Consumatori – Project:IN

News #11/2023: in Europa si discute di AI, Facebook Pixel e DPO, mentre in Iowa arriva la privacy

20 Marzo 2023/in Compliance aziendale, Consumatori, D.Lgs. 231/01, Giurisprudenza civile, Giurisprudenza UE, News, Newsletter, Normativa, Privacy/da Miriam Pedruzzi

LE PRINCIPALI NEWS DELLA SETTIMANA

l’EDPB avvia una “task force” sul ruolo dei DPO
il Pixel di Facebook (Meta) è “illegale” come Google Analytics
l’AI ACT avanza insieme al Data Act: altre leggi in arrivo
META contro SIAE: una battaglia dolorosa

Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

Continuando con il filone degli esperti stranieri che si occupano di data protection, questa settimana consigliamo il follow ad un profilo “misterioso”, Mr. George M, che propone sempre spunti molto interessanti soprattutto in materia di compliance organizzativa.

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

Heard It Through The Grapevine – Marvin Gaye (1967)

PRIVACY

EDPB – Il 15 marzo, il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato la propria azione coordinata con la quale, al fine di valutare se i Data Protection Officer (“DPO”) detengono effettivamente, all’interno delle rispettive organizzazioni, una posizione con le caratteristiche richieste dagli articoli 37-39 del GDPR e le risorse necessarie per svolgere i propri compiti, inviterà le Autorità europee per la protezione dei dati a (i) inviare questionari ai DPO per un esercizio di accertamento dei fatti o per identificare se è giustificata un’indagine formale e (ii) avviare indagini formali. Inoltre, l’EDPB ha sottolineato che i risultati dell’iniziativa saranno analizzati in modo coordinato, e che le Autorità di protezione dei dati decideranno in merito a possibili ulteriori azioni locali di vigilanza e applicazione della normativa sulla protezione dei dati.

PIXEL META – L’Autorità austriaca per la protezione dei dati personali (DBS) ha di recente stabilito che il #pixel di tracciamento di Meta Platforms Inc viola non solo il GDPR ma anche quanto stabilito dalla Corte di Giustizia dell’Unione europea (CGUE) nella storica sentenza Schrems II. La decisione della DBS – resa pubblica proprio da NOYB, l’associazione di Max Schrems – scaturisce infatti dalle 101 denunce presentate dall’associazione contro Google Analytics, reggendosi sui medesimi presupposti: l’inevitabile trasferimento internazionale dei dati extra SEE, in particolare verso gli Stati Uniti.

NEWSLETTER GARANTE – Pubblicata il 15 marzo l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata una società di servizi di messaggistica per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti; (ii) la sanzione ad un’azienda che, dopo l’interruzione della collaborazione con il dipendente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società; (iii) la firma di nuovi protocolli di intesa per contrastare revenge porn e cyberbullismo, con l’attenzione ad organizzare eventi che coinvolgano esperti di settore in materia di fenomeni sul web che riguardano i minori.

DATA ACT e AI ACT – Lo scorso 14 marzo nel corso di una votazione plenaria al Parlamento europeo è stata adottata la versione definitiva del #DataAct, la proposta legislativa che – come più volte specificato – mira a (i) rimuovere tutti gli ostacoli alla libera circolazione dei dati industriali e (ii) regolare i diritti e gli obblighi delle parti coinvolte nella condivisione dei dati prodotti dal cd. Internet of Things (IoT). L’adozione di tale versione, che apre ai negoziati con la Commissione e il Consiglio, rappresenta un passo molto importante in vista di una sua approvazione. Nella stessa giornata, Dragos Tudorache e Brando Benifei – i correlatori del Parlamento europeo – hanno condiviso una prima bozza di AI Act, nella quale vengono proposti alcuni obblighi specifici per i fornitori di cd. #GPAI, ossia sistemi di intelligenza artificiale per l’uso generale, come – ad esempio – ChatGPT). Per spunti di riflessione sul tema dell’Intelligenza Artificiale, segnaliamo anche questo interessantissimo articolo di Paolo Benanti.

BILANCIAMENTO NEL DIRITTO ALL’OBLIO – Con la sentenza n. 6806 la Suprema Corte di Cassazione si è recentemente pronunciata in materia di diritto all’oblio. I Giudici hanno in particolare stabilito che il gestore di un sito web non è tenuto a provvedere alla deindicizzazione e/o alla cancellazione di informazioni non più dotate dei caratteri di “ verità, continenza e attualità” in assenza di una legittima ed esplicita richiesta da parte dell’interessato. Concordando con la ricostruzione del giudice di prime cure – secondo cui “la tutela del diritto all’oblio non comporta automaticamente in capo ad una testata giornalistica l’obbligo di rimozione o deindicizzazione della notizia, dal momento che il diritto del soggetto a non vedere rappresentata una versione di sé non più corrispondente alla realtà presuppone una valutazione di non attualità della notizia che non è possibile compiere se non dopo un’espressa richiesta dell’interessato” – gli Ermellini hanno specificato che sarebbe in ogni caso oltremodo gravoso per il gestore di un archivio digitale l’onere di controllare periodicamente il superamento o la inattualità dei contenuti pubblicati. Grazie ad Agostino Imperatore per la segnalazione: nel suo post trovate il testo della sentenza.

231

DECRETO WHISTLEBLOWING – Lo scorso 9 marzo è stato approvato dal Consiglio dei Ministri il Decreto Legislativo di recepimento della Direttiva 2019/1937 (cd. Direttiva #Whistleblowing). Il Decreto – che entrerà in vigore il prossimo 15 luglio – andrà a disciplinare la protezione dei cd. “whistleblowers”, ossia i soggetti che segnalano la violazione di norme interne o europee di cui siano venuti a conoscenza in ragione della loro posizione lavorativa, pubblica o privata. Sul punto è intervenuta anche l’ANAC (Autorità Nazionale Anticorruzione, investita dal Decreto del ruolo di valutare le segnalazioni e le eventuali sanzioni amministrative da irrogare), attraverso un comunicato stampa dello scorso 10 marzo che illustra le principali novità introdotte.

SICUREZZA SUL LAVORO – Con la sentenza n. 8476 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha affrontato la questione del rapporto tra delega in materia di sicurezza sul lavoro prevista dall’art. 16 del D. Lgs. 81/08 e la delega gestoria affidata dal Consiglio di Amministrazione, di cui all’art. 2381 c.c. Chiamati a decidere sulla responsabilità di un amministratore delegato in relazione ad un incidente occorso ad un lavoratore – responsabilità, più in particolare, basata sull’assunto che la delega alla sicurezza sul lavoro conferita ad altro membro del CdA non fosse accompagnata dal potere di spesa e che, pertanto, non fosse “liberatoria” – gli Ermellini hanno precisato che “la delega di funzioni prevista dall’art. 16 del D. Lgs. n. 81/08 presuppone un trasferimento di poteri e correlati obblighi dal datore di lavoro verso altre figure non qualificabili come tali e che non lo diventano per effetto della delega. La delega di gestione, anche quando non abbia ad oggetto la sicurezza sul lavoro, invece, in caso di strutture complesse, consente di concentrare i poteri decisionali e di spesa connessi alla funzione datoriale, che fa capo ad una pluralità di soggetti (ovvero i membri del CdA) su alcuni di essi”. I Supremi Giudici di legittimità hanno pertanto accolto il ricorso della difesa, imponendo al giudice di rinvio un approfondimento circa contenuto della delega conferita. https://www.aodv231.it/novita/sicurezza-sul-lavoro-e-deleghe/

RIFORMA CARTABIA E COORDINAMENTO CON LA 231 – Con una recente ordinanza (consultabile gratuitamente per gli iscritti all’Associazione Aodv231), il Giudice per le indagini preliminari (GUP) di Milano ha stabilito che la nuova regola di giudizio introdotta dalla Riforma Cartabia non si applica ai processi a carico degli enti. Secondo il GUP, infatti, a fronte della modifica dell’art. 425, comma 3, per cui il giudice pronuncia sentenza di non luogo a procedere anche quando gli elementi acquisiti non consentono di formulare una ragionevole previsione di #condanna, “il disposto dell’art. 61 D. Lgs. 231/2001 non ha subito alcuna modificazione, sicchè statuisce ancora che il giudice pronuncia sentenza di non luogo a procedere (oltre che in ipotesi specificamente enucleate con riferimento alle peculiarità del processo nei confronti dell’ente), quando gli elementi acquisiti risultano insufficienti, contraddittori o comunque non idonei a sostenere in giudizio la responsabilità dell’ente”.

MERCATI DIGITALI

META E SIAE – Meta ha comunicato tramite un proprio portavoce di non aver raggiunto un accordo con la Siae (“Società Italiana Autori ed Editori”) per il rinnovo della licenza sul diritto d’autore, scaduto l’anno scorso. Di conseguenza, nelle prossime 48 ore un team dedicato della piattaforma provvederà a rimuovere tutti i contenuti, video e reels recanti tracce del repertorio Siae – che rappresentano una grandissima quantità. Più che ad una questione di soldi, il mancato raggiungimento dell’accordo è stato dovuto a una sensibile differenza nell’approccio tra le due parti in causa. Dal punto di vista della Siae, infatti, non c’è stata sufficiente trasparenza nella trattativa da parte della piattaforma di Zuckerberg: Siae avrebbe infatti chiesto a Meta di quantificare i ricavi provenienti dai contenuti con «colonna sonora» tutelata da Siae, per meglio stabilire la somma necessaria a compensare autori ed editori italiani. Meta, però, non fornisce verticalizzazioni nazionali sul proprio giro d’affari. Da qui uno scontro frontale che ha portato la multinazionale alla decisione di far saltare il dialogo.

OCSE – L’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) ha recentemente pubblicato un rapporto dal titolo “Advancing accountability in AI – Governing and management risk throughout the lifecycle for trustworthy AI”. Il documento illustra come gli approcci di gestione del rischio possono permettere l’attuazione dei principi dettati dall’OCSE in materia di intelligenza artificiale, e ciò durante l’intero ciclo di vita del sistema di AI. All’interno del rapporto l’Organizzazione presenta inoltre importanti ricerche e risultati in merito alle responsabilità e ai rischi connessi ai sistemi di intelligenza artificiale, provvedendo a fornire altresì una panoramica di come i quadri di gestione del rischio e dei cicli di vita del sistema di intelligenza artificiale possono essere integrati al fine di promuovere una AI affidabile.

REPORT ENISA – L’Agenzia dell’Unione europea per la sicurezza informatica (“ENISA”) ha annunciato la pubblicazione di due rapporti su eSIM ed Edge computing in 5G. In particolare, il primo mira a fornire una panoramica della tecnologia utilizzata, valutare le sfide per la sicurezza e proporre misure di mitigazione del rischio. Le sfide alla sicurezza includono lo scambio di eSIM, l’esaurimento della memoria, gli attacchi di memoria sottodimensionati e l’accesso illegale a informazioni sensibili da parte dei criminali informatici. Inoltre, per quanto riguarda il fog e l’edge computing nel 5G, l’ENISA ha spiegato che la tecnologia fornisce servizi di elaborazione, dati di archiviazione e applicazioni agli utenti finali, pur essendo ospitata all’edge della rete. Il report fornisce una panoramica delle tecnologie fog and edge in termini di 5G, in relazione alla loro architettura, attributi e aspetti di sicurezza.

PIRATERIA DIGITALE – Le commissioni parlamentari Cultura e Trasporti e Telecomunicazioni hanno deliberato favorevolmente sull’esame, da parte dell’assemblea legislativa, della proposta di legge contro la pirateria digitale, che sarà esaminata in Aula il 20 marzo. Saranno previste #sanzioni per oltre 15mila euro per chi detiene abusivamente opere coperte dal diritto d’autore. Più poteri saranno conferiti ad #Agcom, con l’obiettivo di fermare la riproduzione di contenuti illeciti entro poco tempo dalla notifica. Agcom che potrà intervenire con urgenza per ordinare ai prestatori di servizi, compresi i prestatori di accesso alla rete, di disabilitare l’accesso a contenuti illeciti. Lo stesso ordine potrà essere dato anche ai motori di ricerca e ai fornitori di servizi della società dell’informazione, coinvolti a qualsiasi titolo nell’accessibilità del sito web o dei servizi illegali.

GAZZETTA UFFICIALE – Pubblicato nell’edizione dello scorso 18 marzo il Decreto Legislativo di attuazione e recepimento della Direttiva 2019/2161 che prevede una migliore armonizzazione delle norme a protezione dei #diritti dei #consumatori, di cui avevamo già dato conto nelle edizioni precedenti. Nella medesima edizione è stato pubblicato anche un Decreto Legge (d’urgenza) in materia di strumenti finanziari digitali, che riguarda l’emissione e la loro circolazione, oltre che alcune norme di organizzazione.

ALTRE NEWS DAL MONDO

USA / IOWA – Dopo l’ok del Senato locale, è stato definitivamente approvato dalla Camera (con voto unanime!) il disegno di legge in materia di protezione dei dati dei consumatori dello Stato dell’Iowa. In caso di approvazione finale da parte del Governo dello Stato, il documento andrebbe a costituire la sesta normativa completa in materia di privacy degli Stati Uniti. Da una comparazione con le altre normative US si evince tuttavia che la bozza, oltre a fissare in 90 giorni il termine per fornire un feedback alle richieste degli interessati, non contiene (i) una definizione di dati sensibili, (ii) la previsione del diritto del consumatore alla correzione dei propri dati, nè (iii) la previsione di valutazioni d’impatto sui diritti e le libertà dei consumatori (DPIA).

COSTA RICA – il disegno di legge n. 23097 sulla protezione dei dati personali è stato presentato all’assemblea legislativa del Costa Rica. La proposta mira a vietare il trattamento di dati personali (“particolari”, come definiti dalla normativa europea) che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche e l’appartenenza sindacale, nonché il trattamento di dati genetici, biometrici, relativi alla salute o alla vita sessuale. Vengono introdotti i principali diritti degli interessati, quali il diritto di accesso, rettifica, cancellazione e portabilità dei dati, nonché il diritto di rinunciare al trattamento. Sono anche definiti i principi del trattamento dei dati, tra i quali, accuratezza, legittimità, equità, trasparenza, proporzionalità, responsabilità, sicurezza e riservatezza.

