instagram. In particolare, l’Autorità ha riferito che sull’account social dell’ospedale era possibile ritrovare pubblicate foto dei propri pazienti, tali da rivelare informazioni personali sui pazienti interessati. Per tale ragione Datatilsynet ha inviato all’ospedale una serie di domande sull’utilizzo del social, tra le quali la base giuridica prescelta per il trattamento e i risultati delle valutazioni dei rischi e delle analisi d’impatto compiute.

REGNO UNITO – L’ICO ha recentemente manifestato alcune preoccupazioni riguardo all’utilizzo dell’intelligenza artificiale (“AI”) da parte delle autorità locali, dopo aver condotto un’indagine sullo sviluppo, lo scopo e le funzioni di algoritmi e sistemi utilizzati dalle autorità locali nel processo decisionale in merito al diritto a benefici nel sistema di welfare. L’ICO ha osservato che il coinvolgimento umano deve essere tenuto in considerazione prima che venga presa qualsiasi decisione definitiva sul diritto alle prestazioni, e che qualsiasi decisione deve considerare alcuni passaggi pratici, quali (i) adottare un approccio di protezione dei dati by design e by default; (ii) essere trasparenti su come vengono utilizzati i dati personali; (iii) identificare ogni potenziale rischio per la privacy delle persone, valutando la possibilità di condurre una valutazione dell’impatto sulla protezione dei dati (“DPIA”).

USA:

  • VIRGINIA – E’ stato approvato e aggiunto al Codice della West Virginia un articolo (HB 2460) che mira a fornire una effettiva protezione della privacy online per i minori, e delinea termini che includono informazioni su bambini, operatori, genitori e personali. L’art. HB 2460 stabilisce che gli operatori devono fornire avvisi sul sito Web di quali informazioni vengono raccolte dai bambini, di come l’operatore utilizza tali informazioni e le pratiche di divulgazione dell’operatore per tali informazioni.
  • MASSACHUSETTS – E’ Stata presentata in Massachusetts una proposta di legge sulla protezione dei dati personali, che stabilisce importanti principi in materia di protezione dei dati personali, tra i quali, che le entità interessate dalla normativa non potranno raccogliere, elaborare o trasferire dati personali, a meno che non siano limitati a ciò che è ragionevolmente necessario e proporzionato per scopi specifici. 

SANZIONI:

  • SPAGNA – L’Autorità spagnola per la protezione dei dati personali (AEPD) ha recentemente pubblicato una propria decisione nella quale ha inflitto una sanzione (50 mila euro, poi ridotta a 40 mila) alla società Endesa Energía per violazione dell’art. 32 GDPR. Chiamata ad indagare da un reclamo proposto da un privato, l’AEPD ha infatti scoperto che Endesa Energía aveva ceduto il contratto con il denunciante ad un’altra società, e ciò (i) senza raccogliere il consenso dell’interessato e (ii) senza fornire un SMS certificato idoneo a provare l’accettazione del contratto. L’Autorità ha pertanto constatato una violazione di riservatezza, in quanto la Endesa Energía ha consentito ad una entità terza di accedere ai dati di un proprio cliente senza una valida base giuridica. 
  • NORVEGIA – L’autorità garante norvegese (“Datatilsynet”) ha sanzionato una società di spedizioni e logistica per violazione dell’articolo 32 del GDPR, per aver condotto un’insufficiente valutazione dei rischi e per la mancanza di misure di sicurezza nell’utilizzo dell’applicazione MyPostNord, che utilizzava i numeri di telefono come unico mezzo di autenticazione per accedere al profilo del cliente. L’autorità garante ha affermato che l’utilizzo dei numeri di telefono come unico fattore di autenticazione e verifica avrebbe creato una violazione del principio di riservatezza, soprattutto nel caso in cui i numeri di telefono fossero assegnati a nuovi proprietari ma i profili di servizio della società non venissero aggiornati.
  • POLONIA – L’autorità garante polacca ha sanzionato uno studio legale, Titolare del trattamento, avente attività principale nella consulenza in materia di incidenti stradali. Nel corso di queste attività, il Titolare del trattamento ha interagito con potenziali clienti al fine di valutare la loro situazione giuridica e le possibilità di far valere i loro diritti, ma, prima di interagire con gli interessati, il Titolare ha chiesto verbalmente il consenso al trattamento dei loro dati personali, senza prendere nota e dare, di conseguenza, alcuna dimostrazione all’autorità dell’ottenimento legittimo di tale consenso.
Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Timon Studler grazie a Unsplash.

News #2/2023: Corte di Giustizia, EDPB, giurisprudenza italiana e AGCM, quante decisioni.

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • l’EDPB rende #pubblica la propria decisione che ha “imposto” la sanzione a #Meta;
  • la Corte di Giustizia dell’UE ha pubblicato due #decisioni molto impattanti sulla compliance aziendale, che richiedono una riorganizzazione della gestione delle istanze degli interessati;
  • novità in materia di #accessibilità dei siti web e delle app, direttamente da #AgID;
  • dalla #giurisprudenza 231 arrivano importanti indicazioni in materia di confisca e infortuni sul lavoro;
  • importante sanzione #AGCM a Yoox.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • spunti e approfondimenti, sempre attuali, delle principali novità in materia privacy e data protection sul profilo LinkedIn di data TENET®, che seguiamo attentamente anche noi in Project:IN per non perderci mai una news!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Slow Dancing in a Burning Room – John Mayer (2006 – “Continuum”)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DECISIONE VINCOLANTE EDPB SU META –  Lo scorso 12 gennaio il Comitato europeo per la protezione dei dati personali (EDPB) ha annunciato di aver pubblicato le sue decisioni vincolanti nell’ambito delle controversie promosse dal Garante irlandese contro Meta in relazione ai servizi Instagram Facebook.  Le decisioni, adottate ex art. 65 GDPR, costituiscono il risultato di una serie di indagini e valutazioni condotte dall’EDPB – e recepite dalla DPC irlandese all’interno del suo provvedimento dello scorso 31 dicembre 2022 –  circa la trasparenza e la liceità del trattamento relativo alla pubblicità comportamentale attuata dalle due piattaforme. All’appello manca ora soltanto la decisione vincolante relativa a WhatsApp, che arriverà non appena il Garante irlandese avrà pubblicato la propria decisione a riguardo.

I RICORSI SECONDO LA CGUE… – La Corte di Giustizia dell’Unione europea (CGUE) ha emesso una sentenza in materia di ricorsi amministrativi e civili previsti dal GDPR. La questione aveva preso le mosse da un ricorso amministrativo presentato all’Alta Corte di Budapest da un individuo il quale, avendo preso parte ad una riunione della società NAIH e avendo esercitato il diritto di accesso alle registrazioni della seduta, si era visto consegnare soltanto gli estratti che riproducevano i suoi interventi. Il soggetto, inoltre, aveva contestualmente avviato avverso la decisione della società anche un procedimento in sede civile, basata sul diritto sancito dal GDPR  di proporre ricorso giurisdizionale in caso di violazione dei diritti in esso stabiliti. Interpellata circa la possibilità che uno dei due rimedi abbia prevalenza sull’altro – soprattutto al fine evitare contrasti tra giudicati – la CGUE ha chiarito che il GDPR non prevede alcuna gerarchia tra i rimedi amministrativi e civili, sottolineando che è demandato ai singoli stati membri il compito di garantire che il concorso dei rimedi attribuiti agli interessati non mettano in dubbio l’effettività e la tutela dei loro diritti.

