News #11/2023: in Europa si discute di AI, Facebook Pixel e DPO, mentre in Iowa arriva la privacy
LE PRINCIPALI NEWS DELLA SETTIMANA
- l’EDPB avvia una “task force” sul ruolo dei DPO
- il Pixel di Facebook (Meta) è “illegale” come Google Analytics
- l’AI ACT avanza insieme al Data Act: altre leggi in arrivo
- META contro SIAE: una battaglia dolorosa
IL PROFILO DA SEGUIRE:
- Continuando con il filone degli esperti stranieri che si occupano di data protection, questa settimana consigliamo il follow ad un profilo “misterioso”, Mr. George M, che propone sempre spunti molto interessanti soprattutto in materia di compliance organizzativa.
QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..
- Heard It Through The Grapevine – Marvin Gaye (1967)
PRIVACY
EDPB – Il 15 marzo, il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato la propria azione coordinata con la quale, al fine di valutare se i Data Protection Officer (“DPO”) detengono effettivamente, all’interno delle rispettive organizzazioni, una posizione con le caratteristiche richieste dagli articoli 37-39 del GDPR e le risorse necessarie per svolgere i propri compiti, inviterà le Autorità europee per la protezione dei dati a (i) inviare questionari ai DPO per un esercizio di accertamento dei fatti o per identificare se è giustificata un’indagine formale e (ii) avviare indagini formali. Inoltre, l’EDPB ha sottolineato che i risultati dell’iniziativa saranno analizzati in modo coordinato, e che le Autorità di protezione dei dati decideranno in merito a possibili ulteriori azioni locali di vigilanza e applicazione della normativa sulla protezione dei dati.
PIXEL META – L’Autorità austriaca per la protezione dei dati personali (DBS) ha di recente stabilito che il #pixel di tracciamento di Meta Platforms Inc viola non solo il GDPR ma anche quanto stabilito dalla Corte di Giustizia dell’Unione europea (CGUE) nella storica sentenza Schrems II. La decisione della DBS – resa pubblica proprio da NOYB, l’associazione di Max Schrems – scaturisce infatti dalle 101 denunce presentate dall’associazione contro Google Analytics, reggendosi sui medesimi presupposti: l’inevitabile trasferimento internazionale dei dati extra SEE, in particolare verso gli Stati Uniti.
NEWSLETTER GARANTE – Pubblicata il 15 marzo l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata una società di servizi di messaggistica per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti; (ii) la sanzione ad un’azienda che, dopo l’interruzione della collaborazione con il dipendente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società; (iii) la firma di nuovi protocolli di intesa per contrastare revenge porn e cyberbullismo, con l’attenzione ad organizzare eventi che coinvolgano esperti di settore in materia di fenomeni sul web che riguardano i minori.
DATA ACT e AI ACT – Lo scorso 14 marzo nel corso di una votazione plenaria al Parlamento europeo è stata adottata la versione definitiva del #DataAct, la proposta legislativa che – come più volte specificato – mira a (i) rimuovere tutti gli ostacoli alla libera circolazione dei dati industriali e (ii) regolare i diritti e gli obblighi delle parti coinvolte nella condivisione dei dati prodotti dal cd. Internet of Things (IoT). L’adozione di tale versione, che apre ai negoziati con la Commissione e il Consiglio, rappresenta un passo molto importante in vista di una sua approvazione. Nella stessa giornata, Dragos Tudorache e Brando Benifei – i correlatori del Parlamento europeo – hanno condiviso una prima bozza di AI Act, nella quale vengono proposti alcuni obblighi specifici per i fornitori di cd. #GPAI, ossia sistemi di intelligenza artificiale per l’uso generale, come – ad esempio – ChatGPT). Per spunti di riflessione sul tema dell’Intelligenza Artificiale, segnaliamo anche questo interessantissimo articolo di Paolo Benanti.