AUSTRALIA – L’Ufficio dell’Australian Information Commissioner (“OAIC”) ha pubblicato un comunicato stampa in cui ha accolto con favore la decisione dell’Alta Corte australiana di revocare il permesso speciale di Facebook Inc. di appellarsi all’Alta Corte, consentendo il rinvio del procedimento al Tribunale federale. In particolare, l’OAIC ha evidenziato che il procedimento in questione mira ad irrogare sanzioni civili nei confronti di Facebook Ireland e Facebook Inc. per lo scandalo Cambridge Analytica, che ora proseguirà davanti alla Corte Federale. A questo proposito, l’OAIC ha osservato di aver avviato un procedimento contro Facebook, con sede negli Stati Uniti, il 9 marzo 2020, sostenendo che la piattaforma di social media abbia commesso gravi e ripetute interferenze in violazione della legge australiana sulla privacy.

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) ha annunciato la pubblicazione di una nuova guida (“Privacy in the product design lifecycle”) per aiutare i progettisti, i product manager e gli ingegneri dei software a integrare la protezione dei dati nei loro prodotti e servizi fin dall’inizio. Inoltre, la guida affronta le principali considerazioni sulla privacy per ogni fase della progettazione del prodotto. L’ICO ha osservato che la guida, scritta insieme a diversi tecnici di lavoro, offre maggiore certezza su ciò che le organizzazioni potrebbero fare per affrontare i problemi di privacy nel ciclo di vita del prodotto.

REGNO UNITO/2 – L’Information Commissioner’s Office (“ICO”) ha pubblicato un comunicato stampa per annunciare un aggiornamento della propria guida su AI e Data Protection, a seguito dei rilievi e commenti ricevuti dall’industria del settore e dagli esperti in materia privacy.

NORVEGIA – L’autorità norvegese per la protezione dei dati (“Datatilsynet”) ha pubblicato un post sul proprio sito contenente un estratto del discorso tenuto al Parlamento europeo e incentrato sull’intelligenza artificiale. In particolare, il post sul blog sottolinea che, sebbene molte delle tecnologie di intelligenza artificiale abbiano un impatto positivo, dovrebbero essere gestite con cura, poiché a volte possono avere conseguenze negative di vasta portata, in particolare per i diritti e le libertà fondamentali delle persone.

Immagine di copertina di Austin Goode grazie a Unsplash.

News #9/2023: la strada dei dati tra USA e UE è ancora lunga e complessa

6 Marzo 2023/in Compliance aziendale, Consumatori, D.Lgs. 231/01, Giurisprudenza UE, News, Newsletter, Normativa, Privacy/da Miriam Pedruzzi

LE PRINCIPALI NEWS DELLA SETTIMANA:

l’EDPB si accoda al Parlamento nel chiedere alla Commissione nuovi approfondimenti prima di dichiarare “adeguati” gli USA per il trasferimento di dati personali ai sensi del GDPR;
il Governo approva il recepimento della Direttiva Omnibus, con importanti impatti sulla tutela dei consumatori (anche nell’eCommerce);
TikTok bannata dai device dei dipendenti UE, lo faremo anche in Italia?

IL PROFILO DA SEGUIRE:

chi si interessa di trasferimenti internazionali di dati non può mancare di seguire il profilo di Luiz Alberto Montezuma, “facilitatore di spazi internazionali di dati personali”, con post quotidiani ricchi di numerosi spunti in materia.

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

Three O’Clock Blues – Eric Clapton & B.B. King (2000)

PRIVACY

EDPB SUL PROGETTO DI DPF – Lo scorso 28 febbraio l’European Data Protection Board (EDPB) ha pubblicato il parere 5/2023 in merito al progetto di esecuzione della Commissione europea sull’adeguata protezione dei dati nell’ambito del Data Protection Framework UE-USA. Nel documento l’EDPB espone diverse preoccupazioni – già evidenziate in precedenza rispetto al defunto “Privacy Shield” – soprattutto per quel che riguarda la tematica dei diritti degli interessati. Più in particolare, il Comitato si è soffermato (i) sui trattamenti decisionali automatizzati, stabilendo che vanno formulate norma più specifiche al di fornire le “garanzie sufficienti” richieste dal GDPR e (ii) sul meccanismo di ricorso, evidenziando che – nonostante i miglioramenti – rimangono ferme le preoccupazione relative all’applicazione generale della risposta standard della DPCR (Data Protection Review Court). Dopo il Parlamento, quindi, un altro parere critico e che poco aiuta la Commissione nel percorso di approvazione della decisione (eminentemente politica) riguardo all’adeguatezza degli USA per il trasferimento di dati personali.

NOYB – “None Of Your Business” – l’organizzazione no profit di Max Schrems – ha di recente annunciato di aver presentato una serie di reclami contro siti web e broker di dati in materia di diritto di accesso. In particolare, NOYB ha spiegato che alcuni utenti hanno effettuato una serie di richieste di accesso al fine di testare la gestione dell’autenticazione dei cookie, allegando alla richiesta i cookie installati dai siti web di riferimento quale mezzo di identificazione. Secondo l’organizzazione, molte delle risposte ricevute dagli interessati non erano sufficienti e, addirittura, in alcuni casi (i) erano stati richiesti dati ulteriori ai fini della identificazione e (ii) la richiesta di accesso era stata completamente ignorata.

CYBERCRIME – I furti di identità in Italia sono cresciuti in modo esponenziale, ha evidenziato la Relazione sulla politica dell’informazione per la sicurezza relativa al 2022, curata dal Comparto Intelligence nella sezione dedicata alla minaccia cibernetica. La capacità di attribuzione acquisita dall’Intelligence e l’ampio ricorso da parte degli attori statuali a strumenti impiegati anche da gruppi criminali ha consentito di rilevare una sensibile crescita degli attacchi di matrice criminale. Si è confermato anche per il 2022 il ricorso da parte dei principali criminali informatici, alla registrazione di domini malevoli, ossia quelli connotati, per denominazione e caratteristiche, da un’elevata similitudine con quelli di siti istituzionali e governativi, al fine di dirottare inconsapevolmente gli utenti verso siti web compromessi. È continuata anche la ricerca delle vulnerabilità tecniche esposte dai target selezionati, funzionale a tentativi di violazione delle loro reti informatiche, nonché ad attacchi informatici. A tale contrazione ha fatto da contraltare un incremento nell’impiego di malware da parte di attori di matrice criminale.

DSA E TASSA DI VIGILANZA – La Commissione europea ha stabilito le regole per la riscossione delle tasse sulla vigilanza per le piattaforme e i motori di ricerca online di grandi dimensioni, che verranno applicate per la prima volta nell’autunno 2023. Come previsto dal Digital Services Act (“DSA”), la Commissione può imporre una tassa ai fornitori sottoposti alla sua supervisione, risorse che serviranno a finanziare i costi sostenuti per le attività di controllo della Commissione. Il regolamento specifica infatti le procedure per il calcolo e la riscossione della tassa di vigilanza, fornisce dettagli sui costi complessivi stimati da coprire con le tasse riscosse e sulla determinazione delle singole imposte. Gli obblighi per i fornitori di servizi individuati dal DSA diventeranno applicabili quattro mesi dopo la loro designazione formale.

D. LGS. 231

CRIMINALITÀ ECONOMICA – L’Ufficio Nazionale del Procuratore Finanziario francese (PNF) – operante nel settore del monitoraggio e contrasto dei reati di natura economica e finanziaria – ha emesso di recente un aggiornamento delle Linee Guida del 2019 in materia di accordi di negoziazione sull’esercizio dell’azione penale in materia di criminalità di impresa (cd. CJIP, Convention Judiciaire d’Intérêt Public). Il documento delinea una politica premiale tesa a stimolare la spontanea cooperazione tra gli enti operanti nel settore nell’ambito della quale vengono valorizzate iniziative quali l’auto-segnalazione. In caso di fallimento tali accordi di negoziazione rimangono secretati, ma in caso di esito favorevole le imprese possono ottenere concreti benefici, soprattutto in termini di ridimensionamento delle sanzioni.

MERCATI DIGITALI

ECOMMERCE – E’ stato approvato dal Consglio dei Ministri il Decreto Legislativo di attuazione della cosiddetta “Direttiva Omnibus”, di grande rilevanza per l’impatto sulla tutela dei consumatori in particolare nell’ambito eCommerce. Come precisato dal Ministero dello Sviluppo Economico, le principali novità riguardano la #trasparenza di informazione, l’aggiornamento dei casi di #praticheingannevoli e l’aumento del regime delle #sanzioni applicabili.

TWITTER – Tornano i licenziamenti in casa Twitter. Ad essere colpiti ben 200 dipendenti, il 10% di quelli “sopravvissuti” all’ondata dello scorso autunno. La ragione di tale ridimensionamento è da ricercarsi nella “necessità” avvertita da Musk di ridurre i costi della società. Qualche stranezza, in effetti, era già nell’aria: già da una settimana il servizio di messaggistica istantanea aziendale era stato messo offline, rendendo di fatto impossibile la comunicazione tra i dipendenti e la consultazione di dati aziendali. Alcuni dipendenti hanno poi riferito di aver avuto qualche certezza in più circa il loro imminente allontanamento lo scorso sabato, quando hanno scoperto di essere stati disconnessi dal loro account aziendale.

AGCOM & TIKTOK – Si è espresso anche il commissario Agcom, Antonello Giacomelli, sull’ipotesi di divieto di utilizzo, all’interno della Pubblica Amministrazione, della app di TikTok negli smartphone lavorativi, che impatterebbe circa 3,2 milioni di dipendenti statali. La decisione vorrebbe porsi nel solco di quella adottata dalla Commissione Europea, che ha già imposto il divieto. Dal canto suo, la piattaforma ha ribadito che i dati degli utenti non si troverebbero in Cina, e che il governo cinese non avrebbe mai presentato alcuna richiesta di accesso ai dati.

OPEN BANKING – Uno studio pubblicato dalla Banca d’Italia (“L’open banking nel sistema dei pagamenti: evoluzione infrastrutturale, innovazione e sicurezza, prassi di vigilanza e sorveglianza”) ha rilevato che la diffusione dell’open banking sta determinando una profonda discontinuità nelle modalità di possesso e di utilizzo dei dati personali degli utenti dei servizi finanziari. In particolare, nei pagamenti, l’open banking porta a un parziale ridimensionamento del ruolo, finora esclusivo, degli intermediari presso cui i conti dei clienti sono radicati, consentendo a terze parti di effettuare il pagamento per conto del consumatore, senza la necessità che esse abbiano una relazione contrattuale con la banca. L’open banking genera una maggiore complessità tecnologica e aumenta le interconnessioni all’interno dell’industria dei pagamenti. Per questo, afferma Banca d’Italia, è necessario che le autorità pubbliche definiscano assetti regolamentari e di vigilanza in grado di fare evolvere l’intero sistema finanziario verso una maggiore efficienza e inclusività, garantendo sicurezza e affidabilità.

PREVISIONI DI CRESCITA DELL’ECONOMIA DIGITALE – L’economia digitale rappresenterà più della metà del Pil globale entro la fine del 2023, e la crescita del 5G e l’evoluzione delle tecnologie di connettività aumenteranno i benefici economici globali di circa il 15%. È quanto emerge dallo studio “Driving development: The impact of Ict investments on the digital economy” realizzato da Huawei, in collaborazione con EI Studios e Gsma Intelligence e presentato in occasione del Mobile World Congress di Barcellona. La principale conclusione a cui si giunge è che che informatica e digitalizzazione sono destinati a guidare la quarta rivoluzione industriale. Le telecomunicazioni hanno un ruolo centrale in quanto promotori dell’economia digitale, sono state determinanti nel fornire le necessarie infrastrutture di connettività e finora hanno sostenuto l’onere degli investimenti in linea con il loro ruolo di servizi pubblici. Per mantenere questa crescita sostenibile ed efficace, sarà necessario creare collaborazione e dialogo con il settore privato per creare quadri normativi di supporto e incentivare l’innovazione, entrambi aspetti essenziali per dare impulso all’economia digitale del futuro.

ALTRE NEWS DAL MONDO

IRLANDA – L’Autorità garante irlandese (DPC) ha di recente annunciato di aver sanzionato la società Centric Health Ltd. per violazione del GDPR, in particolare delle disposizioni in materia di misure di sicurezza. Dalle indagini svolte dall’Autorità è infatti emerso che, in conseguenza di attacco hacker, era stato registrato l’accesso non autorizzato e la perdita della disponibilità di dati personali – anche particolari – di 70 mila interessati, nonché la perdita definitiva di dati di oltre 2500 pazienti. Secondo l’Autorità l’incidente di sicurezza non si sarebbe verificato se la Centric Health avesse implementato adeguate misure di sicurezza – tecniche e organizzative – tali da garantire un livello di rischio “adeguato”. Per tale motivo, la società è stata sanzionata per 460 mila euro.

DANIMARCA – L’autorità danese per la protezione dei dati (“Datatilsynet”) ha annunciato che l’agenzia danese per la sicurezza digitale ha attivato una nuova hotline per i cittadini e le imprese che necessitano di consulenza e orientamento per proteggersi da crimine informatico. In particolare, il Datatilsynet ha affermato che la hotline (i) facilita l’accesso alle di prevenzione su come i cittadini dovrebbero proteggersi dai criminali informatici, (ii) fornisce consigli e indicazioni su come proteggere una rete wireless domestica, aggiornare i programmi o proteggere i dispositivi digitali dei bambini; (iii) propone indicazioni su come un’azienda può reagire se esposta a un attacco informatico, compresi i vantaggi e gli svantaggi delle diverse azioni.

USA – L’Electronic Privacy Information Center (“EPIC”) ha annunciato di aver presentato commenti alla Federal Communications Commission (“FCC”) in merito alla proposta per cui potrebbero essere raccolti dati sulla posizione dei telefoni cellulari per migliorare l’instradamento delle chiamate al 911. In particolare, EPIC ha sottolineato di apprezzare l’obiettivo della FCC di migliorare i tempi di risposta alle emergenze, ma anche che la proposta non tiene conto dell’incapacità dei dispositivi di salvaguardare i dati sulla posizione.

USA / COLORADO – La bozza rivista del Colorado Privacy Act (“CPA”) è stata depositata presso il Segretario di Stato, dopo la loro pubblicazione da parte del Colorado Attorney General (“AG”) il 27 gennaio 2023. In particolare, l’ultima revisione riguarda diversi elementi del progetto di CPA, tra cui (i) l’aggiornamento di alcune definizioni, (ii) fornire nuovi esempi per i programmi di fidelizzazione, (iii) modifiche alla divulgazione e alle specifiche delle finalità, (iv) modifiche al consenso, (v) requisiti di contenuto minimo per le valutazioni sulla protezione dei dati.