… E L’ESERCIZIO DEI DIRITTI SECONDO LA CGUE – In un’altra importante decisione della scorsa settimana, la Corte ha stabilito che un interessato ha #diritto a conoscere tutti (nessuno escluso!) i destinatari dei propri dati personali, a cui un titolare oggetto di istanza di accesso ha trasferito tali informazioni. Non è sufficiente, secondo la Corte, l’indicazione delle (sole) categorie di destinatari, ma la loro elencazione analitica, salvo che sia tecnicamente impossibile o comunque di un livello di complessità molto alto, ovvero nel caso in cui la richiesta sia manifestamente infondata o eccessiva – casi molto molto rari, è utile chiarirlo subito. In sostanza, sulle istanze di accesso ai dati personali ogni azienda dovrà rivedere profondamente i propri strumenti di analisi e risposta, in tempi brevi.

TIKTOK vs. CNIL – Con il comunicato stampa dello scorso 12 gennaio, l’Autorità francese per la protezione dei dati (CNIL) ha annunciato di aver sanzionato il social network TikTok per 5 milioni di euro in ragione della violazione della ePrivacy Directive e della legge locale francese, ritenendosi direttamente e territorialmente competente a emettere tale sanzione nei confronti di due società con sede in UK e Irlanda di proprietà del colosso cinese, ritenendo non direttamente applicabile il regime di one-stop-shop di cui al GDPR.

PUBBLICAZIONE DI VIDEO DI MINORI – Eva Kaili, ex vicepresidente del Parlamento Europeo nonché una dei protagonisti dello scandalo ormai noto come #Quatargate, ha di recente ricevuto la visita della figlia (minorenne) nel carcere di Haren. La notizia, che ha fatto il giro di tutta l’Europa, è stata corredata dalla stampa online da un video nel quale si vede chiaramente la minore. La questione non è passata inosservata agli occhi del Garante italiano il quale, con un comunicato stampa diffuso lo scorso 9 gennaio, ha definito il video lesivo della personalità e dello sviluppo psico-fisico della bambina in quanto comporta la permanenza di immagini che violano riservatezza e anonimato per un tempo potenzialmente infinito. L’Autorità ha pertanto invitato gli organi di stampa e i social media ad astenersi dal diffondere tali immagini, soprattutto alla luce del fatto che il contenuto non si connette ad alcun interesse pubblico rispetto alla vicenda del Qatargate. A tal fine, il Garante richiama le regole deontologiche connesse alla professione di giornalista e la Carta di Treviso, che impone una tutela rafforzata in caso di soggetti minorenni.

PROTOCOLLO DI INTESA PER LA CYBERSECURITY –  Con il comunicato stampa del 11 gennaio, l’Agenzia Nazionale per la Cybersecurity (“ACN”) ha annunciato la firma del protocollo di intesa sulla sicurezza informatica con la Camera dei dei Deputati, che si inserisce sia in un contesto globale sempre più complesso per la cybersicurezza, sia nel percorso di trasformazione digitale avviato dalla Camera nello svolgimento della sua funzione istituzionale. In particolare, lo scambio efficace di informazioni per il potenziamento dei servizi di gestione e contenimento delle minacce informatiche, la realizzazione di collaborazioni attraverso la definizione di best practice, nonché l’aggiornamento e la formazione del personale, rivestiranno una notevole importanza che permetterà di avviare un confronto qualificato a tutela dell’Istituzione e nell’interesse generale del Paese.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

DATI DALLA GIURISPRUDENZA DEL TRIVENETO – L’Osservatorio 231 del Dipartimento di diritto pubblico, internazionale e comunitario dell’Università degli Studi di Padova ha recentemente pubblicato un documento di sintesi relativo alle categorie di reati-presupposto maggiormente trattati dai tribunali del Triveneto (Trentino – Alto Adige, Veneto e Friuli – Venezia Giulia) nel triennio 2019-2021. In primo luogo, il report segnala una significativa riduzione dei procedimenti 231 nell’area geografica di riferimento nell’anno 2020, dato chiaramente influenzato dalla generalizzata riduzione delle attività imprenditoriali a causa dell’emergenza pandemica. Per quanto riguarda l’analisi delle categorie di reato riscontrate, il 70% degli illeciti sono relativi a reati contro la pubblica amministrazione, ambientali e di omicidio e lesioni colpose derivanti dalla violazione della normativa dettata in materia di salute e sicurezza. In crescita, tuttavia, il trend relativo ai reati tributari.

OPERAZIONI TRANSFRONTALIERE – Lo schema di decreto legislativo di recepimento della Direttiva (UE) 2019/2121, presentato dal Governo il 9 dicembre 2022 e sul quale il Parlamento si dovrà esprimere con un parere entro il 19 gennaio 2023, (i) propone l’armonizzazione delle disposizioni sulle operazioni di trasformazione e scissione transfrontaliera, (ii) modifica la disciplina della fusione societaria. L’obiettivo della normativa è quello di fornire alle società nuove possibilità di crescita economica, di concorrenza effettiva e di produttività, senza rinunciare a garantire elevati livelli di protezione sociale. Inoltre, la normativa punta a facilitare le trasformazioni, fusioni e scissioni transfrontaliere delle aziende dell’Unione europea, al fine di assicurare una maggiore mobilità ed eliminare barriere ingiustificate alla libertà di stabilimento nel mercato unico europeo. A tal fine, si prevede il rilascio di un certificato preliminare come esito della regolare presentazione di progetti di operazioni transfrontaliere. Lo schema impone inoltre sanzioni penali in caso di false o omesse dichiarazioni in relazione alla sussistenza delle condizioni richieste per il rilascio del citato certificato – illecito peraltro inserito, nella proposta del Governo, all’interno del catalogo dei reati-presupposto del Decreto 231 attraverso la modifica dell’art. 25-ter.

CONFISCA DI PREVENZIONE MAFIOSA – La Corte di Cassazione si è recentemente pronunciata, nella sentenza n. 47388/2022 (qui su IusinItinere), sui presupposti applicativi della misure di prevenzione patrimoniale della confisca. Nel caso di specie, la confisca era stata posta in essere nei confronti di un indagato per appartenenza ad un’associazione mafiosa. La Corte ha ritenuto applicabile la misura, nonostante fosse possibile determinare il momento iniziale e finale della pericolosità qualificata, anche su beni acquisiti in periodo successivo a quello di cessazione della condotta permanente. Questo perché sono risultate una serie di evidenze di fatto che hanno provato la diretta derivazione delle acquisizioni patrimoniali dalla provvista nel periodo di compimento dell’attività delittuosa. 