BILANCIAMENTO NEL DIRITTO ALL’OBLIO – Con la sentenza n. 6806 la Suprema Corte di Cassazione si è recentemente pronunciata in materia di diritto all’oblio. I Giudici hanno in particolare stabilito che il gestore di un sito web non è tenuto a provvedere alla deindicizzazione e/o alla cancellazione di informazioni non più dotate dei caratteri di “ verità, continenza e attualità” in assenza di una legittima ed esplicita richiesta da parte dell’interessato. Concordando con la ricostruzione del giudice di prime cure – secondo cui “la tutela del diritto all’oblio non comporta automaticamente in capo ad una testata giornalistica l’obbligo di rimozione o deindicizzazione della notizia, dal momento che il diritto del soggetto a non vedere rappresentata una versione di sé non più corrispondente alla realtà presuppone una valutazione di non attualità della notizia che non è possibile compiere se non dopo un’espressa richiesta dell’interessato” – gli Ermellini hanno specificato che sarebbe in ogni caso oltremodo gravoso per il gestore di un archivio digitale l’onere di controllare periodicamente il superamento o la inattualità dei contenuti pubblicati. Grazie ad Agostino Imperatore per la segnalazione: nel suo post trovate il testo della sentenza.
231
DECRETO WHISTLEBLOWING – Lo scorso 9 marzo è stato approvato dal Consiglio dei Ministri il Decreto Legislativo di recepimento della Direttiva 2019/1937 (cd. Direttiva #Whistleblowing). Il Decreto – che entrerà in vigore il prossimo 15 luglio – andrà a disciplinare la protezione dei cd. “whistleblowers”, ossia i soggetti che segnalano la violazione di norme interne o europee di cui siano venuti a conoscenza in ragione della loro posizione lavorativa, pubblica o privata. Sul punto è intervenuta anche l’ANAC (Autorità Nazionale Anticorruzione, investita dal Decreto del ruolo di valutare le segnalazioni e le eventuali sanzioni amministrative da irrogare), attraverso un comunicato stampa dello scorso 10 marzo che illustra le principali novità introdotte.
SICUREZZA SUL LAVORO – Con la sentenza n. 8476 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha affrontato la questione del rapporto tra delega in materia di sicurezza sul lavoro prevista dall’art. 16 del D. Lgs. 81/08 e la delega gestoria affidata dal Consiglio di Amministrazione, di cui all’art. 2381 c.c. Chiamati a decidere sulla responsabilità di un amministratore delegato in relazione ad un incidente occorso ad un lavoratore – responsabilità, più in particolare, basata sull’assunto che la delega alla sicurezza sul lavoro conferita ad altro membro del CdA non fosse accompagnata dal potere di spesa e che, pertanto, non fosse “liberatoria” – gli Ermellini hanno precisato che “la delega di funzioni prevista dall’art. 16 del D. Lgs. n. 81/08 presuppone un trasferimento di poteri e correlati obblighi dal datore di lavoro verso altre figure non qualificabili come tali e che non lo diventano per effetto della delega. La delega di gestione, anche quando non abbia ad oggetto la sicurezza sul lavoro, invece, in caso di strutture complesse, consente di concentrare i poteri decisionali e di spesa connessi alla funzione datoriale, che fa capo ad una pluralità di soggetti (ovvero i membri del CdA) su alcuni di essi”. I Supremi Giudici di legittimità hanno pertanto accolto il ricorso della difesa, imponendo al giudice di rinvio un approfondimento circa contenuto della delega conferita. https://www.aodv231.it/novita/sicurezza-sul-lavoro-e-deleghe/
RIFORMA CARTABIA E COORDINAMENTO CON LA 231 – Con una recente ordinanza (consultabile gratuitamente per gli iscritti all’Associazione Aodv231), il Giudice per le indagini preliminari (GUP) di Milano ha stabilito che la nuova regola di giudizio introdotta dalla Riforma Cartabia non si applica ai processi a carico degli enti. Secondo il GUP, infatti, a fronte della modifica dell’art. 425, comma 3, per cui il giudice pronuncia sentenza di non luogo a procedere anche quando gli elementi acquisiti non consentono di formulare una ragionevole previsione di #condanna, “il disposto dell’art. 61 D. Lgs. 231/2001 non ha subito alcuna modificazione, sicchè statuisce ancora che il giudice pronuncia sentenza di non luogo a procedere (oltre che in ipotesi specificamente enucleate con riferimento alle peculiarità del processo nei confronti dell’ente), quando gli elementi acquisiti risultano insufficienti, contraddittori o comunque non idonei a sostenere in giudizio la responsabilità dell’ente”.