USA / NEW YORK – E’ stato presentato all’Assemblea dello Stato di New York, e successivamente deferito, nella stessa data, al Comitato per la scienza e la tecnologia dell’Assemblea statale, un atto di modifica del diritto commerciale generale in relazione all’emanazione del New York Child Data Privacy and Protection act. In particolare, il disegno di legge sottolinea che ogni entità che offre un prodotto online destinato agli utenti minorenni a New York deve completare una valutazione dell’impatto sulla protezione dei dati (“DPIA”), e delinea un divieto di raccolta di dati e pubblicità digitale, in modo che nessuna entità che offre un prodotto online destinato a utenti minorenni possa raccogliere, conservare, elaborare o vendere dati personali, a meno che non sia necessario fornire tale servizio agli utenti.

SPAGNA – L’autorità catalana per la protezione dei dati (“APDCAT”) ha pubblicato, il 1° marzo 2023, una guida intitolata “Privacy by design e privacy by default: una guida per gli sviluppatori”. In particolare, l’APDCAT ha evidenziato che la guida funge da risorsa per il rispetto degli obblighi di Privacy by Design e Default ai sensi dell’articolo 25 del GDPR. Inoltre, la guida identifica una serie di misure che possono aiutare la protezione dei dati personali nelle diverse fasi del trattamento dei dati personali, tra cui la crittografia, l’anonimizzazione e la pseudonimizzazione, insieme alle tecniche per l’attuazione di tali misure.

BRASILE – L’autorità brasiliana per la protezione dei dati (“ANPD”) ha pubblicato una risoluzione definitiva sull’applicazione delle sanzioni amministrative a seguito di consultazione pubblica. In particolare, l’ANPD ha evidenziato che la risoluzione mira a disciplinare i criteri e i parametri per le sanzioni pecuniarie e non pecuniarie che possono essere irrogate dall’ANPD. Inoltre, l’autorità ha rilevato che la delibera modificherà alcuni articoli al fine di migliorare il processo sanzionatorio amministrativo e ispettivo per fornire certezza del diritto e trasparenza.

Immagine di copertina di Charles Forerunner grazie a Unsplash.

News #8/2023: linee guida EDPB, indicazioni sul DSA, Spid a rischio

27 Febbraio 2023/in Compliance aziendale, Consumatori, D.Lgs. 231/01, News, Newsletter, Normativa, Privacy/da Miriam Pedruzzi

LE PRINCIPALI NEWS DELLA SETTIMANA:

potrebbe non rinnovarsi la convenzione di SPID, spegnendo così 33 milioni di identità digitali italiane;
nuova newsletter del Garante e linee guida EDPB: molto da leggere;
#privacynotincluded è uno studio della Mozilla Foundation su quanto le app dichiarino all’utente (male, poco, in modo opaco) sul trattamento di dati;
pubblicato un interessante toolbox di ENISA per armonizzare gli strumenti di risk management;
importante decisione della Cassazione in materia di autoriciclaggio.

IL PROFILO DA SEGUIRE:

Anche in onore del libro consigliato qui sotto, un profilo da seguire per la ricchezza di spunti e la personale (e competentissima) visione del mondo dei dati personali è quello di Francesco Pizzetti, professore di Diritto Costituzionale e già Presidente dell’Autorità Garante.

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

A Love Supreme (Suite) – John Coltrane (1965)

IL LIBRO DELLA SETTIMANA

“LA PRIVACY NELL’ERA DIGITALE” – Il nuovo volume dal titolo “La privacy nell’era digitale” racconta la storia dell’evoluzione di diritti e tecnologie dal 1997 al 2022, e apre una prospettiva sugli scenari futuri. Il libro ricostruisce la storia dell’Autorità Garante attraverso i discorsi dei suoi #Presidenti, dalla sua istituzione nel 1997, e ripercorre l’evoluzione di un’Autorità indipendente che, nelle parole del presidente Stanzione, “ha saputo adeguare la propria azione alle esigenze sociali emergenti e alle istanze di tutela manifestate dai cittadini”. Il libro sottolinea anche le sfide poste all’Autorità nel mondo digitale di oggi: innanzitutto quella di distinguere in rete l’interlocutore umano dall’interlocutore-macchina e la necessità di una rapida risposta della normative alla rapidissima evoluzione della tecnologia.

MERCATI DIGITALI

IDENTITA’ DIGITALE – Il Governo ha annunciato di voler unificare i servizi di CiE e SPID in un #nuovo sistema pubblico di #identitàdigitale. Giovedì 23 febbraio, presso il Dipartimento della Trasformazione digitale, si è così svolto il primo incontro tra il sottosegretario all’Innovazione e gli esperti del tavolo tecnico nominato per valutare la fattibilità del progetto. L’intenzione del Governo è quello di #unificare i servizi esistenti di identità del cittadino in un’unica applicazione, in linea con il progetto elaborato dalla Commissione europea che mira a rendere operativo un sistema comune europeo di identità elettronica. Tuttavia, come spiega in dettaglio questo articolo di Wired, il Governo ha parallelamente deciso di non rinnovare (per ora) le #convenzioni ai gestori Spid, in scadenza il prossimo #23aprile. Problemi di costi, ma (potenzialmente) grandi problemi per tutti noi cittadini, che potremmo ritrovarci senza uno strumento molto importante per l’accesso al digitale, davvero tra pochi giorni.

COMMENTI PUBBLICI DSA – Lo scorso 17 febbraio la Commissione europea ha annunciato di aver avviato una consultazione pubblica sulle procedure di applicazione del Digital Service Act (#DSA). In particolare, il regolamento di esecuzione del DSA stabilisce che la Commissione ha il potere di ordinare ai fornitori di piattaforme o motori di ricerca molto grandi – quelli cioè che raggiungo il 10% della popolazione dell’UE o 45 milioni di utenti mensili – di (i) fornirle l’accesso a banche dati e algoritmi e (ii) identificare le informazioni coperte dal segreto aziendale o comunque riservate. Il termine ultimo entro il quale inviare commenti è fissato al 16 marzo 2023. I commenti possono essere inviati a questo link. Ricordiamo, inoltre, che dallo scorso 17 febbraio è ufficialmente in vigore per piattaforme online e motori di ricerca l’obbligo di comunicare con cadenza semestrale un #report relativo al numero di utenti raggiunti.

TWITTER – Attraverso un post sul suo blog ufficiale Twitter ha annunciato una importantissima novità: dal prossimo 20 marzo l’autenticazione a due fattori (cd. #2FA) tramite SMS potrà essere attivata esclusivamente dagli utenti aderenti al piano #TwitterBlue, e cioè quello a pagamento. La notizia è chiaramente allarmante, dal momento che comporterà per milioni di utenti possibili rischi dal punto di vista della #sicurezza #informatica del proprio account. L’autenticazione a due fattori è infatti un livello di protezione ulteriore che si aggiunge alla password e che, attraverso un codice che solo l’utente può avere, ne rafforza l’autenticazione. Alla luce di questo imminente cambiamento il consiglio è quindi quello di affrettarsi ad attivare la doppia identificazione via app prima che sia troppo tardi.

EVASIONE IVA DI META, FORSE – Il Nucleo di polizia economico finanziaria della Guardia di Finanza di Milano ha #contestato come omesso versamento dell’Iva un importo di 870 milioni, per gli anni che vanno dal 2015 al 2021, alla piattaforma Meta. L’indagine, attraverso un calcolo specifico sulla permuta di beni differenti, ha permesso di rilevare l’Iva non versata, che riguarda l’iscrizione degli utenti sulle diverse #piattaforme social. Tali Iscrizioni, infatti, avvengono #gratuitamente, ma con l’utente che in realtà paga una sorta di tassa, perché mette a disposizione i propri dati personali e si sottopone a una potenziale profilazione. Attraverso questo scambio, formalmente gratuito, Meta può trarre un profitto, che, in base a valutazioni giuridiche e fiscali, deve essere #tassato, secondo gli inquirenti, con l’applicazione dell’imposta sul valore aggiunto, che Meta, invece, negli anni non ha mai versato.

ARTIFACT – I creatori di Instagram hanno lanciato una nuova App, ci racconta TechCrunch: si chiama Artifact ed è un #newsfeed personalizzato che promette grande controllo su ciò che si legge e, al contempo, un supporto importante a contrastare la ormai dilagante FOMO (Fear Of Missing Out) per quanto riguarda le informazioni che circolano in rete e nel mondo iperconnesso di oggi.

PRIVACY

NEWSLETTER GARANTE – Pubblicata lo scorso 22 febbraio l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata Edison Energia S.p.A. per condotte illecite nei confronti degli utenti in materia di telemarketing –;(ii) fornito al Ministero della Salute un parere su uno schema di decreto in materia di accesso ai medicinali in caso di ricette transfrontaliere; (iii) adottata dall’EDPB una relazione – frutto dell’attività di 22 Autorità garanti dell’area SEE – sui risultati della sua prima azione di applicazione coordinata in materia di #cloud nelle amministrazioni pubbliche. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9857857

LINEE GUIDA EDPB – Il 24 febbraio 2023 il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato di aver adottato tre serie di linee guida nella loro versione finale, a seguito della sua 75° riunione plenaria. In particolare, le linee guida adottate dall’EDPB riguardano (i) l’interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali di cui al capo V del GDPR (Linee guida 05/2021); (ii) la Certificazione come strumento per i Trasferimenti (Linee guida 07/2022); (iii) i dark patterns nelle interfacce delle piattaforme di social media (Linee guida 03/2022). L’EDPB ha sottolineato che, a seguito di consultazione pubblica, le linee guida sono state aggiornate e sono stati aggiunti ulteriori chiarimenti, in particolare, in merito alle responsabilità del Titolare del trattamento quando l’esportatore dei dati è un Responsabile del trattamento. Nel frattempo, sempre l’EDPB ha annunciato la pubblicazione del suo programma di lavoro 2023-2024, in cui delinea priorità e strategia per il prossimo biennio, con particolare focus sulla armonizzazione del GDPR nei vari paesi UE.

ONE-STOP-SHOP – L’European Data Protection Board (EDPB) ha di recente pubblicato un documento tematico in materia di diritto di opposizione al trattamento e di cancellazione dei dati persona dal titolo “One-Stop-Shop case digest on right to object and right to erasure”. Il documento, datato 9 dicembre 2022, esamina una serie di decisioni finali prese dal registro pubblico dell’EDPB (cd. One-Stop-Shop) tra l’agosto e il novembre dello scorso anno, rendendo evidente – e anzi, sottolineando – il pregevole lavoro di collaborazione svolto dalle diverse Autorità garanti nazionali ai fini di una corretta applicazione del GDPR

UTENTI META DEL REGNO UNITO – La piattaforma Meta modificherà i propri termini di servizio e le condizioni sulla privacy per gli utenti del Regno Unito. Gli utenti britannici di Facebook, Instagram e WhatsApp manterranno i diritti sui dati ai sensi del UK GDPR, mentre l’azienda #sposterà i dati degli utenti fuori dalla giurisdizione del Regolamento. Un portavoce di Meta ha dichiarato che gli aggiornamenti, pianificati in seguito all’accordo Brexit 2020 del Regno Unito, non cambiano il modo in cui la piattaforma tratta i dati degli utenti britannici. La dichiarazione arriva proprio nel momento in cui Meta si trova ad affrontare un potenziale blackout dei servizi dell’Unione europea, in attesa di una decisione sul trasferimento dei dati da parte dell’European Data Protection Board (“EDPB”).

PRIVACYNOTINCLUDED – Uno studio dei ricercatori di Mozilla Foundation ha evidenziato come vi sia una sostanziale (e dilagante) #inconsistenza tra le “etichette” presenti ormai da tempo sul Google Play Store e quello che in realtà le App fanno con i dati personali, per almeno l’80% dei casi analizzati. Principale imputato di ciò è il Data Safety Form di Google che permette di nascondere e/o rendere opaco il trattamento di dati personali effettivamente svolto con una app.

COOPERAZIONE TRA AUTORITA’ GARANTI – La Commissione europea ha pubblicato un’iniziativa che specifica nel dettaglio le norme procedurali relative all’applicazione del GDPR da parte delle Autorità garanti. In particolare, l’iniziativa, ancora in fase di preparazione, mira a semplificare la #cooperazione tra le Autorità garanti nell’applicazione del GDPR nei casi #transfrontalieri. A tal fine, la Commissione punta ad armonizzare alcuni aspetti della procedura amministrativa che le Autorità garanti applicano nei casi transfrontalieri, con l’obiettivo di favorire il buon funzionamento dei meccanismi di cooperazione e di risoluzione delle controversie del GDPR.

TOOLBOX ENISA – E’ stato presentato dall’Agenzia ENISA il EU-Risk Management toolbox, ovvero una soluzione proposta dall’agenzia europea per affrontare i problemi di interoperabilità legati all’uso dei metodi di Risk Management per la sicurezza delle informazioni. Il #toolbox mira a facilitare l’integrazione dei vari metodi di Risk Management nell’ambiente di un’organizzazione, o tra organizzazioni diverse, e a colmare le lacune associate ai diversi approcci dei metodi. L’obiettivo è rendere gli operatori delle società e degli enti in grado di comprendere in modo allineato e omogeneo i #rischi, e di riferire alla comunità e alle autorità competenti i risultati di valutazione del rischio.

D. LGS. 231

AUTORICICLAGGIO – Con sentenza n. 4855 dello scorso 3 febbraio (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che nel delitto di #autoriciclaggio non può applicarsi la causa di esclusione di punibilità di cui all’art. 648-ter.1 comma 4 – e cioè quella relativa alla mera utilizzazione o al godimento personale del denaro, dei beni o delle altre utilità provenienti da delitto – nel caso in cui “(…) per la pluralità degli acquisti effettuati e dei trasferimenti verso altri conti correnti si manifesti una evidente attività di trasformazione del denaro in altri impieghi e beni con chiaro intento speculativo effetto decettivo”.

DOLO EVENTUALE E DICHIARAZIONI INTEGRATIVE – Con la sentenza n.49427 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Cassazione si è pronunciata in materia di delitti tributari, stabilendo in particolare che (i) anche con riferimento ai delitti di cui al D. Lgs. 74/2000 il dolo specifico di evasione è compatibile con il #dolo #eventuale; (ii) ai fini della sussistenza del delitto di #dichiarazione #fraudolenta mediante uso di fatture o altri documenti per operazioni inesistenti è necessario che le fatture false siano già esistenti al momento della dichiarazione fraudolentemente presentata; (iii) la natura giuridica di tali delitti è quella di #delitti #istantanei, e che pertanto il momento del loro perfezionamento è quello della presentazione della dichiarazione annuale.