INFORTUNI SUL LAVORO – La Corte di Cassazione è intervenuta recentemente con la sentenza 570/2023 a sottolineare alcuni principi in materia di infortuni sul lavoro e responsabilità 231. La società ricorrente era stata condannata, in primo luogo, per non aver svolto adeguate valutazioni relative ai fornitori, che erano previste, in realtà, dal Modello organizzativo; e secondariamente per non avere predisposto a norma alcune infrastrutture lavorative, nonostante la loro corretta edificazione fosse prevista dalla disciplina aziendale. Le mancanze sono state ritenute imputabili all’Amministratore della società, in qualità di datore di lavoro e in quanto tenuto al rispetto delle norme in materia di sicurezza e prevenzione. I giudici di legittimità, nell’indagine sulla configurabilità dell’illecito per la società, hanno stabilito che le condotte colpose dei soggetti-persone fisiche, presupposto dell’illecito amministrativo, rilevano laddove sia riscontrabile la mancanza o l’inadeguatezza delle cautele predisposte per la prevenzione dei reati previsti dal Decreto 231. È la carenza di tali misure organizzative, in quanto atte a determinare le condizioni di verificazione del reato presupposto, che giustifica il rimprovero e l’imputazione dell’illecito al soggetto collettivo, oltre a sorreggere la costruzione giuridica per cui l’ente risponde dell’illecito per fatto proprio (e non per fatto altrui).

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

YOOX vs. AGCM – Il comunicato stampa emesso da AGCM lo scorso venerdì 13 gennaio ha portato cattive notizie per un importante player del settore eCommerce, YOOX Net-a-Porter Group. L’Autorità Garante ha infatti ravvisato, in un’azione di monitoraggio nel periodo 2019-2022, gravi comportamenti da parte della società consistiti, tra le altre cose, in (i) l’annullamento di ordini online già perfezionati al superamento, da parte del consumatore, di determinate soglie di “reso”, (ii) un comportamento ingannevole riguardo ai prezzi esposti, consistiti – a seconda del periodo – in un aumento del prezzo poi oggetto di sconto (cosicchè di fatto sconto non vi era), oppure in un calcolo dello sconto su un prezzo “medio” presente sul mercato, e non su quello effettivamente praticato dall’eCommerce. Tutto questo, senza alcuna trasparenza verso il consumatore: di conseguenza, la sanzione è stata calcolata in ben 5 milioni di euro, oltre alla necessità (entro 60 giorni) di indicare da parte della società i correttivi che intende introdurre per superare i rilievi mossi.

ACCESSIBILITA’ DEI SITI WEB E DELLE APP – Nei giorni scorsi AgID (“Agenzia per l’Italia digitale”) ha pubblicato una circolare con i chiarimenti interpretativi sull’estensione da parte del DL 76/2020 di alcuni vincoli già in essere per le Pubbliche Amministrazioni dal 2004, in merito a specifici strumenti per consentire l’utilizzo di siti web e applicazioni mobile anche a soggetti con disabilità. Sono interessati da tale provvedimento i soggetti che offrono servizi al pubblico e che hanno conseguito un fatturato medio, negli ultimi tre anni di attività, superiore a 500 milioni di euro, con l’obiettivo di consentire la più ampia inclusione delle persone con disabilità verso servizi essenziali o comunque di largo accesso.

USO DEI SOCIAL – Interessante report annuale di MGP & Partners sull’utilizzo dei social network, disponibile seguendo questo link: per i brand, tra le altre cose, emerge come di grande importanza la capacità di #ascoltare con più attenzione le esigenze dei consumatori, in un mondo iper connesso e dove anche l’opinione del singolo, ormai, conta.

TWITTER – L’ondata di licenziamenti che ha segnato le #BigTech nel corso dello scorso 2022 pare non essersi fermata. A far parlare di sé è ancora una volta #Twitter, che comincia il nuovo anno con il licenziamento di circa 12 dipendenti del team di moderazione dei contenuti impiegati nelle sedi di Singapore e Dublino. In particolare, pare che i dipendenti coinvolti nel taglio avessero il compito di agire per il contrasto della disinformazione online. 

TIKTOK – Il nuovo set normativo europeo in materia di dati personali comincia a mostrare la sua forza oltre i confini dell’Unione. Lo scorso 10 gennaio, l’amministratore delegato di TiTok (Shou Zi Chew) è stato attenzionato – nel corso di una giornata fitta di incontri con alcuni dei commissari europei – del fatto che la società deve tornare a guadagnarsi la fiducia dell’Unione. Tra i vari argomenti trattati, di particolare importanza (i) la sicurezza dei minori, (ii) la trasparenza dei contenuti politici a pagamento e (iii) la conformità, appunto, con la nuova normativa europea in materia di privacy, in particolare con il Digital Services Act e il Digital Markets Act.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA/1 – La Federal Communications Commission (“FCC”) ha annunciato la propria bozza di regolamento che aggiornerà i requisiti di segnalazione delle violazioni dei dati relativi alle reti proprietarie dei clienti (“CPNI”). In particolare, la FCC ha spiegato che intende allineare le sue regole con i recenti sviluppi delle leggi federali e statali sulla violazione dei dati, vigenti in altri settori. In particolare, la normativa proposta mira a (i) rimuovere l’attuale periodo di attesa obbligatorio di sette giorni lavorativi per la notifica ai clienti di una violazione, (ii) a richiedere la notifica al consumatore da parte dei vettori di violazioni involontarie e (iii) a imporre la notifica di tutte le violazioni segnalabili al FCC, il Federal Bureau of Investigation (“FBI”) e i servizi segreti statunitensi.

USA/2 – La Federal Trade Commission (“FTC”) ha di recente annunciato di aver emesso un ordine contro la società Drizly LLC per violazione del Federal Trade Commission Act. In particolare, sono emerse importanti falle nel sistema di sicurezza della società che hanno comportato la violazione di dati personali di circa 2,5 milioni di consumatori. Secondo quanto riferito dalla FTC, sebbene fosse già stata avvisata negli scorsi anni della vulnerabilità dei propri sistemi, la società non aveva di fatto provveduto ad adottare misure idonee a garantire un’adeguata protezione dei dati. Nell’ordine emesso dall’Autorità viene richiesto a Drizly, tra le altre cose, di (i) attuare un programma di sicurezza delle informazioni e stabilire garanzie di sicurezza, (ii) dichiarare sul proprio sito web le categorie di informazioni che raccoglie e i motivi per cui tale raccolta è necessaria e (iii) distruggere tutti i dati raccolti senza necessità, nonché astenersi dal raccogliere in futuro dati e informazioni non necessari per gli scopi prefissati in apposito programma di conservazione.

REGNO UNITO/1 – Il Center for Data Ethics and Innovation (“CDEI”) ha aggiornato l’Algorithmic Transparency Recording Standard, a seguito di una fase pilota in tutto il settore pubblico. Il CDEI ha affermato che lo standard aiuterà le organizzazioni del settore pubblico a fornire informazioni chiare sugli strumenti algoritmici che utilizzano, e sul motivo per cui li utilizzano, dato che la trasparenza in questo settore richiede apertura su come gli strumenti algoritmici supportano il processo decisionale, e sulle decisioni assistite da algoritmi in un formato completo, aperto, comprensibile, facilmente accessibile e gratuito.

REGNO UNITO/2 – Lo scorso 10 gennaio la FCA (Financial Conduct Authority) ha annunciato di aver emesso un avviso con il quale ha sanzionato la Guaranty Trust Bank (UK) per importanti lacune in materia di antiriciclaggio nel periodo compreso tra l’ottobre 2014 e il luglio 2019. Secondo l’Autorità, nel lasso temporale preso a riferimento, la Guaranty Trust Bank non ha adeguatamente compiuto valutazioni in merito al rischio dei clienti, non valutando e/o documentando, in particolare, i rischi connessi ad attività di riciclaggio. Per tali motivi, la banca è stata raggiunta da una sanzione di ben 7,6 milioni di sterline.