MERCATI DIGITALI
META E SIAE – Meta ha comunicato tramite un proprio portavoce di non aver raggiunto un accordo con la Siae (“Società Italiana Autori ed Editori”) per il rinnovo della licenza sul diritto d’autore, scaduto l’anno scorso. Di conseguenza, nelle prossime 48 ore un team dedicato della piattaforma provvederà a rimuovere tutti i contenuti, video e reels recanti tracce del repertorio Siae – che rappresentano una grandissima quantità. Più che ad una questione di soldi, il mancato raggiungimento dell’accordo è stato dovuto a una sensibile differenza nell’approccio tra le due parti in causa. Dal punto di vista della Siae, infatti, non c’è stata sufficiente trasparenza nella trattativa da parte della piattaforma di Zuckerberg: Siae avrebbe infatti chiesto a Meta di quantificare i ricavi provenienti dai contenuti con «colonna sonora» tutelata da Siae, per meglio stabilire la somma necessaria a compensare autori ed editori italiani. Meta, però, non fornisce verticalizzazioni nazionali sul proprio giro d’affari. Da qui uno scontro frontale che ha portato la multinazionale alla decisione di far saltare il dialogo.
OCSE – L’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) ha recentemente pubblicato un rapporto dal titolo “Advancing accountability in AI – Governing and management risk throughout the lifecycle for trustworthy AI”. Il documento illustra come gli approcci di gestione del rischio possono permettere l’attuazione dei principi dettati dall’OCSE in materia di intelligenza artificiale, e ciò durante l’intero ciclo di vita del sistema di AI. All’interno del rapporto l’Organizzazione presenta inoltre importanti ricerche e risultati in merito alle responsabilità e ai rischi connessi ai sistemi di intelligenza artificiale, provvedendo a fornire altresì una panoramica di come i quadri di gestione del rischio e dei cicli di vita del sistema di intelligenza artificiale possono essere integrati al fine di promuovere una AI affidabile.
REPORT ENISA – L’Agenzia dell’Unione europea per la sicurezza informatica (“ENISA”) ha annunciato la pubblicazione di due rapporti su eSIM ed Edge computing in 5G. In particolare, il primo mira a fornire una panoramica della tecnologia utilizzata, valutare le sfide per la sicurezza e proporre misure di mitigazione del rischio. Le sfide alla sicurezza includono lo scambio di eSIM, l’esaurimento della memoria, gli attacchi di memoria sottodimensionati e l’accesso illegale a informazioni sensibili da parte dei criminali informatici. Inoltre, per quanto riguarda il fog e l’edge computing nel 5G, l’ENISA ha spiegato che la tecnologia fornisce servizi di elaborazione, dati di archiviazione e applicazioni agli utenti finali, pur essendo ospitata all’edge della rete. Il report fornisce una panoramica delle tecnologie fog and edge in termini di 5G, in relazione alla loro architettura, attributi e aspetti di sicurezza.
PIRATERIA DIGITALE – Le commissioni parlamentari Cultura e Trasporti e Telecomunicazioni hanno deliberato favorevolmente sull’esame, da parte dell’assemblea legislativa, della proposta di legge contro la pirateria digitale, che sarà esaminata in Aula il 20 marzo. Saranno previste #sanzioni per oltre 15mila euro per chi detiene abusivamente opere coperte dal diritto d’autore. Più poteri saranno conferiti ad #Agcom, con l’obiettivo di fermare la riproduzione di contenuti illeciti entro poco tempo dalla notifica. Agcom che potrà intervenire con urgenza per ordinare ai prestatori di servizi, compresi i prestatori di accesso alla rete, di disabilitare l’accesso a contenuti illeciti. Lo stesso ordine potrà essere dato anche ai motori di ricerca e ai fornitori di servizi della società dell’informazione, coinvolti a qualsiasi titolo nell’accessibilità del sito web o dei servizi illegali.
GAZZETTA UFFICIALE – Pubblicato nell’edizione dello scorso 18 marzo il Decreto Legislativo di attuazione e recepimento della Direttiva 2019/2161 che prevede una migliore armonizzazione delle norme a protezione dei #diritti dei #consumatori, di cui avevamo già dato conto nelle edizioni precedenti. Nella medesima edizione è stato pubblicato anche un Decreto Legge (d’urgenza) in materia di strumenti finanziari digitali, che riguarda l’emissione e la loro circolazione, oltre che alcune norme di organizzazione.