CONTROLLO GIUDIZIARIO VOLONTARIO – La Suprema Corte di Cassazione ha stabilito, con la sentenza n. 2156 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) che ai fini dell’ammissibilità al #controllo #giudiziario di un’impresa a rischio di infiltrazione mafiosa, sono da considerarsi presupposti equivalenti (i) l’interdittiva antimafia e (ii) il rifiuto di iscrizione alla cd. white list. Secondo i Giudici di piazza Cavour, infatti, entrambi i provvedimenti si fondano sulla “sussistenza di un pericolo di infiltrazione e/o attività agevolativa dell’impresa nei confronti della criminalità organizzata”.

ALTRE NEWS DAL MONDO

NORVEGIA – Datatilsynet, Autorità garante norvegese, ha di recente inflitto una sanzione di 10 milioni di NOK (pari a quasi 100mila euro) alla società SATS ASA per violazione delle disposizioni del GDPR, in particolare a quelle relative ai diritti degli interessati. Dei quattro reclami ricevuti, l’Autorità ha infatti constatato che la società sanzionata (i) in tre casi non aveva fornito alcun feedback alle richieste di riscontro presentate e (ii) in un caso aveva operato trasferimenti illeciti di dati personali.

USA – La Federal Communication Commission (FCC) ha annunciato di aver sottoscritto, insieme al Procuratore Generale dello stato dell’Illinois, un memorandum d’intesa che istituisce strutture di cooperazione e condivisione di informazioni critiche al fine di indagare su spoofing e robocall di truffa.

REGNO UNITO – Il First-Tier Tribunal inglese si è pronunciato il 20 febbraio 2023 sull’azione dell’Information Commissioner’s Office (“ICO”), che ha ingiunto a una società locale di modificare il modo in cui gestisce i dati personali dei soggetti interessati. In particolare, l’ICO ha affermato che la sentenza del Tribunale ha supportato alcuni aspetti della decisione, pur consentendo l’appello della società in altre aree. L’ICO ha dichiarato che farà il punto sulla sentenza del Tribunale e valuterà attentamente i prossimi passi, inclusa l’opportunità di presentare ricorso.

BELGIO – La Corte d’appello di Bruxelles ha annullato la decisione dell’Autorità di protezione dei dati belga, che aveva sanzionato un Titolare del trattamento per 7.500 euro, per aver ripristinato i dati personali sul laptop di lavoro di un ex dipendente. La decisione è stata annullata perché l’Autorità di protezione dei dati non aveva sufficientemente motivato e specificato le presunte violazioni del GDPR da parte del Titolare del trattamento.

GERMANIA – Il Tribunale regionale superiore di Hamm ha respinto un ricorso e ha confermato che un centro di vaccinazione sia tenuto a pagare i danni morali per aver inviato accidentalmente i dati personali di un soggetto interessato a numerosi destinatari non autorizzati.

GERMANIA/2 – Il Commissario Federale per la Protezione dei Dati ha proibito al Governo Federale di gestire la propria pagina di Facebook in Germania. Secondo le conclusioni dell’autorità, l’Ufficio stampa federale ha violato l’obbligo di rendicontazione di cui all’articolo 5, paragrafo 2, del GDPR, gestendo la propria pagina su Facebook senza essere in grado di dimostrare la conformità ai principi per il trattamento dei dati personali di cui all’articolo 5, paragrafo 1, del GDPR.

SPAGNA – La legge n. 2/2023, del 20 febbraio, che disciplina la protezione delle persone che segnalano violazioni della normativa e la lotta alla corruzione (“Whistleblowing”) e che recepisce la direttiva sulla protezione delle persone che segnalano violazioni del diritto dell’Unione (Direttiva (UE) 2019/1937) (“la Direttiva Whistleblowing”), è stata pubblicata sulla Gazzetta Ufficiale dello Stato, a seguito della sua approvazione da parte del Senato. La legge ha lo scopo di tutelare coloro che, in ambito lavorativo o professionale, rilevano reati penali o amministrativi gravi o gravissimi e li segnalano attraverso i meccanismi ivi disciplinati. Oltre a tutelare chi segnala violazioni della Direttiva Whistleblowing, la Legge Whistleblower copre i reati penali e gli illeciti amministrativi gravi e gravissimi.

SPAGNA/2 – L’AEPD, garante spagnolo, ha recentemente pubblicato sul proprio blog un post in materia di anonimizzazione e rischio di re-identificazione. In particolare, secondo l’Autorità, i titolari del trattamento dovrebbero sempre valutare il rischio degli interessati di essere re-identificati e, se necessario, adottare misure al fine di abbattere tale rischio.

DANIMARCA – L’autorità danese per la protezione dei dati (“Datatilsynet”) ha annunciato, il 20 febbraio 2023, dopo aver emesso due decisioni in relazione all’uso dei cookie wall da parte dei siti web, la pubblicazione di linee guida sull’uso dei cookie wall. In particolare, l’Autorità garante ha affermato che le linee guida includono quattro criteri, che saranno il punto di partenza per la valutazione rispetto all’uso conforme di un cookie wall.

FRANCIA – L’autorità francese per la protezione dei dati personali (“CNIL”) ha pubblicato, il 22 febbraio 2023, un comunicato stampa in cui si affrontano gli usi e le considerazioni sulla privacy della proposta di tessera sanitaria elettronica facoltativa (“E-Carte Vitale”), che dovrebbe essere proposta a tutti fornitori di assicurazioni sanitarie entro la fine del 2025. In particolare, CNIL ha sottolineato che la E-Carte Vitale è una versione virtuale della tradizionale tessera sanitaria e sarà disponibile tramite un’app mobile. La CNIL ha precisato che la E-Carte Vitale conterrà tutte le informazioni amministrative richieste all’interno della tessera sanitaria fisica, comprese quelle relative ai rimborsi delle cure, alla copertura per i ricoveri e all’autenticazione del titolare della tessera, rilevando che nessun dato medico sarà raccolto tramite la E-Carta Vitale.

Immagine di copertina di Steven Kamenar grazie a Unsplash.

News #7/2023: trasferimento di dati tra UE e USA, si riparte da zero?

20 Febbraio 2023/in Compliance aziendale, Consumatori, D.Lgs. 231/01, News, Newsletter, Privacy/da Miriam Pedruzzi

Un nuovo appuntamento con la nostra #Newsletter in edizione #2023, che raccoglie le più interessanti novità degli ultimi sette giorni in ambito Privacy, 231 e Mercati Digitali, oltre a uno sguardo sulle news dal mondo.

LE PRINCIPALI NEWS DELLA SETTIMANA:

il Parlamento UE “boccia” la proposta di decisione di adeguatezza della Commissione riguardo agli Stati Uniti d’America;
e intanto si discute della bozza di “Data Act” per i consumatori;
mentre l’EDPB annuncia a breve una decisione vincolante sul trasferimento dati UE-USA effettuato da Meta in base alle Clausole Contrattuali Tipo;
molte novità in materia di 231 e Whistleblowing;
la SEC USA aggiorna i propri regolamenti sul Privacy Act.

IL PROFILO DA SEGUIRE:

questa settimana il consiglio è di seguire Luisa Jarovsky, founder di Implement Privacy e di “The Privacy Whisperer”, che è anche una interessante newsletter su LinkedIn a tema privacy e diritti civili.

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

Have A Nice Day – Stereophonics (2013)

PRIVACY

DECISIONE DI ADEGUATEZZA USA – La Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento UE ha presentato, lo scorso 14 febbraio, una bozza di mozione che invita chiaramente la Commissione UE a non proseguire con la decisione di adeguatezza nei confronti degli Stati Uniti, ritornando invece al tavolo delle trattative per far sì che l’amministrazione Biden si impegni a migliorare la situazione legislativa interna. Un duro colpo – seppur non vincolante, e che sarà votato non prima di marzo – al percorso disegnato dalla Commissione per tornare a un flusso transfrontaliero di dati personali conforme al GDPR, in attesa del parere (sempre non vincolante) che sarà emanato dal EDPB tra la primavera e l’estate.

DRAFT DATA ACT – Lo scorso 9 febbraio il Parlamento europeo ha annunciato l’adozione – da parte della commissione per l’industria, la ricerca e l’energia – della bozza di #DataAct, cioè il regolamento recante norme armonizzate in materia di accesso e uso equo dei dati personali, soprattutto da parte di consumatori. Nel suo comunicato il Parlamento ha specificato che la bozza di regolamento dovrà ora essere sottoposta al voto dell’intero Parlamento in occasione della sessione plenaria del prossimo 13-16 marzo.

PLENARIA EDPB – Nelle giornate del 14 e 15 febbraio si è tenuta la 75esima riunione plenaria del Comitato europeo per la protezione dei dati (“EDPB”). Tra gli argomenti discussi, le linee guida (i) sull’interazione tra applicazione dell’articolo 3 e le disposizioni sui trasferimenti interazioni di cui al capo V del GDPR,(ii) sulla Certificazione come strumento per i trasferimenti, (iii) sui Dark Patterns nelle interfacce delle piattaforme dei social media. Nella stessa seduta l’EDPB ha inoltre dato seguito alla sua decisione vincolante del 5 dicembre 2022 sulla questione promossa dalla Data Protection Commission in relazione a WhatsApp Ireland Limited, annunciando una decisione finale entro il 14 aprile (che potrebbe bloccare l’uso di Facebook, Instagram e WhatsApp).

FAKE NEWS E BUONE PRATICHE IN UE – I firmatari del Codice di buone pratiche sulla disinformazione del 2022, comprese tutte le principali piattaforme online (Google, Meta, Microsoft, TikTok, Twitter), hanno pubblicato per la prima volta le relazioni di riferimento sul modo in cui mettono in pratica gli impegni derivanti dal codice. Il Centro per la trasparenza garantirà la visibilità e la responsabilità degli sforzi compiuti dai firmatari per combattere la disinformazione e l’attuazione degli impegni assunti a norma del codice. Con queste relazioni di riferimento, le piattaforme forniscono informazioni e dati completi, tra i quali (i) quante entrate pubblicitarie che affluiscono agli attori della disinformazione sono state evitate; (ii) il numero o il valore degli annunci politici accettati ed etichettati o respinti; (iii) i casi di comportamenti manipolativi rilevati (ossia creazione e utilizzo di account falsi).

TOOLBOX PER IDENTITA’ DIGITALE EUROPEA – La guida pratica (“toolbox”) pubblicata dalla Commissione europea ed elaborata dagli Stati membri rappresenta una base per progettare un pacchetto di strumenti che integrerà la proposta legislativa sull’identità digitale europea. Si tratta di un primo passo che consentirà la creazione di un quadro per l’identificazione e l’autenticazione digitale basato su standard comuni in tutta l’Unione europea. L’adozione dell’identità digitale europea ha l’obiettivo di fornire un modo sicuro e conveniente per i cittadini e le imprese europee di identificarsi, ove necessario, per accedere ai servizi digitali, in modo rapido e immediato. Gli utenti saranno in grado di archiviare e utilizzare in modo sicuro i dati per tutti i tipi di servizi, come il check-in in aeroporto, il noleggio di un’auto, l’apertura di un conto bancario o l’accesso al proprio account su grandi piattaforme online. Inoltre, l’identità digitale europea consentirà ai cittadini di archiviare credenziali, come patente di guida mobile, patenti professionali, eHealth o credenziali educative.

D. LGS. 231

WHISTLEBLOWING/1 – Lo scorso 14 febbraio le Commissioni Giustizia e Lavoro pubblico e privato della Camera dei Deputati hanno espresso – con un documento scaricabile gratuitamente per gli iscritti all’Associazione Aodv231 – il loro parere favorevole sullo schema di decreto legislativo in materia di #whistleblowing. All’interno del documento sono inoltre presenti un’osservazione di carattere generale – consistente in un invito a restringere l’ambito di operatività della bozza di decreto alle sole violazioni del diritto europeo – e nove osservazioni di carattere “particolare”, tra cui (i) il suggerimento di prevedere un esonero all’obbligo di istituire un canale interno di segnalazione per le realtà con meno di 50 dipendenti e (ii) istituire sanzioni per i soggetti che effettuano volontariamente segnalazioni false.

WHISTLEBLOWING/2 – La Commissione europea ha aperto, lo scorso 15 febbraio, la procedura di infrazione per mancato recepimento della direttiva UE 2019/193 (cd. #Whistleblowing) nei confronti di otto Stati membri, tra cui l’Italia. Ciascun Paese membro, infatti, avrebbe dovuto recepire la direttiva entro il 17 dicembre 2021. In particolare, la decisione si fonda sulle risposte – a parere della Commissione “non soddisfacenti” – fornite da tali stati dopo la messa in mora disposta nel gennaio 2022.

WHISTLEBLOWING E LIBERTÀ DI ESPRESSIONE – La Corte Europea per i Diritti dell’Uomo si è recentemente pronunciata, con sentenza dello scorso 14 febbraio, sul tema del regime di tutela del segnalante. In particolare, secondo la Corte, il criterio per valutare il regime di tutela applicabile al whistleblower è la verifica dell’interesse pubblico rivestito dalla informazione diffusa. Quando, cioè, l’informazione è tale da attirare l’attenzione o preoccupare la comunità, la necessità di una sua divulgazione prevale sulla tutela della riservatezza proprio in quanto funzionale alla creazione di un dibattito su questioni di interesse pubblico.

CASSAZIONE SU REQUISITI PER RESPONSABILITA’ 231 – Non sussiste alcuna responsabilità a carico dell’impresa, imputata di illeciti 231, per i reati commessi dai propri collaboratori, perché il coinvolgimento dell’azienda deve essere puntualmente provato dall’accusa. Anche se l’Ente non ha preventivamente adottato o efficacemente attuato il noto Modello previsto dal Decreto 231, è necessaria la prova di una precisa colpa di organizzazione per potersi configurare la responsabilità amministrativa da reato dell’Ente. Con la recente sentenza 11 gennaio 2023 n. 570 la Corte di Cassazione è tornata su uno dei punti nodali della disciplina sulla responsabilità disciplinata dal Decreto 231, effettuando da un lato la precisa ricognizione dei suoi elementi indispensabili e, dall’altro, sottolineando come essi debbano essere tutti positivamente provati in sede giudiziaria.

MERCATI DIGITALI

TWITTER/ MUSK – Elon Musk ritorna a far parlare di sè. Deluso dai risultati ottenuti nell’ultimo periodo dai suoi tweet, il CEO di Twitter ha modificato il codice dell’app in modo tale da risolvere i suoi problemi di “visibilità”. Il risultato? Migliaia e migliaia di utenti hanno segnalato di aver ricevuto nella sezione “Per te” – quella cioè gestita da un algoritmo – moltissimi tweet e risposte provenienti proprio dall’account di Musk.