SLOVENIA – La legge sulla protezione dei dati personali (“ZVOP-2”) è stata pubblicata nella Gazzetta ufficiale, dopo essere stata adottata dall’Assemblea nazionale della Repubblica di Slovenia il 15 dicembre 2022. In particolare, la ZVOP-2, che recepisce il GDPR nella legislazione locale, entrerà in vigore il 26 gennaio 2023, sostituendo così l’attuale legge sulla protezione dei dati personali del 2004.

WASHINGTON D.C. – Il Procuratore Generale (“AG”) ha annunciato un accordo di $ 9.500.000 con Google LLC per dirimere la controversia sorta in seguito alle pratiche di tracciamento della posizione di Google, che si era impegnata in pratiche ingannevoli, tra le quali una serie di attività che avrebbero ripetutamente spinto gli utenti ad abilitare la posizione in determinate app, per la ragione che i prodotti non avrebbero funzionato correttamente se la posizione non fosse stata abilitata. L’accordo stabilisce anche che, entro 180 giorni dalla data di entrata in vigore, Google dovrà predisporre un report che dimostri il proprio rispetto dell’accordo. 

GIAPPONE –  il ministero dell’Interno e delle comunicazioni giapponese (“MIC”) ha aperto una consultazione pubblica, che durerà fino al 30 gennaio 2023, sulla bozza di orientamento sui danni causati da un attacco informatico, sottolineando che, con l’aumentare della minaccia di attacchi informatici, sarà vantaggioso sia per l’organizzazione lesa che per la collettività condividere le informazioni sugli attacchi informatici, per chiarire l’intera portata degli eventuali danni e rafforzare le contromisure da adottare.

INDIA – Il Ministero dell’elettronica e dell’informatica indiano (MeitY) ha di recente reso pubbliche le bozze di modifica delle linee guida in materia di giochi online (“Linee guida per gli intermediari e codice etico dei media digitali 2021”, cd. Regolamento IT) e ne ha contestualmente avviato una consultazione pubblica. Le ragioni delle modifiche vanno ricercate nella necessità che (i) i giochi online siano offerti in conformità alle leggi indiane e (ii) che gli utenti siano tutelati dai potenziali danni. Tra le novità proposte figura, tra le altre cose, anche la previsione che un intermediario di giochi online osservi, nell’adempimento dei propri doveri, la due diligence richiesta dal Regolamento IT – che impone, tra le altre cose, di compiere ogni sforzo ragionevole per evitare che i propri utenti agiscano in maniera non conforme alla legge indiana, anche in materia di gioco d’azzardo.

SPAGNA – L’autorità spagnola per la protezione dei dati (“AEPD”) ha annunciato, il 10 gennaio 2023, che oltre 100.000 Data Protection Officers (“DPOs”) sono registrati nel registro pubblico previsto sia per il settore pubblico che per quello privato, per i settori in cui la nomina è obbligatoria. Inoltre, l’AEPD ha specificato che il registro è a disposizione dei cittadini per accedere ai dati di contatto degli DPO, per ottenere informazioni sul trattamento dei propri dati personali, esercitare i propri diritti o presentare un reclamo. 

GERMANIA – L’Ufficio federale dei cartelli (Bundeskartellamt) ha reso noto di aver inviato ad Alphabet Inc., Google Ireland Ltd. e Google Germany GmbH la propria valutazione circa le condizioni di trattamento dei dati operate da Google. Nella valutazione il Bundeskartellamt ha evidenziato che gli utenti di Google dispongono solo di un minimo margine di scelta in merito all’accettazione dell’ampio trattamento di dati effettuato da Google. Al momento l’Autorità ha basato la propria valutazione esclusivamente sulla normativa tedesca dettata in materia di concorrenza, tuttavia appare più che verosimile che in futuro si applicherà, in casi simili, la nuova normativa europea del Digital Markets Act (DMA).

BELGIO – L’Autorità belga per la protezione dei dati ha aggiornato e comunicato la propria decisione nei confronti del’Interactive Advertising Bureau (“IAB”), in cui ha stabilito di aver imposto allo stesso una sanzione di € 250.000 per violazioni del GDPR. L’autorità belga ha confermato il piano di azione del IAB volto a rendere il trattamento dei dati personali nel contesto del Transparency and Consent Framework conforme alle disposizioni del GDPR.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Matt Duncan grazie a Unsplash.

News #1/2023: la super-sanzione a Meta “vieta”​ l’uso del contratto come base per fare targeted advNews#

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • #Meta sanzionata dall’Autorità irlandese, a rischio il suo #modello di #business;
  • anche #Apple (dopo Microsoft) ha problemi con il CNIL, ma sulla Direttiva #ePrivacy;
  • il primo gennaio scorso è entrato in vigore, in California, il #CPRA;
  • una società cancellata può comunque essere condannata secondo il #dlgs231;
  • le altre news dal #mondo includono: gli Stati di #NewYork e del #Kentucky che si attivano per approvare una legge privacy locale, Croazia e Finlandia elevano sanzioni importanti in ambito GDPR, mentre il District of Columbia si accorda con #Google per chiudere un’indagine sul tracciamento della localizzazione degli utenti senza consenso.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • non potevamo che cominciare con IAPP, il più rilevante network mondiale dei professionisti privacy, che tra l’altro ha pubblicato un interessante report sui “fatti” del 2022 e l’orizzonte che ci attende nel 2023, qui.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Don’t Stop Believin’ – Journey (1981 – 4:11 in loop)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

META SANZIONATA (ANCORA, E PESANTEMENTE) – La DPC – Irish Data Protection Commission – ha adottato, il 4 gennaio scorso, la decisione finale su Meta che tanto ha fatto discutere (e di cui avevamo già accennato per il suo percorso complesso). Fortemente richiesta dall’EDPB, e in particolare da diverse altre Autorità di controllo europee, questa decisione di fatto interferisce con il modello di business di Facebook/Instagram, incentrato su una profilazione pubblicitaria (targeted ads) basata giuridicamente sul contratto di iscrizione al social network, secondo Meta sufficiente a giustificare tale attività. I 390 milioni di sanzione, invece, derivano dal generale assunto – ormai molto chiaro – per cui senza un trasparente, libero e informato consenso non sia possibile effettuare, secondo le Autorità europee in materia, attività di adv online. Con questa sanzione, il totale delle violazioni privacy a carico di Meta (a partire dal 2021) arriva all’esorbitante ammontare di più di 900 milioni di euro. Vedremo adesso come e dove (non certo “se”) Meta opporrà la decisione, e in che modo la DPC sarà fedele a quanto deciso, dato che il testo del provvedimento è stato ampiamente “guidato” da altre Aurorità, mentre la commissione irlandese in precedenza aveva apertamente avallato la posizione di Meta; tra l’altro, proprio la DPC ha dichiarato di volersi opporre ad alcune parti della linea guida impostale dall’EDPB nella propria decisione vincolante.