ALTRE NEWS DAL MONDO
USA / IOWA – Dopo l’ok del Senato locale, è stato definitivamente approvato dalla Camera (con voto unanime!) il disegno di legge in materia di protezione dei dati dei consumatori dello Stato dell’Iowa. In caso di approvazione finale da parte del Governo dello Stato, il documento andrebbe a costituire la sesta normativa completa in materia di privacy degli Stati Uniti. Da una comparazione con le altre normative US si evince tuttavia che la bozza, oltre a fissare in 90 giorni il termine per fornire un feedback alle richieste degli interessati, non contiene (i) una definizione di dati sensibili, (ii) la previsione del diritto del consumatore alla correzione dei propri dati, nè (iii) la previsione di valutazioni d’impatto sui diritti e le libertà dei consumatori (DPIA).
COSTA RICA – il disegno di legge n. 23097 sulla protezione dei dati personali è stato presentato all’assemblea legislativa del Costa Rica. La proposta mira a vietare il trattamento di dati personali (“particolari”, come definiti dalla normativa europea) che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche e l’appartenenza sindacale, nonché il trattamento di dati genetici, biometrici, relativi alla salute o alla vita sessuale. Vengono introdotti i principali diritti degli interessati, quali il diritto di accesso, rettifica, cancellazione e portabilità dei dati, nonché il diritto di rinunciare al trattamento. Sono anche definiti i principi del trattamento dei dati, tra i quali, accuratezza, legittimità, equità, trasparenza, proporzionalità, responsabilità, sicurezza e riservatezza.
AUSTRALIA – L’Ufficio dell’Australian Information Commissioner (“OAIC”) ha pubblicato un comunicato stampa in cui ha accolto con favore la decisione dell’Alta Corte australiana di revocare il permesso speciale di Facebook Inc. di appellarsi all’Alta Corte, consentendo il rinvio del procedimento al Tribunale federale. In particolare, l’OAIC ha evidenziato che il procedimento in questione mira ad irrogare sanzioni civili nei confronti di Facebook Ireland e Facebook Inc. per lo scandalo Cambridge Analytica, che ora proseguirà davanti alla Corte Federale. A questo proposito, l’OAIC ha osservato di aver avviato un procedimento contro Facebook, con sede negli Stati Uniti, il 9 marzo 2020, sostenendo che la piattaforma di social media abbia commesso gravi e ripetute interferenze in violazione della legge australiana sulla privacy.
REGNO UNITO – L’Information Commissioner’s Office (“ICO”) ha annunciato la pubblicazione di una nuova guida (“Privacy in the product design lifecycle”) per aiutare i progettisti, i product manager e gli ingegneri dei software a integrare la protezione dei dati nei loro prodotti e servizi fin dall’inizio. Inoltre, la guida affronta le principali considerazioni sulla privacy per ogni fase della progettazione del prodotto. L’ICO ha osservato che la guida, scritta insieme a diversi tecnici di lavoro, offre maggiore certezza su ciò che le organizzazioni potrebbero fare per affrontare i problemi di privacy nel ciclo di vita del prodotto.
REGNO UNITO/2 – L’Information Commissioner’s Office (“ICO”) ha pubblicato un comunicato stampa per annunciare un aggiornamento della propria guida su AI e Data Protection, a seguito dei rilievi e commenti ricevuti dall’industria del settore e dagli esperti in materia privacy.
NORVEGIA – L’autorità norvegese per la protezione dei dati (“Datatilsynet”) ha pubblicato un post sul proprio sito contenente un estratto del discorso tenuto al Parlamento europeo e incentrato sull’intelligenza artificiale. In particolare, il post sul blog sottolinea che, sebbene molte delle tecnologie di intelligenza artificiale abbiano un impatto positivo, dovrebbero essere gestite con cura, poiché a volte possono avere conseguenze negative di vasta portata, in particolare per i diritti e le libertà fondamentali delle persone.
Immagine di copertina di Austin Goode grazie a Unsplash.