FONDO “ETCI” PER IMPRESE INNOVATIVE – La Banca europea per gli investimenti, il Fondo europeo per gli investimenti e cinque Stati membri dell’Ue, tra i quali l’Italia, hanno inaugurato la European Tech Champions Initiative (“ETCI”), un fondo da 3,75 miliardi di euro che destinerà a imprese innovative europee il capitale di crescita necessario nelle fasi avanzate del loro sviluppo. Il fondo ha l’obiettivo di consolidare i mercati del capitale di rischio per le imprese innovative in Europa, e di appianare divari esistenti nell’accesso ai finanziamenti. I leader del progetto hanno dichiarato che l’Europa può contare su solide imprese innovatrici, ma deve migliorare il contesto che consente alle imprese di fare il passaggio dallo status di start-up a quello di concorrente credibile e leader di mercato.

FURTO DI DATI – Il “Threat Intelligence Report” pubblicato il 14 febbraio dall’Osservatorio Exprivia e relativo all’ultimo quadrimestre del 2022 ha registrato un picco molto alto di minacce informatiche in Italia, con un numero di incidenti informatici e attacchi andati a buon fine pari al doppio del 2021 e oltre al quadruplo del 2020 Secondo gli esperti, ciò è stato possibile proprio per via del crescente lasso di tempo tra il momento dell’attacco e l’incidente, oltre che per le tecniche sempre più sofisticate usate dagli hacker e dalla poca consapevolezza sui rischi legati alla rete da parte di imprese e cittadini. Il settore Finance risulta tra i più colpiti dagli attacchi, dato che le aziende finanziarie, gli istituti bancari, le piattaforme di criptovalute, gestendo importanti quantità di denaro, rappresentano un obiettivo promettente per gli attaccanti.

STANDARD CERTIFICAZIONE AI NATO – Il Data and Artificial Intelligence Review Board (“DARB”) della NATO ha annunciato di aver avviato lo sviluppo di uno standard di certificazione dell’intelligenza artificiale (“AI”) di facile utilizzo. In particolare, il DARB ha sottolineato che lo standard aiuterebbe le industrie e le istituzioni di tutti i membri della NATO a garantire che i nuovi progetti di intelligenza artificiale e dati siano in linea con il diritto internazionale, nonché con le norme e i valori della NATO. Inoltre, il DARB ha precisato che lo standard dovrebbe essere completato entro la fine del 2023 e che il suo scopo è tradurre i Principi di uso responsabile della NATO, approvati nell’ottobre 2021 come parte della prima strategia di intelligenza artificiale della NATO, in controlli ed equilibri concreti in termini di governabilità, tracciabilità e affidabilità, contribuendo così a creare fiducia tra la comunità dell’innovazione, gli utenti finali operativi e il pubblico in generale.

ALTRE NEWS DAL MONDO

SLOVENIA – Il Commissario per l’informazione sloveno ha recentemente annunciato la pubblicazione di linee guida in materia di organizzazione di eventi. L’organizzazione di tali iniziative, infatti, comporta inevitabilmente il trattamento di dati personali dei soggetti partecipanti partecipanti: per tale ragione è, tra le altre cose, indispensabile garantire la corretta informazione dei partecipanti in merito (i) alle categorie di dati da trattare, (ii) ai motivi per cui tale trattamento risulta necessario e (iii) ai diritti che i partecipanti possono esercitare.

PAESI BASSI – La AP, Autorità garante olandese, ha emesso lo scorso 13 febbraio un parere in materia di utilizzo dei dati personali per finalità di ricerca scientifica. Interrogata dalla Camera dei rappresentanti circa la possibilità di riutilizzo dati di vaccinazione al fine di condurre una ricerca sull’eccesso di mortalità durante la pandemia, l’Autorità ha stabilito – in via generale – che la fornitura di dati sanitari ai ricercatori è possibile e lecita sia alla luce del GDPR che del CBS (Centraal Bureau voor de Statistiek, organizzazione ufficiale olandese responsabile per il coordinamento dei servizi statistici). L’Autorità ha tuttavia chiarito che il GDPR non si applica al trattamento dei dati sanitari delle persone decedute: per tale motivo, una volta che il soggetto titolare dei dati di vaccinazione sia morto,i dati dovranno tornare ad essere soggetti al segreto professionale e alla riservatezza.

GERMANIA – Il 10 febbraio 2023 il Consiglio federale (“Bundesrat”) ha annunciato la decisione di respingere il progetto di legge sulla protezione contro le denunce (“HinSchG”), a seguito della sua adozione da parte del parlamento tedesco (“Bundestag”), il 16 dicembre 2022. In particolare, il Bundesrat ha osservato che il governo federale e il Bundestag potranno convocare un comitato di mediazione per discutere un accordo con gli Stati federali.

BAVIERA – L’Autorità bavarese per la protezione dei dati (BayLfD) ha emesso una guida contenente indicazioni utili al fine di evitare violazioni di dati durante l’utilizzo di Microsoft Excel. L’Autorità, tra le altre cose, ha sottolineato l’importanza di (i) una corretta configurazione dell’applicazione, (ii) l’adozione di particolari precauzioni che riducano al minimo il rischio di divulgazione involontaria di dati personali e (iii) l’utilizzo dello strumento di revisione prima di condividere una cartella di lavoro.

AMBURGO – Interessante decisione di incostituzionalità della Corte territoriale in merito a una legge locale che consentiva l’utilizzo di un software (Palantir “Gotham”, di origine CIA) che permetteva alle forze di polizia di monitorare la “rete” di contatti di un determinato di soggetto, di fatto ponendolo sotto controllo senza necessità di imputargli un effettivo reato.

OMAN – Lo scorso 13 febbraio è entrato in vigore il Regio Decreto n.6/2022, di promulgazione del “Codice in materia di protezione dei dati personali”. Con i suoi 32 articoli, il Codice allinea il sistema legislativo nazionale con le altre normative globali in materia di privacy.

USA – La Securities and Exchange Commission (“SEC”) ha annunciato, il 14 febbraio 2023, di aver proposto una norma finalizzata a rivedere i regolamenti della SEC ai sensi del Privacy Act del 1974, dato che le norme attuali prevedono procedure per la presentazione delle richieste ai sensi della legge sulla privacy, comprese le richieste di accesso e modifica dei registri relativi alla persona che effettua la richiesta, e che le revisioni chiariranno, aggiorneranno e semplificheranno il linguaggio di diverse disposizioni procedurali.

Immagine di copertina di Cristofer Maximilian grazie a Unsplash.

“NEW DEAL” E FEEDBACK SULLE DIRETTIVE A TUTELA DEI CONSUMATORI

1 Febbraio 2023/in Approfondimento, Consumatori, Giurisprudenza UE, Normativa/da Miriam Pedruzzi

La Commissione europea e le autorità di protezione dei consumatori di 23 Stati membri hanno pubblicato i risultati di una ricerca condotta su vari siti di commercio al dettaglio, per verificare la regolarità delle loro pratiche rispetto alla tutela dei consumatori.

Qui il link alla Press Release.

I dati mostrano che quasi il 40% dei siti web dei negozi si affidano a pratiche manipolative, volte a indurre i consumatori a compiere scelte che in realtà non interessano, né sono nel loro interesse: tra queste, ad esempio, ci sono

falsi countdown che mettono fretta durante la scelta e l’acquisto dei prodotti;
informazioni nascoste;
interfacce ingannevoli per indurre i consumatori all’acquisto
e molte altre condotte che fanno leva su debolezze delle varie categorie.

Le autorità nazionali ora procederanno con le adeguate procedure e prenderanno le mosse attraverso azioni appropriate.

Questa occasione appare utile per segnalare che la Commissione europea sta raccogliendo feedback, mediante una consultazione pubblica aperta fino al 20 febbraio 2023, sulle principali direttive legate alla protezione dei consumatori, per determinare se esse assicurino un buon livello di protezione nell’ambiente online.

Per incoraggiare a sostenere l’iniziativa legislativa dell’Unione europea e la sua efficace applicazione, ecco un breve quadro delle principali direttive europee a tutela dei consumatori.

Direttiva sulle pratiche commerciali sleali

La “Unfair Commercial Practices Directive” (“UCPD”) venne adottata per la prima volta nel 2005 (Direttiva (CE) 2005/29) e modificata in seguito dalla Direttiva (UE) 2019/2161, che fu anche corredata dal 17 dicembre 2021 di una guida esplicativa, relativa alle principali questioni attinenti alla tutela dei consumatori.

Tra gli argomenti principali di questa normativa risultavano (i) le interazioni con altre normative dell’UE, (ii) le rivendicazioni ambientali e obsolescenza programmata, (iii) la commercializzazione di beni di “doppia qualità”; (iv) gli obblighi delle piattaforme e dei mercati online; (v) la trasparenza dei risultati di ricerca; (vi) le recensioni e i consensi dei consumatori; (vii) l’influencer marketing.

L’obiettivo della Direttiva sulle pratiche commerciali sleali è principalmente quello di accrescere la fiducia dei consumatori e di rendere più facile il commercio transfrontaliero per le aziende, in particolare per le piccole e medie imprese.

Si tratta di una normativa europea generale che regola le pratiche commerciali sleali che si verificano prima, durante e dopo una transazione tra imprese e consumatori. Essa, in particolare, consente alle autorità nazionali di controllo di arginare un’ampia gamma di pratiche commerciali sleali, tra le quali le informazioni non veritiere fornite ai consumatori o le tecniche di marketing aggressive per influenzare le loro scelte.

Direttiva sulle clausole vessatorie

La “Unfair Contract Terms Directive” (93/13/CEE) ha come obiettivo quello di proteggere i consumatori dalle clausole contrattuali standard, precompilate in modo sproporzionato e abusivo e imposte dai professionisti.

Essa si applica a tutti i tipi di contratti sull’acquisto di beni e servizi, ad esempio acquisti online od offline di beni di consumo, abbonamenti in palestra o contratti su servizi finanziari, come i prestiti.

Anche la normativa del 1993 è stata modificata dalla Direttiva (UE) 2019/2161, relativa a una migliore applicazione e modernizzazione delle norme dell’Unione in materia di protezione dei consumatori, nell’ambito del “New Deal” per i consumatori.

Il principio fondamentale che sta alla base di questa normativa non è proibire le clausole contrattuali standard, che anzi facilitano le transazioni commerciali e possono essere utili per stabilire i diritti e gli obblighi delle parti ai sensi di un determinato contratto; essa piuttosto mira a tutelare i consumatori, prevedendo che queste clausole contrattuali (i) siano redatte in un linguaggio semplice e comprensibile, (ii) vedano le ambiguità eventualmente presenti interpretate sempre a favore dei consumatori, (iii) laddove si tratti di clausole abusive, siano rese nulle e non vincolanti per i consumatori.

La Direttiva sui diritti dei consumatori

La “Consumers Rights Directive” fornisce ai consumatori gli stessi diritti in tutta l’Unione europea, allineando e armonizzando le norme nazionali in materia di tutela dei consumatori, ad esempio sulle informazioni che i consumatori devono ricevere prima di acquistare beni, servizi o contenuti digitali e sul loro diritto di annullare gli acquisti online, ovunque effettuino acquisti nell’Unione.

Gli Stati membri non possono discostarsi dalla direttiva, a meno che la direttiva stessa non preveda una specifica possibilità di derogare alle sue norme.

La normativa contiene le informazioni fondamentali che devono essere fornite dai professionisti prima della conclusione di contratti con i consumatori, prevede norme sulla consegna e sul trasferimento dei rischi applicabili ai contratti di vendita di beni e alcune norme applicabili ai contratti stipulati con i consumatori.

________________________________

Foto di Veronika Koroleva su Unsplash

AGCM sanziona eCommerce: tutela dei consumatori e doveri dei professionisti

18 Gennaio 2023/in AGCM, Approfondimento, Consumatori, eCommerce, News/da Miriam Pedruzzi

L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha inflitto una sanzione di oltre 5 milioni a una società operante nel settore delle vendite online di capi di abbigliamento, calzature e altri beni di moda, lusso e design, che opera, tra i vari canali, anche attraverso il proprio sito di eCommerce.

Questo articolo analizza le condotte realizzate dalla società e le motivazioni che hanno portato l’AGCM alla sanzione, a seguito dell’istruttoria condotta fra il 2019 e il 2022.

L’analisi della pronuncia è molto utile sia a chiarire il quadro entro cui i consumatori posso esercitare i propri diritti, sia a rendere consapevoli i venditori professionali dei propri doveri e dei comportamenti da tenere a norma di legge.

L’annullamento unilaterale degli ordini online già perfezionati dei consumatori in caso di superamento di determinate soglie di resi e la contestuale omissione informativa circa il blocco degli acquisti

A seguito dell’attività istruttoria da parte dell’AGCM, che ha preso avvio sulla base delle segnalazioni di diversi consumatori, è emerso come la società avesse deliberatamente privato i consumatori della facoltà di effettuare degli acquisti, nel caso in cui essi superassero determinate soglie di resi.

Tale operazione è stata realizzata attraverso l’annullamento dei rispettivi ordini online, in assenza di alcuna informativa al riguardo al consumatore.

È emerso che la società venditrice monitorava il numero di proposte di ordine trasmesse e di resi effettuati dai clienti, mantenendo volutamente molto generico, nei report interni, il numero dei resi registrati – proprio perché, legalmente, non sarebbe stato possibile mettere per iscritto che gli ordini venivano rifiutati nel caso di un numero di resi elevato.

La società aveva agito, infatti, nella piena consapevolezza che la propria condotta costituisse una violazione del Codice del Consumo, che agli artt. 52 e ss. stabilisce che, per le proposte contrattuali a distanza, il consumatore ha diritto di recedere senza alcuna penalità e senza specificarne il motivo entro 14 giorni lavorativi.

Il consumatore, a ulteriore aggravio della situazione a carico della società, non veniva mai informato, se non per modalità telefoniche, nel caso in cui prendesse contatti con il dipartimento Customer Care della società, del blocco del proprio account, fino a che non andava ad effettuare un nuovo acquisto.

La prospettazione con modalità ingannevoli dei prezzi dei prodotti e degli sconti effettivamente applicati

Dalle analisi dell’AGCM, e attraverso un sistema automatizzato di monitoraggio storico dei prezzi riportati sul sito di eCommerce, è emerso che il la società risulta aver pubblicizzato un prezzo finale di rivendita scontato, che graficamente veniva anche rappresentato sul sito di e-commerce a fianco del presunto prezzo pieno barrato, sostanzialmente equivalente a quello non scontato praticato prima della promozione.

A tale proposito, nella risposta alla richiesta di informazioni in fase istruttoria, la società ha giustificato la propria condotta sulla base dell’asserita necessità di effettuare un repricing in significativo aumento dei prodotti, poco prima del periodo dei saldi invernali, a seguito del precedente riassortimento dei prodotti.