APPLE vs. CNIL – L’Autorità francese per la protezione dei dati personali (CNIL) ha recentemente reso nota la propria decisione (solo in lingua francese) di infliggere una sanzione ad Apple Distribution International Ltd. A seguito di un reclamo, infatti la CNIL ha avuto modo di appurare che Apple presentava pubblicità personalizzata agli utenti dei sistemi operativi iOS e MacOS, e ciò per impostazione predefinita. In particolare, dalle indagini dell’Autorità è emerso che l’utente intenzionato a modificare tali impostazioni, avrebbe dovuto seguire una più o meno articolata trafila di azioni per modificare le impostazioni relative alla pubblicità personalizzata. Per tale ragione, la CNIL ha sanzionato per la cifra di ben 8 milioni di euro.

AZIENDE E RICERCA SCIENTIFICA – Il Future of Privacy Forum ha pubblicato un report sui programmi di condivisione dei dati tra aziende e istituti di ricerca intitolato “The Playbook: Data Sharing for Research”, un report che raccomanda le best practice per l’implementazione dei programmi di ricerca, comprese le fasi di gestione e condivisione dei dati. Il report illustra l’importanza e i vantaggi di disporre di protocolli adeguati per creare processi di condivisione dei dati sicuri e semplici, hanno dichiarato i responsabili del progetto per la condivisione dei dati e l’etica. Il report affronta in particolare i passaggi fondamentali per la gestione, la condivisione e l’esecuzione dei programmi tra aziende e ricercatori, quali la creazione di un sistema di condivisione dei dati che faccia progredire positivamente la ricerca scientifica, che richiede una migliore comprensione dei rischi esistenti, delle opportunità di affrontare le sfide e delle diverse parti interessate coinvolte nelle decisioni di condivisione dei dati.

CYBERSECURITY NEL SETTORE ASSICURATIVO – Esperti del settore assicurativo in tema di cyber security hanno di recente avvertito che gli attacchi informatici su larga scala sono una preoccupazione crescente tra i dirigenti del settore: si rischia di fatto che divengano non assicurabili, come riporta il Financial Times, perché esiste un limite all’ammontare delle perdite che il settore privato può assorbire dagli attacchi cyber. Si esortano allora i governi a istituire schemi pubblici e privati per gestire rischi informatici “sistemici” che non possono essere nè quantificati nè assicurati preventivamente.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CONDANNA 231 DI SOCIETA’ ESTINTA – La cancellazione di una società dal Registro delle imprese non impedisce la condanna dell’ente per un illecito 231. Lo ha deciso il giudice per le indagini preliminari del Tribunale di Milano, con la sentenza 2993/2022, nella quale si legge che l’estinzione dell’ente, successiva all’addebito emanato ai sensi del Decreto 231, lascia impregiudicata la possibilità di una pronuncia di condanna. Sulle modalità di esecuzione della condanna spetterà al Pubblico Ministero decidere come procedere, avendo raggiunto le parti un accordo sull’applicazione della pena.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

MERCATO UNICO E DIGITALIZZAZIONE – In occasione dei 30 anni dalla creazione del mercato unico europeo, che ha preso avvio il 1 gennaio 1993, la Commissione europea ha pubblicato il paper “European Single Market is turning 30”, che analizza, con riguardo allo sviluppo digitale e con particolare riferimento al mercato unico dei servizi, i principali obiettivi raggiunti e quelli ancora da raggiungere nel mercato digitale grazie all’integrazione europea, che ha funzionato da motore per la crescita e la competitività, sostenendo il potere economico dell’Unione europea a livello globale. Il paper sottolinea inoltre che, anche sulla base delle proposte Fit For 55 e Digital Decade, l’Unione sta mettendo in atto un quadro normativo per sostenere le transizioni verdi e digitali dell’Europa.

LICENZIAMENTI AMAZON – Dopo Twitter e Facebook tocca anche ad Amazon. Sono circa 18 mila i licenziamenti previsti in tutto il mondo per il colosso di logistica guidato da Jeff Bezos. E’ molto probabilmente dal prossimo 18 gennaio che i lavoratori interessati cominceranno ad essere contattati dall’azienda, che intanto parla dell’operazione come l’esito di una “pianificazione annuale difficile”.  Non ci sono attualmente notizie ufficiali in merito ai settori che verranno maggiormente colpiti, né riguardo alla percentuale di lavoratori europei coinvolti. D’altronde, la stessa notizia dei licenziamenti è stata il frutto di una fuga di notizie. Ancora una volta,  non ci resta che aspettare, con la certezza però che anche il nuovo anno avrà i suoi riflettori puntati sul mondo delle #BigTech.

SALDI ONLINE E TRUFFE – In occasione dei tanto attesi saldi invernali Aicel (Associazione Italiana per il Commercio Elettronico) mette in guardia i consumatori dalle possibili #truffe che potrebbero caratterizzare il loro acquisto online. L’e-commerce, infatti, è particolarmente insidioso a fronte delle innumerevoli modalità escogitate dai malintenzionati per ingannare il consumatore. Un esempio di truffa diffusissimo online è la creazione di siti “copia”- quelli cioè che copiano esattamente il sito originale, non consentendo al consumatore di intuire che le operazioni di pagamento stanno avvenendo su un sito terzo. Tra i suggerimenti proposti da Aicel per difendersi (i) diffidare da affari “particolarmente vantaggiosi, (uu) accertarsi che i siti non siano segnalati dalle competenti autorità garanti – ad esempio AGCM – , (iii) verificare che sul sito siano presenti le informative relative alla privacy e ai cookie. 

LICENZE POSTALI DIGITALI – E’ stato attivato il nuovo portale “Licenze postali” per il rilascio e la gestione delle licenze e delle autorizzazioni postali. Il ministero per le Imprese e Made in Italy, nel rendere nota l’attivazione del sistema, ha precisato che l’iniziativa ha consentito di automatizzare molte attività e di rendere il processo completamente digitale, nell’ottica di una semplificazione delle procedure della pubblica amministrazione a vantaggio di cittadini e imprese. Attraverso il portale gli utenti avranno a disposizione un’area riservata dedicata alle richieste di rilascio di titoli abilitativi, rinnovi, cessioni e subentri per licenze e autorizzazioni postali attive. I pagamenti saranno gestiti interamente dal servizio PagoPA.

SANITA’ DIGITALE – Il nuovo progetto firmato da Cineca e dall’Associazione Scientifica per la Sanità Digitale punta a formare il personale sanitario su tematiche come robotica, telemedicina, mobile application e business intelligence, con l’obiettivo di più efficiente ed efficace la Sanità. Il progetto si colloca nell’ambito delle attuali linee programmatiche del ministero della Salute, perseguite anche a livello internazionale, in cui la telemedicina e le tecnologie digitali rappresentano il fattore chiave per supportare l’interazione dei diversi professionisti sanitari.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

NEW YORK – New York promuove la propria legge sulla privacy (“New York Privacy Bill”) per (i) indurre le aziende a rivelare i loro metodi di identificazione dei dati personali, (ii) adottare speciali misure di salvaguardia per la condivisione dei dati e (iii) consentire ai consumatori di ottenere i riferimenti degli Enti con cui vengono condivise le loro informazioni. In particolare, nell’atto è riportato che la pubblicità mirata e la vendita di dati personali non sono considerate finalità di trattamento necessarie per fornire servizi o beni richiesti da un consumatori. New York adotta la formulazione di de-identificazione del CPRA e una terminologia familiare al GDPR, comprendente i concetti di Titolari e Responsabili del trattamento e i principi di minimizzazione dei dati e limitazione della conservazione.