La società ha anche precisato che i prezzi di rivendita dei prodotti non sarebbero correlati a quelli di acquisto presso i diversi fornitori, in quanto il metodo di determinazione dei prezzi non è quello di ricaricare un margine o moltiplicatore – tipicamente standard – sul costo di acquisto dei capi.

È così emerso che la società, nel ridefinire i prezzi dei beni oggetto di riassortimento, al fine di allinearli a quanto pianificato per mantenere alte le marginalità e i profitti, prospettava ai consumatori un prezzo finale scontato di diversi prodotti che, in realtà, risultava sostanzialmente analogo al prezzo pieno effettivamente praticato dallo stesso negozio prima del repricing.

Diversamente, quello che invece la società prevedeva come presunto prezzo pieno (graficamente barrato), risultava determinato dalla società stessa solo a seguito del repricing, e veniva applicato dallo stesso solo per brevi periodi, immediatamente precedenti le promozioni.

I ritardi e altre condotte ostruzionistiche tali da rallentare, scoraggiare o comunque ostacolare di fatto l’esercizio dei diritti di recesso e rimborso dei consumatori

Con riferimento alla gestione dei resi, alcune segnalazioni pervenute all’AGCM avevano ad oggetto ritardi nel rimborso e difficoltà ad esercitare il diritto di recesso.

È emerso anche dalle analisi operate dalla Guardia di Finanza che circa il 23% di tutti i reclami acquisiti dal web riguardasse proprio i resi e i rimborsi, riferendosi a problematiche riscontrate dai consumatori nell’esercizio del diritto di recesso.

Nonostante la società avesse riferito che il tempo medio di rimborso a seguito di annullamento unilaterale dell’ordine sarebbe stato di circa 13 ore dal momento nel quale si era verificato l’indebito pagamento, in realtà, nei diversi casi di restituzione dei prodotti a seguito di recesso i tempi dei rimborsi si sarebbero realizzati in almeno due mesi dalla richiesta di reso.

Considerazioni conclusive

L’AGCM ha sanzionato la società in quanto la pratica commerciale attuata si connotava in termini di aggressività, in contrasto con il dovere di diligenza gravante sulla società-professionista ai sensi del Codice del Consumo, che sfruttava indebitamente la propria posizione di supremazia nell’ambito della procedura d’acquisto online, inibendo la facoltà dei consumatori di effettuare nuovi acquisti, senza fornire alcuna informazione né instaurare alcuna forma di contraddittorio.

Tale modalità d’intervento configura infatti un indebito condizionamento, idoneo a limitare considerevolmente la libertà di comportamento dei consumatori, che allo stesso tempo riduce la facoltà di esercitare, di fatto, il diritto di recesso.

È importante rilevare che, a tutela del consumatore, quest’ultimo deve disporre contestualmente all’acquisto e fin dal primo contatto con il professionista di tutte le informazioni utili ad assumere una decisione di natura commerciale.

L’AGCM ha provveduto alla sanzione anche date le modalità di informazione dei consumatori rivelatesi complessivamente decettive.

Dalle evidenze acquisite dall’Autorità è emerso infatti che le frequenti oscillazioni e modifiche dei prezzi da parte della società, anche attraverso l’offerta di sconti ulteriori rispetto a prodotti già scontati, generavano confusione nei consumatori e li inducevano in errore circa il prezzo di riferimento rispetto al quale veniva applicato lo sconto – non essendo chiaro quale fosse il prezzo più basso applicato dalla società.

L’intervento dell’AGCM si inquadra nella più generale attività di enforcement, volta ad assicurare il corretto ed equilibrato sviluppo dell’eCommerce.

Assume, inoltre, fondamentale importanza la corretta e trasparente informazione sulle principali leve economiche e concorrenziali su cui si fondano le decisioni commerciali dei consumatori, come i prezzi e gli sconti applicati, soprattutto alla luce dei recenti interventi in materia da parte del legislatore europeo e nazionale.

________________________________

Foto di Bruno Kelzer grazie a Unsplash

News #1/2023: la super-sanzione a Meta “vieta” l’uso del contratto come base per fare targeted advNews#

9 Gennaio 2023/in Compliance aziendale, Consumatori, D.Lgs. 231/01, News, Newsletter, Privacy/da Miriam Pedruzzi

LE PRINCIPALI NEWS DELLA SETTIMANA:

#Meta sanzionata dall’Autorità irlandese, a rischio il suo #modello di #business;
anche #Apple (dopo Microsoft) ha problemi con il CNIL, ma sulla Direttiva #ePrivacy;
il primo gennaio scorso è entrato in vigore, in California, il #CPRA;
una società cancellata può comunque essere condannata secondo il #dlgs231;
le altre news dal #mondo includono: gli Stati di #NewYork e del #Kentucky che si attivano per approvare una legge privacy locale, Croazia e Finlandia elevano sanzioni importanti in ambito GDPR, mentre il District of Columbia si accorda con #Google per chiudere un’indagine sul tracciamento della localizzazione degli utenti senza consenso.

IL PROFILO DA SEGUIRE:

non potevamo che cominciare con IAPP, il più rilevante network mondiale dei professionisti privacy, che tra l’altro ha pubblicato un interessante report sui “fatti” del 2022 e l’orizzonte che ci attende nel 2023, qui.

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

Don’t Stop Believin’ – Journey (1981 – 4:11 in loop)

PRIVACY

META SANZIONATA (ANCORA, E PESANTEMENTE) – La DPC – Irish Data Protection Commission – ha adottato, il 4 gennaio scorso, la decisione finale su Meta che tanto ha fatto discutere (e di cui avevamo già accennato per il suo percorso complesso). Fortemente richiesta dall’EDPB, e in particolare da diverse altre Autorità di controllo europee, questa decisione di fatto interferisce con il modello di business di Facebook/Instagram, incentrato su una profilazione pubblicitaria (targeted ads) basata giuridicamente sul contratto di iscrizione al social network, secondo Meta sufficiente a giustificare tale attività. I 390 milioni di sanzione, invece, derivano dal generale assunto – ormai molto chiaro – per cui senza un trasparente, libero e informato consenso non sia possibile effettuare, secondo le Autorità europee in materia, attività di adv online. Con questa sanzione, il totale delle violazioni privacy a carico di Meta (a partire dal 2021) arriva all’esorbitante ammontare di più di 900 milioni di euro. Vedremo adesso come e dove (non certo “se”) Meta opporrà la decisione, e in che modo la DPC sarà fedele a quanto deciso, dato che il testo del provvedimento è stato ampiamente “guidato” da altre Aurorità, mentre la commissione irlandese in precedenza aveva apertamente avallato la posizione di Meta; tra l’altro, proprio la DPC ha dichiarato di volersi opporre ad alcune parti della linea guida impostale dall’EDPB nella propria decisione vincolante.

APPLE vs. CNIL – L’Autorità francese per la protezione dei dati personali (CNIL) ha recentemente reso nota la propria decisione (solo in lingua francese) di infliggere una sanzione ad Apple Distribution International Ltd. A seguito di un reclamo, infatti la CNIL ha avuto modo di appurare che Apple presentava pubblicità personalizzata agli utenti dei sistemi operativi iOS e MacOS, e ciò per impostazione predefinita. In particolare, dalle indagini dell’Autorità è emerso che l’utente intenzionato a modificare tali impostazioni, avrebbe dovuto seguire una più o meno articolata trafila di azioni per modificare le impostazioni relative alla pubblicità personalizzata. Per tale ragione, la CNIL ha sanzionato per la cifra di ben 8 milioni di euro.

AZIENDE E RICERCA SCIENTIFICA – Il Future of Privacy Forum ha pubblicato un report sui programmi di condivisione dei dati tra aziende e istituti di ricerca intitolato “The Playbook: Data Sharing for Research”, un report che raccomanda le best practice per l’implementazione dei programmi di ricerca, comprese le fasi di gestione e condivisione dei dati. Il report illustra l’importanza e i vantaggi di disporre di protocolli adeguati per creare processi di condivisione dei dati sicuri e semplici, hanno dichiarato i responsabili del progetto per la condivisione dei dati e l’etica. Il report affronta in particolare i passaggi fondamentali per la gestione, la condivisione e l’esecuzione dei programmi tra aziende e ricercatori, quali la creazione di un sistema di condivisione dei dati che faccia progredire positivamente la ricerca scientifica, che richiede una migliore comprensione dei rischi esistenti, delle opportunità di affrontare le sfide e delle diverse parti interessate coinvolte nelle decisioni di condivisione dei dati.

CYBERSECURITY NEL SETTORE ASSICURATIVO – Esperti del settore assicurativo in tema di cyber security hanno di recente avvertito che gli attacchi informatici su larga scala sono una preoccupazione crescente tra i dirigenti del settore: si rischia di fatto che divengano non assicurabili, come riporta il Financial Times, perché esiste un limite all’ammontare delle perdite che il settore privato può assorbire dagli attacchi cyber. Si esortano allora i governi a istituire schemi pubblici e privati per gestire rischi informatici “sistemici” che non possono essere nè quantificati nè assicurati preventivamente.

D. LGS. 231

CONDANNA 231 DI SOCIETA’ ESTINTA – La cancellazione di una società dal Registro delle imprese non impedisce la condanna dell’ente per un illecito 231. Lo ha deciso il giudice per le indagini preliminari del Tribunale di Milano, con la sentenza 2993/2022, nella quale si legge che l’estinzione dell’ente, successiva all’addebito emanato ai sensi del Decreto 231, lascia impregiudicata la possibilità di una pronuncia di condanna. Sulle modalità di esecuzione della condanna spetterà al Pubblico Ministero decidere come procedere, avendo raggiunto le parti un accordo sull’applicazione della pena.

MERCATI DIGITALI

MERCATO UNICO E DIGITALIZZAZIONE – In occasione dei 30 anni dalla creazione del mercato unico europeo, che ha preso avvio il 1 gennaio 1993, la Commissione europea ha pubblicato il paper “European Single Market is turning 30”, che analizza, con riguardo allo sviluppo digitale e con particolare riferimento al mercato unico dei servizi, i principali obiettivi raggiunti e quelli ancora da raggiungere nel mercato digitale grazie all’integrazione europea, che ha funzionato da motore per la crescita e la competitività, sostenendo il potere economico dell’Unione europea a livello globale. Il paper sottolinea inoltre che, anche sulla base delle proposte Fit For 55 e Digital Decade, l’Unione sta mettendo in atto un quadro normativo per sostenere le transizioni verdi e digitali dell’Europa.

LICENZIAMENTI AMAZON – Dopo Twitter e Facebook tocca anche ad Amazon. Sono circa 18 mila i licenziamenti previsti in tutto il mondo per il colosso di logistica guidato da Jeff Bezos. E’ molto probabilmente dal prossimo 18 gennaio che i lavoratori interessati cominceranno ad essere contattati dall’azienda, che intanto parla dell’operazione come l’esito di una “pianificazione annuale difficile”. Non ci sono attualmente notizie ufficiali in merito ai settori che verranno maggiormente colpiti, né riguardo alla percentuale di lavoratori europei coinvolti. D’altronde, la stessa notizia dei licenziamenti è stata il frutto di una fuga di notizie. Ancora una volta, non ci resta che aspettare, con la certezza però che anche il nuovo anno avrà i suoi riflettori puntati sul mondo delle #BigTech.

SALDI ONLINE E TRUFFE – In occasione dei tanto attesi saldi invernali Aicel (Associazione Italiana per il Commercio Elettronico) mette in guardia i consumatori dalle possibili #truffe che potrebbero caratterizzare il loro acquisto online. L’e-commerce, infatti, è particolarmente insidioso a fronte delle innumerevoli modalità escogitate dai malintenzionati per ingannare il consumatore. Un esempio di truffa diffusissimo online è la creazione di siti “copia”- quelli cioè che copiano esattamente il sito originale, non consentendo al consumatore di intuire che le operazioni di pagamento stanno avvenendo su un sito terzo. Tra i suggerimenti proposti da Aicel per difendersi (i) diffidare da affari “particolarmente vantaggiosi, (uu) accertarsi che i siti non siano segnalati dalle competenti autorità garanti – ad esempio AGCM – , (iii) verificare che sul sito siano presenti le informative relative alla privacy e ai cookie.

LICENZE POSTALI DIGITALI – E’ stato attivato il nuovo portale “Licenze postali” per il rilascio e la gestione delle licenze e delle autorizzazioni postali. Il ministero per le Imprese e Made in Italy, nel rendere nota l’attivazione del sistema, ha precisato che l’iniziativa ha consentito di automatizzare molte attività e di rendere il processo completamente digitale, nell’ottica di una semplificazione delle procedure della pubblica amministrazione a vantaggio di cittadini e imprese. Attraverso il portale gli utenti avranno a disposizione un’area riservata dedicata alle richieste di rilascio di titoli abilitativi, rinnovi, cessioni e subentri per licenze e autorizzazioni postali attive. I pagamenti saranno gestiti interamente dal servizio PagoPA.

SANITA’ DIGITALE – Il nuovo progetto firmato da Cineca e dall’Associazione Scientifica per la Sanità Digitale punta a formare il personale sanitario su tematiche come robotica, telemedicina, mobile application e business intelligence, con l’obiettivo di più efficiente ed efficace la Sanità. Il progetto si colloca nell’ambito delle attuali linee programmatiche del ministero della Salute, perseguite anche a livello internazionale, in cui la telemedicina e le tecnologie digitali rappresentano il fattore chiave per supportare l’interazione dei diversi professionisti sanitari.

ALTRE NEWS DAL MONDO

NEW YORK – New York promuove la propria legge sulla privacy (“New York Privacy Bill”) per (i) indurre le aziende a rivelare i loro metodi di identificazione dei dati personali, (ii) adottare speciali misure di salvaguardia per la condivisione dei dati e (iii) consentire ai consumatori di ottenere i riferimenti degli Enti con cui vengono condivise le loro informazioni. In particolare, nell’atto è riportato che la pubblicità mirata e la vendita di dati personali non sono considerate finalità di trattamento necessarie per fornire servizi o beni richiesti da un consumatori. New York adotta la formulazione di de-identificazione del CPRA e una terminologia familiare al GDPR, comprendente i concetti di Titolari e Responsabili del trattamento e i principi di minimizzazione dei dati e limitazione della conservazione.