KENTUCKY – Nell’Assemblea generale del Kentucky dello scorso 3 gennaio è stato presentato dal Senatore W. Westerfield un disegno di legge relativo alla protezione dei dati personali dei consumatori. In particolare, le disposizioni introdotte nel disegno di legge stabiliscono, tra le altre cose, i diritti dei consumatori e la loro possibilità di appellarsi al titolare del trattamento per il soddisfacimento delle proprie richieste. La bozza prevede inoltre che l’autorità esclusivamente competente a far applicare la legge sia il Procuratore Generale dello Stato, con la sola eccezione della facoltà, concessa al consumatore, di esercitare il diritto di azione privata. In base a tale diritto, il consumatore ha la possibilità di richiedere un provvedimento ingiuntivo per violazioni specifiche nel caso in cui il titolare del trattamento non abbia provveduto a porvi rimedio nel termine di 30 giorni dalla ricezione di un avviso dal parte del Procuratore Generale. Se approvato, il disegno di legge entrerà in vigore il 1 gennaio 2025.

CROAZIA – L’Autorità croata per la protezione dei dati personali ha ritenuto che un Titolare del trattamento avesse installato un sistema di videosorveglianza che riprendeva lo spazio pubblico senza una base giuridica adeguata ai sensi dell’art. 6(1) del GDPR, e ha ingiunto al Titolare in questione di regolare l’angolo delle telecamere entro quindici giorni in modo da non prendere nell’inquadratura lo spazio pubblico e le persone che vi accedono, con l’obbligo di fornire adeguate informazioni nonappena l’infrazione venga rettificata.

FINLANDIA – L’Autorità finlandese per la protezione dei dati ha irrogato una sanzione di 230.000 euro a una società di navigazione che ha posto in essere diverse violazioni nel trattamento dei dati sanitari dei dipendenti, tra le quali una mancanza dell’attuazione corretta dei principi di trasparenza, accuratezza, diritto all’informazione, diritto di accesso e protezione dei dati by design, di cui al GDPR.

ISLANDA – L’Autorità garante islandese ha respinto il ricorso di un interessato che chiedeva la cancellazione del proprio database genealogico, in possesso di un Titolare del trattamento. L’Autorità, in particolare, ha deciso che il trattamento da parte del Titolare del trattamento era giustificato ai sensi dell’articolo 6(1)(f) del GDPR, e che il Titolare aveva il diritto di rifiutare la richiesta di cancellazione in quanto il trattamento era giustificato per motivi di pubblico interesse, nello specifico per ragioni di ricerca storico-scientifica e per ragioni statistiche.

SPAGNA – L’Autorità spagnola per la protezione dei dati personali (“AEPD”) ha irrogato una multa di 30.000 euro a un operatore di telecomunicazioni locale per aver attivato una carta SIM senza verificare prudentemente l’identità dell’abbonato, il quale aveva invece fornito in modo fraudolento al Titolare del trattamento i propri dati personali. 

CALIFORNIA – Entrato in vigore il 1 gennaio 2023 il California Privacy Rights Act (“CPRA”), che introduce modifiche al California Consumer Privacy Act (“CCPA”) che impongono alle aziende nuovi requisiti per i consumatori, tra i quali l’ottenimento del consenso prima della raccolta dei dati in determinati casi, e prevede anche una più stringente limitazione dell’utilizzo dei dati personali.

VIRGINIA – Entrato in vigore il 1 gennaio 2023 anche il Virginia Consumer Data Protection Act (“CDPA”), che prevede ulteriori diritti per i consumatori, tra i quali il diritto di accesso, di cancellazione e di opt-out, stabilendo obblighi per i Titolari del trattamento e per i Responsabili che trattano dati personali. Da notare particolarmente che il procuratore generale della Virginia avrà l’autorità esclusiva di applicare le disposizioni del CDPA, e potrà avviare azioni e chiedere ingiunzioni per impedirne ogni violazione con sanzioni civili fino a 7.500 dollari. 

COREA DEL SUD – L’Autorità locale per la protezione dei dati personali (“Personal Information Protection Commission” o “PIPC”) ha pubblicato le linee guida per l’interpretazione degli standard del Personal Information Protection Act (“PIPA”), con lo scopo di migliorare la comprensione delle regole in materia di protezione dei dati personali nel settore pubblico e di rispondere alle questioni e agli interrogativi su argomenti di questo settore. In particolare, per ciascuna domanda le linee guida descrivono la base giuridica da considerare e forniscono un breve parere del PIPC sul tema. 

DISTRICT OF COLUMBIA – Karl A. Racine, Procuratore Generale del Distretto di Columbia (meglio conosciuto come Washington D.C.), ha recentemente annunciato il raggiungimento di un importante accordo con Google LLC finalizzato a risolvere le accuse secondo le quali il colosso informatico avrebbe ottenuto i dati di localizzazione relativi agli utenti dei suoi servizi attraverso comportamenti ingannevoli. Le indagini, avviate nel 2018 dopo la pubblicazione di un articolo da parte dell’Associated Press,  hanno consentito al Procuratore Generale di appurare che Google otteneva realmente i dati di localizzazione attraverso comportamenti ingannevoli, come ad esempio l’uso di dark pattern. Alla luce di tali evidenze, il Procuratore Generale ha pertanto provveduto a denunciare le plurime violazioni del Consumer Protection Procedures Act commesse da Google. Proprio per risolvere tali accuse è stato previsto l’accordo, del valore di ben 9,5 milioni di dollari. Oltre al pagamento di tale importantissima cifra, è stato imposto a Google, tra le altre cose, di (i) informare chiaramente gli utenti circa la raccolta e il tracciamento dei dati relativi alla posizione, (ii) mantenere disponibile ed aggiornata una pagina contenente la politica di Google in materia di dati di posizione e (iii) limitare la diffusione dei dati degli utenti. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Elias Ehmann grazie a Unsplash.

News #49: la Corte di Giustizia UE dà torto a WhatsApp; maxi-sanzione italiana a Clubhouse; dal Governo novità su whistleblowing e concorrenza

Immagine di copertina di Clint Patterson grazie a Unsplash.

PRIVACY

WHATSAPP vs EDPB – La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata nella causa “WhatsApp Ireland v. EDPB”, promossa dalla società per vedere annullata una decisione vincolante (e, di conseguenza, la sanzione ricevuta). Il 28 luglio 2021, infatti, l’EDPB aveva adottato una decisione vincolante in virtù della quale la DPC aveva multato la WhatsApp per ben 225 milioni di euro. La sentenza – la prima mai pronunciata dalla Corte su una domanda di annullamento di una decisione vincolante – respinge le pretese di WhatsApp in quanto il (i) ricorso è stato proposto contro un provvedimento che, ex art. 263 del TFUE, non è impugnabile e (ii) WhatsApp non è direttamente interessata dalla decisione contestata. La CGUE, al contempo, conferma che una tale questione può essere sollevata dinanzi ad un tribunale nazionale a seguito della relativa presa di posizione della Data protetion authority locale. Spetterà quindi ad un tribunale irlandese verificare la legittimità della decisione resa a livello nazionale – in conseguenza del “One Stop Shop” previsto dal GDPR – e, se necessario, presentare una domanda di pronuncia pregiudiziale alla CGUE.

CLUBHOUSE – In seguito ad una istruttoria avviata d’ufficio nei confronti di #ClubHouse – social network di chat audio formata da “stanze”, talvolta “su invito” – il Garante per la protezione dei dati personali ha recentemente sanzionato (per ben 2 milioni di euro) la società Alpha Exploration Co., gestore della piattaforma. Alla base della decisione la scoperta da parte dell’Autorità di numerose #violazioni del GDPR, normativa alla quale Alpha Exploration Co. asseriva di non essere soggetta in virtù del suo essere statunitense ed in mancanza di stabilimento nel territorio dell’UE. Oltre alla #sanzione (che tiene conto della gravità delle violazioni e del numero – vastissimo – di interessati coinvolti: 16 milioni globali e circa 90 mila in Italia) il Garante ha anche prescritto una serie di #misure quali, tra le altre, l’identificazione di idonee basi giuridiche per le proprie attività di trattamento e la nomina di un rappresentante in uno Stato UE, con conseguenza indicazione del relativo indirizzo e-mail. Alla società è stato ora concesso un termine di 30 giorni per dare esecuzione alle prescrizioni del Garante.

DIRITTO ALL’OBLIO – La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata in materia di diritto all’ #oblio. Attraverso una interpretazione dell’art. 17 GDPR la Corte ha stabilito che il diritto a richiedere la deindicizzazione di informazioni false o inesatte sul proprio conto è legittima anche quando il richiedente non abbia a disposizione una “prova forte” come lo è una sentenza – che rimane tuttavia necessaria nei casi di inesattezza non manifesta – purchè (chiaramente) fornisca informazioni esatte e puntuali al fine di suffragare la propria richiesta.

COMPARAZIONE PRIVACY FRA PAESI ASIATICI – Il Future of Privacy Forum (“FPF”) e l’Asian Business Law Institute (“ABLI”) hanno pubblicato il report “Balancing organizational accountability and privacy self-management in Asia-Pacific”, che mette a confronto i requisiti per il trattamento dei dati personali in diverse giurisdizioni della zona Asia-Pacifico. Il report analizza, in prospettiva comparata, le basi giuridiche per il trattamento dei dati personali nei diversi ordinamenti della zona. Tra le osservazioni del report, si nota il progressivo abbandono della base giuridica del consenso, a favore di alternative che promuovano la responsabilizzazione delle organizzazioni che trattano dati personali.

TUTELA DEGLI INTERESSATI – Il Garante per la protezione dei dati personali ha recentemente pubblicato una scheda informativa che illustra le caratteristiche e le modalità di utilizzo di segnalazioni e reclami  ( cioè degli strumenti posti dal GDPR nelle mani dei soggetti interessati per assicurare una loro adeguata protezione). 

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231 E PENALE

WHISTLEBLOWING – Lo scorso 9 dicembre è stata annunciata l’approvazione, da parte del Consiglio dei Ministri, del decreto legislativo necessario per l’attuazione delle direttiva UE 2019/1937 (cd. Direttiva #Whistleblowing). Il decreto permetterà finalmente all’Italia – uno dei pochi Paesi membri rimasti fino a questo momento “indietro” – di adeguarsi alla nuova normativa europea dettata in materia di protezione di tutti quei soggetti segnalatori di minacce o pregiudizi al pubblico interesse di cui siano venuti a conoscenza in ragione e nell’ambito della propria attività professionale.

COLPA DI ORGANIZZAZIONE – La Corte di Cassazione si è recentemente pronunciata in materia di #sicurezza e infortuni sul luogo di lavoro. Con la sentenza n. 45131 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) i giudici hanno specificato alcuni aspetti della cd. #colpadiorganizzazione, chiarendo che per tale deve intende il rimprovero che può essere mosso nei confronti di una società per non aver ottemperato agli #obblighi che impongono l’adozione di tutte le #cautele necessarie affinché non si realizzi la commissione dei reati previsti dalla normativa 231. Gli Ermellini hanno inoltre sottolineato la necessità che tali cautele vengano opportunamente #documentate – insieme ai rischi e alle misure idonee per contrastarli – in apposito documento.

NE BIS IN IDEM – La Procura di Milano ha recentemente #archiviato un procedimento penale avviato a carico di una società indagata per il reato 231 di dichiarazione fraudolenta in quanto la questione era già definita per ravvedimento operoso in sede tributaria. Infatti, rifacendosi alla giurisprudenza europea e nazionale in materia di #nebisinidem, i pubblici ministeri – pur in mancanza nel corpo del Decreto 231 di una norma che impone di tenere in considerazione sanzioni eventualmente già irrogate – hanno convenuto che la prosecuzione del procedimento avrebbe portato la società ad essere, di fatto, destinataria di una sanzione #sproporzionata.

LA RESPONSABILITA’ DI CONTROLLARE IL CONSULENTE – La Corte di Cassazione con l’ordinanza n. 35612/2022 ha accolto un ricorso dell’Agenzia delle Entrate e ha chiarito un importante punto in tema di sanzioni amministrative tributarie: il contribuente non è considerato esente dalla responsabilità di presentazione regolare delle dichiarazioni fiscali a meno che l’inadempimento al pagamento di un tributo sia imputabile esclusivamente ad un soggetto terzo (di solito, l’intermediario a cui è attribuito l’incarico di provvedere ai pagamenti, di gestire la contabilità ed effettuare le dichiarazioni fiscali). infatti, ai fini dell’esclusione della responsabilità per difetto dell’elemento soggettivo, grava proprio sul contribuente la prova dell’assenza assoluta di colpa, ed egli deve dimostrare di versare in stato di ignoranza incolpevole e non superabile con l’ordinaria diligenza, e non si può ritenere esente da responsabilità il contribuente che non abbia vigilato sul professionista al quale erano affidate le incombenze fiscali.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

PROTEZIONE DEI CONSUMATORI – Il Consiglio dei Ministri di giovedì 1° dicembre 2022 ha approvato il Decreto Legislativo riguardante la modernizzazione delle norme europee sulla protezione dei consumatori. Nello specifico, il Decreto Legislativo di attuazione della direttiva (UE) 2019/2161 del Parlamento europeo e del Consiglio del 27 novembre 2019, che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del Parlamento europeo e del Consiglio, si pone l’obiettivo di una migliore applicazione e una modernizzazione delle norme dell’Unione relative alla protezione dei consumatori, ampliando la #tutela dei #consumatori nel caso di contratti con clausole vessatorie, di condotte commerciali scorrette, di concorrenza sleale o di comunicazioni commerciali non veritiere con conseguente modifica della disciplina delle sanzioni pecuniarie amministrative. Tra le #novità: (i) è previsto che gli annunci di riduzione del prezzo dovranno indicare quello praticato nei 30 giorni precedenti; (ii) sarà elevato da 5 a 10 milioni il limite massimo edittale relativo alla sanzione irrogabile dall’Autorità garante della concorrenza e del mercato (“AGCM”) in caso di pratica commerciale scorretta; (iii) sarà consentito al consumatore di adire il giudice ordinario in caso di pratiche commerciali sleali; (iv) verrà prevista la sanzione da 5.000 euro a 10 milioni per violazioni in materia di clausole vessatorie.