KENTUCKY – Nell’Assemblea generale del Kentucky dello scorso 3 gennaio è stato presentato dal Senatore W. Westerfield un disegno di legge relativo alla protezione dei dati personali dei consumatori. In particolare, le disposizioni introdotte nel disegno di legge stabiliscono, tra le altre cose, i diritti dei consumatori e la loro possibilità di appellarsi al titolare del trattamento per il soddisfacimento delle proprie richieste. La bozza prevede inoltre che l’autorità esclusivamente competente a far applicare la legge sia il Procuratore Generale dello Stato, con la sola eccezione della facoltà, concessa al consumatore, di esercitare il diritto di azione privata. In base a tale diritto, il consumatore ha la possibilità di richiedere un provvedimento ingiuntivo per violazioni specifiche nel caso in cui il titolare del trattamento non abbia provveduto a porvi rimedio nel termine di 30 giorni dalla ricezione di un avviso dal parte del Procuratore Generale. Se approvato, il disegno di legge entrerà in vigore il 1 gennaio 2025.

CROAZIA – L’Autorità croata per la protezione dei dati personali ha ritenuto che un Titolare del trattamento avesse installato un sistema di videosorveglianza che riprendeva lo spazio pubblico senza una base giuridica adeguata ai sensi dell’art. 6(1) del GDPR, e ha ingiunto al Titolare in questione di regolare l’angolo delle telecamere entro quindici giorni in modo da non prendere nell’inquadratura lo spazio pubblico e le persone che vi accedono, con l’obbligo di fornire adeguate informazioni nonappena l’infrazione venga rettificata.

FINLANDIA – L’Autorità finlandese per la protezione dei dati ha irrogato una sanzione di 230.000 euro a una società di navigazione che ha posto in essere diverse violazioni nel trattamento dei dati sanitari dei dipendenti, tra le quali una mancanza dell’attuazione corretta dei principi di trasparenza, accuratezza, diritto all’informazione, diritto di accesso e protezione dei dati by design, di cui al GDPR.

ISLANDA – L’Autorità garante islandese ha respinto il ricorso di un interessato che chiedeva la cancellazione del proprio database genealogico, in possesso di un Titolare del trattamento. L’Autorità, in particolare, ha deciso che il trattamento da parte del Titolare del trattamento era giustificato ai sensi dell’articolo 6(1)(f) del GDPR, e che il Titolare aveva il diritto di rifiutare la richiesta di cancellazione in quanto il trattamento era giustificato per motivi di pubblico interesse, nello specifico per ragioni di ricerca storico-scientifica e per ragioni statistiche.

SPAGNA – L’Autorità spagnola per la protezione dei dati personali (“AEPD”) ha irrogato una multa di 30.000 euro a un operatore di telecomunicazioni locale per aver attivato una carta SIM senza verificare prudentemente l’identità dell’abbonato, il quale aveva invece fornito in modo fraudolento al Titolare del trattamento i propri dati personali.

CALIFORNIA – Entrato in vigore il 1 gennaio 2023 il California Privacy Rights Act (“CPRA”), che introduce modifiche al California Consumer Privacy Act (“CCPA”) che impongono alle aziende nuovi requisiti per i consumatori, tra i quali l’ottenimento del consenso prima della raccolta dei dati in determinati casi, e prevede anche una più stringente limitazione dell’utilizzo dei dati personali.

VIRGINIA – Entrato in vigore il 1 gennaio 2023 anche il Virginia Consumer Data Protection Act (“CDPA”), che prevede ulteriori diritti per i consumatori, tra i quali il diritto di accesso, di cancellazione e di opt-out, stabilendo obblighi per i Titolari del trattamento e per i Responsabili che trattano dati personali. Da notare particolarmente che il procuratore generale della Virginia avrà l’autorità esclusiva di applicare le disposizioni del CDPA, e potrà avviare azioni e chiedere ingiunzioni per impedirne ogni violazione con sanzioni civili fino a 7.500 dollari.

COREA DEL SUD – L’Autorità locale per la protezione dei dati personali (“Personal Information Protection Commission” o “PIPC”) ha pubblicato le linee guida per l’interpretazione degli standard del Personal Information Protection Act (“PIPA”), con lo scopo di migliorare la comprensione delle regole in materia di protezione dei dati personali nel settore pubblico e di rispondere alle questioni e agli interrogativi su argomenti di questo settore. In particolare, per ciascuna domanda le linee guida descrivono la base giuridica da considerare e forniscono un breve parere del PIPC sul tema.

DISTRICT OF COLUMBIA – Karl A. Racine, Procuratore Generale del Distretto di Columbia (meglio conosciuto come Washington D.C.), ha recentemente annunciato il raggiungimento di un importante accordo con Google LLC finalizzato a risolvere le accuse secondo le quali il colosso informatico avrebbe ottenuto i dati di localizzazione relativi agli utenti dei suoi servizi attraverso comportamenti ingannevoli. Le indagini, avviate nel 2018 dopo la pubblicazione di un articolo da parte dell’Associated Press, hanno consentito al Procuratore Generale di appurare che Google otteneva realmente i dati di localizzazione attraverso comportamenti ingannevoli, come ad esempio l’uso di dark pattern. Alla luce di tali evidenze, il Procuratore Generale ha pertanto provveduto a denunciare le plurime violazioni del Consumer Protection Procedures Act commesse da Google. Proprio per risolvere tali accuse è stato previsto l’accordo, del valore di ben 9,5 milioni di dollari. Oltre al pagamento di tale importantissima cifra, è stato imposto a Google, tra le altre cose, di (i) informare chiaramente gli utenti circa la raccolta e il tracciamento dei dati relativi alla posizione, (ii) mantenere disponibile ed aggiornata una pagina contenente la politica di Google in materia di dati di posizione e (iii) limitare la diffusione dei dati degli utenti.

Immagine di copertina di Elias Ehmann grazie a Unsplash.

News #49: la Corte di Giustizia UE dà torto a WhatsApp; maxi-sanzione italiana a Clubhouse; dal Governo novità su whistleblowing e concorrenza

12 Dicembre 2022/in Compliance aziendale, Consumatori, D.Lgs. 231/01, News, Newsletter, Privacy/da Miriam Pedruzzi

Immagine di copertina di Clint Patterson grazie a Unsplash.

PRIVACY

WHATSAPP vs EDPB – La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata nella causa “WhatsApp Ireland v. EDPB”, promossa dalla società per vedere annullata una decisione vincolante (e, di conseguenza, la sanzione ricevuta). Il 28 luglio 2021, infatti, l’EDPB aveva adottato una decisione vincolante in virtù della quale la DPC aveva multato la WhatsApp per ben 225 milioni di euro. La sentenza – la prima mai pronunciata dalla Corte su una domanda di annullamento di una decisione vincolante – respinge le pretese di WhatsApp in quanto il (i) ricorso è stato proposto contro un provvedimento che, ex art. 263 del TFUE, non è impugnabile e (ii) WhatsApp non è direttamente interessata dalla decisione contestata. La CGUE, al contempo, conferma che una tale questione può essere sollevata dinanzi ad un tribunale nazionale a seguito della relativa presa di posizione della Data protetion authority locale. Spetterà quindi ad un tribunale irlandese verificare la legittimità della decisione resa a livello nazionale – in conseguenza del “One Stop Shop” previsto dal GDPR – e, se necessario, presentare una domanda di pronuncia pregiudiziale alla CGUE.

CLUBHOUSE – In seguito ad una istruttoria avviata d’ufficio nei confronti di #ClubHouse – social network di chat audio formata da “stanze”, talvolta “su invito” – il Garante per la protezione dei dati personali ha recentemente sanzionato (per ben 2 milioni di euro) la società Alpha Exploration Co., gestore della piattaforma. Alla base della decisione la scoperta da parte dell’Autorità di numerose #violazioni del GDPR, normativa alla quale Alpha Exploration Co. asseriva di non essere soggetta in virtù del suo essere statunitense ed in mancanza di stabilimento nel territorio dell’UE. Oltre alla #sanzione (che tiene conto della gravità delle violazioni e del numero – vastissimo – di interessati coinvolti: 16 milioni globali e circa 90 mila in Italia) il Garante ha anche prescritto una serie di #misure quali, tra le altre, l’identificazione di idonee basi giuridiche per le proprie attività di trattamento e la nomina di un rappresentante in uno Stato UE, con conseguenza indicazione del relativo indirizzo e-mail. Alla società è stato ora concesso un termine di 30 giorni per dare esecuzione alle prescrizioni del Garante.

DIRITTO ALL’OBLIO – La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata in materia di diritto all’ #oblio. Attraverso una interpretazione dell’art. 17 GDPR la Corte ha stabilito che il diritto a richiedere la deindicizzazione di informazioni false o inesatte sul proprio conto è legittima anche quando il richiedente non abbia a disposizione una “prova forte” come lo è una sentenza – che rimane tuttavia necessaria nei casi di inesattezza non manifesta – purchè (chiaramente) fornisca informazioni esatte e puntuali al fine di suffragare la propria richiesta.

COMPARAZIONE PRIVACY FRA PAESI ASIATICI – Il Future of Privacy Forum (“FPF”) e l’Asian Business Law Institute (“ABLI”) hanno pubblicato il report “Balancing organizational accountability and privacy self-management in Asia-Pacific”, che mette a confronto i requisiti per il trattamento dei dati personali in diverse giurisdizioni della zona Asia-Pacifico. Il report analizza, in prospettiva comparata, le basi giuridiche per il trattamento dei dati personali nei diversi ordinamenti della zona. Tra le osservazioni del report, si nota il progressivo abbandono della base giuridica del consenso, a favore di alternative che promuovano la responsabilizzazione delle organizzazioni che trattano dati personali.

TUTELA DEGLI INTERESSATI – Il Garante per la protezione dei dati personali ha recentemente pubblicato una scheda informativa che illustra le caratteristiche e le modalità di utilizzo di segnalazioni e reclami ( cioè degli strumenti posti dal GDPR nelle mani dei soggetti interessati per assicurare una loro adeguata protezione).

D. LGS. 231 E PENALE

WHISTLEBLOWING – Lo scorso 9 dicembre è stata annunciata l’approvazione, da parte del Consiglio dei Ministri, del decreto legislativo necessario per l’attuazione delle direttiva UE 2019/1937 (cd. Direttiva #Whistleblowing). Il decreto permetterà finalmente all’Italia – uno dei pochi Paesi membri rimasti fino a questo momento “indietro” – di adeguarsi alla nuova normativa europea dettata in materia di protezione di tutti quei soggetti segnalatori di minacce o pregiudizi al pubblico interesse di cui siano venuti a conoscenza in ragione e nell’ambito della propria attività professionale.

COLPA DI ORGANIZZAZIONE – La Corte di Cassazione si è recentemente pronunciata in materia di #sicurezza e infortuni sul luogo di lavoro. Con la sentenza n. 45131 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) i giudici hanno specificato alcuni aspetti della cd. #colpadiorganizzazione, chiarendo che per tale deve intende il rimprovero che può essere mosso nei confronti di una società per non aver ottemperato agli #obblighi che impongono l’adozione di tutte le #cautele necessarie affinché non si realizzi la commissione dei reati previsti dalla normativa 231. Gli Ermellini hanno inoltre sottolineato la necessità che tali cautele vengano opportunamente #documentate – insieme ai rischi e alle misure idonee per contrastarli – in apposito documento.

NE BIS IN IDEM – La Procura di Milano ha recentemente #archiviato un procedimento penale avviato a carico di una società indagata per il reato 231 di dichiarazione fraudolenta in quanto la questione era già definita per ravvedimento operoso in sede tributaria. Infatti, rifacendosi alla giurisprudenza europea e nazionale in materia di #nebisinidem, i pubblici ministeri – pur in mancanza nel corpo del Decreto 231 di una norma che impone di tenere in considerazione sanzioni eventualmente già irrogate – hanno convenuto che la prosecuzione del procedimento avrebbe portato la società ad essere, di fatto, destinataria di una sanzione #sproporzionata.

LA RESPONSABILITA’ DI CONTROLLARE IL CONSULENTE – La Corte di Cassazione con l’ordinanza n. 35612/2022 ha accolto un ricorso dell’Agenzia delle Entrate e ha chiarito un importante punto in tema di sanzioni amministrative tributarie: il contribuente non è considerato esente dalla responsabilità di presentazione regolare delle dichiarazioni fiscali a meno che l’inadempimento al pagamento di un tributo sia imputabile esclusivamente ad un soggetto terzo (di solito, l’intermediario a cui è attribuito l’incarico di provvedere ai pagamenti, di gestire la contabilità ed effettuare le dichiarazioni fiscali). infatti, ai fini dell’esclusione della responsabilità per difetto dell’elemento soggettivo, grava proprio sul contribuente la prova dell’assenza assoluta di colpa, ed egli deve dimostrare di versare in stato di ignoranza incolpevole e non superabile con l’ordinaria diligenza, e non si può ritenere esente da responsabilità il contribuente che non abbia vigilato sul professionista al quale erano affidate le incombenze fiscali.

MERCATI DIGITALI

PROTEZIONE DEI CONSUMATORI – Il Consiglio dei Ministri di giovedì 1° dicembre 2022 ha approvato il Decreto Legislativo riguardante la modernizzazione delle norme europee sulla protezione dei consumatori. Nello specifico, il Decreto Legislativo di attuazione della direttiva (UE) 2019/2161 del Parlamento europeo e del Consiglio del 27 novembre 2019, che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del Parlamento europeo e del Consiglio, si pone l’obiettivo di una migliore applicazione e una modernizzazione delle norme dell’Unione relative alla protezione dei consumatori, ampliando la #tutela dei #consumatori nel caso di contratti con clausole vessatorie, di condotte commerciali scorrette, di concorrenza sleale o di comunicazioni commerciali non veritiere con conseguente modifica della disciplina delle sanzioni pecuniarie amministrative. Tra le #novità: (i) è previsto che gli annunci di riduzione del prezzo dovranno indicare quello praticato nei 30 giorni precedenti; (ii) sarà elevato da 5 a 10 milioni il limite massimo edittale relativo alla sanzione irrogabile dall’Autorità garante della concorrenza e del mercato (“AGCM”) in caso di pratica commerciale scorretta; (iii) sarà consentito al consumatore di adire il giudice ordinario in caso di pratiche commerciali sleali; (iv) verrà prevista la sanzione da 5.000 euro a 10 milioni per violazioni in materia di clausole vessatorie.

ACCORDO AMAZON / ANTITRUST UE – Il Financial Times riporta che si sarebbe raggiunto un accordo tra il colosso dell’eCommerce e l’autorità UE in merito ad alcune delle più redditizie pratiche commerciali poste in essere da Amazon: la principale, la c.d. “buy box” che comportano un importante aumento dei ricavi e delle vendite, ma sfavoriscono la concorrenza con meccanismi come il “lock-in” dei clienti Prime alla logistica di Amazon, a discapito dei venditori indipendenti. L’annuncio ufficiale dell’intesa è previsto, si riferisce, entro il 20 dicembre prossimo, e costituirà una prima base di confronto rispetto alla normativa del Digital Markets Act di recente approvazione.