ACCORDO AMAZON / ANTITRUST UE – Il Financial Times riporta che si sarebbe raggiunto un accordo tra il colosso dell’eCommerce e l’autorità UE in merito ad alcune delle più redditizie pratiche commerciali poste in essere da Amazon: la principale, la c.d. “buy box” che comportano un importante aumento dei ricavi e delle vendite, ma sfavoriscono la concorrenza con meccanismi come il “lock-in” dei clienti Prime alla logistica di Amazon, a discapito dei venditori indipendenti. L’annuncio ufficiale dell’intesa è previsto, si riferisce, entro il 20 dicembre prossimo, e costituirà una prima base di confronto rispetto alla normativa del Digital Markets Act di recente approvazione.

SANZIONE AGCM – L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha sanzionato Vinted, società operante nel settore della vendita online di articoli – principalmente di abbigliamento – di seconda mano, per pratiche commerciali scorrette legate alla pubblicità ingannevole. Oggetto della contestazione sono stati infatti dei claim quali, ad esempio “vendita senza commissioni”, o ancora,  “zero commissioni, zero limiti”, i quali – secondo l’AGCM – celavano una serie di costi addebitati in realtà agli utenti per ogni transazione, che rendevano il servizio sostanzialmente non gratuito, come invece pareva dagli spot pubblicitari.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

FRANCIA – Il CNIL (Garante francese) ha richiesto commenti pubblici sul progetto di Raccomandazioni sulle Modalità di attuazione dei dispositivi di monitoraggio a distanza per gli esami online. A fronte della tendenza sempre in crescita di attività didattiche online – e, in particolare, di esami –  il CNIL ha sottolineato l’importanza e la necessità a che la privacy degli studenti non venga compressa in maniera sproporzionata. L’implementazione di sistemi di monitoraggio a distanza, infatti, risulta particolarmente invasiva e pertanto si richiede l’assunzione, da parte dell’istituto, della responsabilità del relativo trattamento di dat personali. Ulteriori raccomandazioni riguardano la scelta della corretta base giuridica 

MOZAMBICO – E’ stata pubblicata una proposta di legge sulla Cybersecurity con gli obiettivi di (i) garantire la sicurezza di cittadini e istituzioni e (ii) assicurare la protezione dei sistemi informatici e delle infrastrutture fondamentali del cyberspazio. Se la proposta diventerà legge, essa fonderà il Consiglio Nazionale per la Cybersicurezza in Mozambico, un organismo centrale e responsabile del coordinamento delle politiche, delle strategie e delle linee guida sul tema, di concerto con il Ministro dell’informazione e della comunicazione tecnologica. La proposta di legge è attualmente in fase di consultazione pubblica. 

BRASILE – E’ stato approvato dal Senato del Brasile il nuovo progetto di quadro normativo sull’intelligenza artificiale (“IA”) da parte della Commissione di giuristi istituita per il tema. Il progetto si fonda su tre pilastri centrali: (i) la garanzia dei diritti delle persone interessate dal sistema, (ii) la classificazione del livello di rischio e la previsione di misure di governance rivolte ad aziende che gestiscono sistemi di IA. 

CINA – Il Comitato Tecnico nazionale per la standardizzazione della sicurezza delle informazioni (“TC260”) ha richiesto una consultazione pubblica, aperta fino al 30 gennaio 2023, sulla proposta di legge relativa alla sicurezza delle reti Internet delle aziende. In particolare, il TC260 ha evidenziato che la bozza dello standard è una parte di una serie, pensata per garantire (i) la sicurezza dei dati, (ii) la sicurezza della rete e (iii) i requisiti tecnici di protezione dei dati. La proposta delinea i processi dei requisiti di sicurezza dei dati di Internet delle industrie, compresa la sicurezza dei dati e i requisiti di protezione della sicurezza. 

ARGENTINA – L’autorità argentina per la protezione dei dati personali (“AAIP”) ha pubblicato una risoluzione che classifica e stabilisce quali sono le violazioni minori, gravi e molto gravi nell’ambito dell’applicazione della legge locale sulla protezione dei dati personali. Il principale parametro di classificazione è la gradualità delle sanzioni. Tra le violazioni più gravi sono comprese: (i) dichiarare dati falsi all’atto dell’iscrizione all’Anagrafe Nazionale; (ii) trattare i dati personali senza un’adeguata base giuridica; (iii) raccogliere dati personali senza conferire agli interessati un’informativa adeguata; (iv) raccogliere ed elaborare dati particolari senza la dovuta anonimizzazione; (v) trasferire dati personali in paesi senza livelli adeguati di protezione.

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) ha annunciato un nuovo hub relativo al marketing diretto, destinato alle organizzazioni che vogliono pianificare e fornire campagne di marketing efficaci rispettose della privacy dei soggetti interessati e della normativa applicabile in materia. L’Hub specifica cosa dovranno fare le organizzazioni per adeguarsi alla legge, e fornisce raccomandazioni di buone pratiche per farlo. Tra le indicazioni: (i) l’identificazione delle pratiche di marketing diretto; (ii) la pianificazione attraverso un approccio di protezione dei dati by Design e fin dall’inizio; (iii) raccolta di informazioni per il marketing diretto in modo equo e chiaro, spiegando alle persone come verranno utilizzate le loro informazioni; (iv) rispetto delle preferenze delle persone, incluso il diritto assoluto di opporsi o rinunciare al marketing diretto in qualsiasi momento.

SVIZZERA – Il Centro nazionale per la sicurezza informatica (“NCSC”) diventerà un nuovo ufficio federale situato all’interno del Dipartimento federale della difesa, della protezione della popolazione e dello sport (“DDPS”). Il Consiglio federale svizzero ha infatti incaricato il DDPS di definire le strutture del nuovo ufficio federale entro la fine di marzo 2023. L’NCSC ha sottolineato che continuerà ad assumere i compiti fondamentali in materia di cybersecurity, che comprendono (i) il sostegno alle imprese e al pubblico in generale nella gestione degli incidenti informatici, (ii) la creazione di un ufficio nazionale di segnalazione e di un punto di contatto, (iii) la diffusione di informazioni e avvisi sulle minacce informatiche e sulle misure di protezione, (iv) la sensibilizzazione del pubblico in generale e la protezione dell’Amministrazione federale. 

ROMANIA – L’ANSPDCP (Autorità garante rumena) ha recentemente pubblicato delle linee guida indirizzate agli enti pubblici in materia di uso legittimo della #videosorveglianza negli spazi pubblici. L’Autorità, in particolare, ha sottolineato che anche gli enti pubblici, in qualità di titolari del trattamento, devono assicurare un trattamento di dati sicuro, adeguato e limitato a quanto effettivamente necessario per il perseguimento delle finalità individuate. In accordo con una sua precedente decisione (n.174/2018) l’Autorità ha poi ricordato la necessità di effettuare una DPIA quando si vuole porre in essere un trattamento di dati su larga scala mediante tecnologie, come appunto quella del #riconoscimentofacciale.