SANZIONE AGCM – L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha sanzionato Vinted, società operante nel settore della vendita online di articoli – principalmente di abbigliamento – di seconda mano, per pratiche commerciali scorrette legate alla pubblicità ingannevole. Oggetto della contestazione sono stati infatti dei claim quali, ad esempio “vendita senza commissioni”, o ancora, “zero commissioni, zero limiti”, i quali – secondo l’AGCM – celavano una serie di costi addebitati in realtà agli utenti per ogni transazione, che rendevano il servizio sostanzialmente non gratuito, come invece pareva dagli spot pubblicitari.

NEWS DAL MONDO

FRANCIA – Il CNIL (Garante francese) ha richiesto commenti pubblici sul progetto di Raccomandazioni sulle Modalità di attuazione dei dispositivi di monitoraggio a distanza per gli esami online. A fronte della tendenza sempre in crescita di attività didattiche online – e, in particolare, di esami – il CNIL ha sottolineato l’importanza e la necessità a che la privacy degli studenti non venga compressa in maniera sproporzionata. L’implementazione di sistemi di monitoraggio a distanza, infatti, risulta particolarmente invasiva e pertanto si richiede l’assunzione, da parte dell’istituto, della responsabilità del relativo trattamento di dat personali. Ulteriori raccomandazioni riguardano la scelta della corretta base giuridica

MOZAMBICO – E’ stata pubblicata una proposta di legge sulla Cybersecurity con gli obiettivi di (i) garantire la sicurezza di cittadini e istituzioni e (ii) assicurare la protezione dei sistemi informatici e delle infrastrutture fondamentali del cyberspazio. Se la proposta diventerà legge, essa fonderà il Consiglio Nazionale per la Cybersicurezza in Mozambico, un organismo centrale e responsabile del coordinamento delle politiche, delle strategie e delle linee guida sul tema, di concerto con il Ministro dell’informazione e della comunicazione tecnologica. La proposta di legge è attualmente in fase di consultazione pubblica.

BRASILE – E’ stato approvato dal Senato del Brasile il nuovo progetto di quadro normativo sull’intelligenza artificiale (“IA”) da parte della Commissione di giuristi istituita per il tema. Il progetto si fonda su tre pilastri centrali: (i) la garanzia dei diritti delle persone interessate dal sistema, (ii) la classificazione del livello di rischio e la previsione di misure di governance rivolte ad aziende che gestiscono sistemi di IA.

CINA – Il Comitato Tecnico nazionale per la standardizzazione della sicurezza delle informazioni (“TC260”) ha richiesto una consultazione pubblica, aperta fino al 30 gennaio 2023, sulla proposta di legge relativa alla sicurezza delle reti Internet delle aziende. In particolare, il TC260 ha evidenziato che la bozza dello standard è una parte di una serie, pensata per garantire (i) la sicurezza dei dati, (ii) la sicurezza della rete e (iii) i requisiti tecnici di protezione dei dati. La proposta delinea i processi dei requisiti di sicurezza dei dati di Internet delle industrie, compresa la sicurezza dei dati e i requisiti di protezione della sicurezza.

ARGENTINA – L’autorità argentina per la protezione dei dati personali (“AAIP”) ha pubblicato una risoluzione che classifica e stabilisce quali sono le violazioni minori, gravi e molto gravi nell’ambito dell’applicazione della legge locale sulla protezione dei dati personali. Il principale parametro di classificazione è la gradualità delle sanzioni. Tra le violazioni più gravi sono comprese: (i) dichiarare dati falsi all’atto dell’iscrizione all’Anagrafe Nazionale; (ii) trattare i dati personali senza un’adeguata base giuridica; (iii) raccogliere dati personali senza conferire agli interessati un’informativa adeguata; (iv) raccogliere ed elaborare dati particolari senza la dovuta anonimizzazione; (v) trasferire dati personali in paesi senza livelli adeguati di protezione.

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) ha annunciato un nuovo hub relativo al marketing diretto, destinato alle organizzazioni che vogliono pianificare e fornire campagne di marketing efficaci rispettose della privacy dei soggetti interessati e della normativa applicabile in materia. L’Hub specifica cosa dovranno fare le organizzazioni per adeguarsi alla legge, e fornisce raccomandazioni di buone pratiche per farlo. Tra le indicazioni: (i) l’identificazione delle pratiche di marketing diretto; (ii) la pianificazione attraverso un approccio di protezione dei dati by Design e fin dall’inizio; (iii) raccolta di informazioni per il marketing diretto in modo equo e chiaro, spiegando alle persone come verranno utilizzate le loro informazioni; (iv) rispetto delle preferenze delle persone, incluso il diritto assoluto di opporsi o rinunciare al marketing diretto in qualsiasi momento.

SVIZZERA – Il Centro nazionale per la sicurezza informatica (“NCSC”) diventerà un nuovo ufficio federale situato all’interno del Dipartimento federale della difesa, della protezione della popolazione e dello sport (“DDPS”). Il Consiglio federale svizzero ha infatti incaricato il DDPS di definire le strutture del nuovo ufficio federale entro la fine di marzo 2023. L’NCSC ha sottolineato che continuerà ad assumere i compiti fondamentali in materia di cybersecurity, che comprendono (i) il sostegno alle imprese e al pubblico in generale nella gestione degli incidenti informatici, (ii) la creazione di un ufficio nazionale di segnalazione e di un punto di contatto, (iii) la diffusione di informazioni e avvisi sulle minacce informatiche e sulle misure di protezione, (iv) la sensibilizzazione del pubblico in generale e la protezione dell’Amministrazione federale.

ROMANIA – L’ANSPDCP (Autorità garante rumena) ha recentemente pubblicato delle linee guida indirizzate agli enti pubblici in materia di uso legittimo della #videosorveglianza negli spazi pubblici. L’Autorità, in particolare, ha sottolineato che anche gli enti pubblici, in qualità di titolari del trattamento, devono assicurare un trattamento di dati sicuro, adeguato e limitato a quanto effettivamente necessario per il perseguimento delle finalità individuate. In accordo con una sua precedente decisione (n.174/2018) l’Autorità ha poi ricordato la necessità di effettuare una DPIA quando si vuole porre in essere un trattamento di dati su larga scala mediante tecnologie, come appunto quella del #riconoscimentofacciale.

La tutela dei consumatori nella pubblicità, tra privacy e concorrenza

29 Settembre 2022/in AGCM, Approfondimento, Consumatori, Giurisprudenza UE, News, Privacy/da Miriam Pedruzzi

I mondi della privacy e della concorrenza, se osservati nell’ottica del fare e ricevere pubblicità, sono spesso legati da un denominatore comune: la tutela dei consumatori.

I diritti elencati nel Codice del Consumo – tra i quali figurano la salute e la sicurezza, gli interessi economici, il diritto all’informazione e ad adeguate istruzioni, il diritto al risarcimento, alla rappresentanza e alla partecipazione – rappresentano dei veri e propri diritti soggettivi, garantiti nella tutela individuale e collettiva.

Privacy e concorrenza

Tra i rimedi di natura amministrativa posti a presidio dei consumatori esistono, in particolare, due principali strumenti a fronte di violazioni della privacy che trascendono in pratiche di concorrenza sleale: rivolgersi al Garante privacy, oppure adire l’Autorità Antitrust.

Le due vie si trovano spesso ad intrecciarsi e a far collidere il mondo dei diritti individuali, in particolare quelli relativi alla protezione dei dati personali, con quello della tutela del singolo nel settore della concorrenza e dei mercati.

In questo senso, l’Avvocato generale dell’Unione europea – che formulerà prossimamente le sue conclusioni nel corso del procedimento C-252/21 – in armonia tra l’altro con le decisioni sia del Consiglio di Stato (Sent. 2630 e 2631 del 2021) che del Tar Lazio (Sent. 260 e 261 del 2020), ha proposto alla Corte di Giustizia dell’Unione europea di affermare che per valutare una violazione della concorrenza, l’Autorità antitrust possa incidentalmente indagare se una prassi imprenditoriale sia conforme o meno al GDPR.

Se così decidesse anche la Corte, dal punto di vista delle imprese si porrebbe il necessario tema di (ri)verificare la modulistica contrattuale a disposizione, secondo un doppio parametro di giudizio: la condotta di prevedere all’interno di contratti commerciali delle condizioni di utilizzo di servizi in violazione del GDPR diverrebbe, infatti, censurabile sia dalpunto di vista delle tutele del consumatore sia da quello delle tutele dell’interessato come soggetto passivo in ambito privacy.

Il caso citato riguarda in effetti Facebook Ireland Ltd. (e la propria controllata locale tedesca), ed in particolare le attività pubblicitarie effettuate a mezzo di Instagram con il supporto dei c.d. “Strumenti di Facebook Business”, in relazione ad un caso in cui è in corso la valutazione dell’abuso di posizione dominante a carico del social network in blu anche in relazione ai dati personali raccolti dagli utenti privati (consumatori), per poi proporre loro pubblicità targettizzate.

In questo senso, si rileva una scelta in senso opposto da parte di Google Italy, che ha di recente annunciato il proprio ingresso nell’italianissimo Istituto dell’Autodisciplina Pubblicitaria (“IAP”) come socio ordinario (qui la notizia).

Google si è così impegnato, accettando il Codice di autodisciplina elaborato dall’Iap, a promuovere una pubblicità più responsabile e sostenibile.

Con questa scelta il principale gestore dei sistemi di advertising online si sottopone ad un quadro di tutela spontanea, anche preventiva, di cui i consumatori fruiranno rispetto alle comunicazioni al pubblico che vengono quotidianamente veicolate dalla piattaforma.

L’ampia eco dell’azione di Google, secondo diversi esperti, non tarderà ad essere avvertita: è una tappa fondamentale nella diffusione nel mondo del web dell’Autodisciplina e dell’enforcement della tutela degli utenti e dei consumatori.

Una riflessione a margine

Oggi più che mai è impensabile fare pubblicità senza dati: diventa allora sempre più importante che ciò avvenga con il rispetto sia delle norme stabilite nel GDPR (e per noi nel Codice privacy) che nella normativa sulla concorrenza e, verso i singoli, nel Codice del Consumo.

La sfida diventa allora, in altri termini, quella di saper conciliare le numerose possibilità offerte dalla tecnologia per la realizzazione e la diffusione di pubblicità mirate con il rispetto delle regole, e delle conoscenze, giuridiche e tecniche.

Soprattutto sarà sempre più rilevante – ed evidente – l’intenzione (o meno) di rinunciare, da parte di ciascuna azienda, a soluzioni apparentemente “semplici” e di grande effetto, come lo sfruttamento di informazioni sui consumatori acquisite con metodi non corretti, che però urtano contro i principi posti a tutela dei dati personali e possono diventare fonte di sanzione anche in ambito di pubblicità e concorrenza.

__________________________________________

Immagine di copertina powered by Dall-E 2 (artist AI + @mpedruzzi)

Le pratiche commerciali scorrette nei provvedimenti dell’AGCM

27 Maggio 2022/in AGCM, Approfondimento, Consumatori, eCommerce, Normativa/da Miriam Pedruzzi

Una pratica commerciale “scorretta” viola i principi fondamentali previsti dal Codice del Consumo e quelli in materia di comunicazioni commerciali.

Ciò potrebbe avvenire (più o meno consapevolmente) per massimizzare i ricavi di un negozio online; o potrebbe accadere semplicemente per mancanza di chiarezza delle informazioni presentate su un sito; potrebbe infine essere idonea a fuorviare, condizionandolo, il comportamento del consumatore.

È una tematica posta spesso all’attenzione dell’Autorità Garante della Concorrenza e del Mercato (“AGCM”): è allora utile tenere sempre in particolare considerazione gli orientamenti e le posizioni prevalenti, mostrate dall’esperienza e dalle decisioni contenziose, non solo per evitare verifiche ed eventuali provvedimenti ma anche, e soprattutto, per offrire ai consumatori un acquisto trasparente e rispettoso dei loro diritti.

In generale, una pratica commerciale è scorretta quando, in contrasto con il principio della diligenza professionale, è falsa o è idonea a falsare in misura apprezzabile il comportamento economico del consumatore che raggiunge, o al quale è comunque rivolta (art. 20 D. Lgs. 206/2005).

La disciplina si applica alle pratiche commerciali scorrette poste in essere sia prima, che durante e dopo un’operazione commerciale relativa a un prodotto.

La legge suddivide le pratiche commerciali in due categorie: quelle ingannevoli e quelle aggressive.

Quali sono le pratiche commerciali “ingannevoli”? (art. 21 Codice del Consumo)

Alcune azioni considerate ingannevoli dall’AGCM sono, ad esempio:

quelle che assimilano gli effetti di un prodotto alimentare a quelli attribuibili alle funzioni di un farmaco, avvalendosi di etichette non autorizzate dalla Commissione europea;
la diffusione di informazioni non veritiere in merito alla capacità di memoria di prodotti software;
la creazione di indebita confusione tra cosmetici e trattamenti di medicina estetica mediante testi e immagini evocative.

Anche certe omissioni sono state sanzionate come “pratiche ingannevoli” dall’AGCM:

l’assenza di indicazioni puntuali sul tasso annuo effettivo globale (“TAEG”), in quanto non veniva consentito al consumatore di effettuare un’adeguata valutazione sulla convenienza effettiva di un’offerta finanziaria;
l’assenza, nei siti online che offrono servizi di comparazione dei prezzi e di prenotazione voli, di informazioni chiare, trasparenti e immediate sul reale costo del prodotto desiderato e su tutto ciò che è utile per orientare la scelta.

Esiste, poi, un elenco di pratiche elencate dall’art. 23 del Codice del Consumo, che sono considerate sempre ingannevoli, senza che si debba accertare la mancata diligenza e l’attitudine a falsare il comportamento economico del Consumatore, sulle quali si è pronunciato, oltre all’AGCM, anche il Consiglio di Stato (Cons. Stato 14 aprile 2020 n. 2414).

Quali sono le pratiche commerciali “aggressive”? (art. 24 Codice del Consumo)

Una pratica commerciale aggressiva è una condotta invasiva che comporta pressioni, coercizione, molestie o indebito condizionamento e influisce in concreto sulla libertà di scelta del consumatore.

Essa può avere luogo sia nel corso del rapporto contrattuale, sia nella fase di costituzione del vincolo negoziale.

Le pratiche commerciali aggressive non sono necessariamente connotate dal ricorso alla violenza fisica o verbale, ma sono accomunate dal fatto che il consumatore si trova in situazioni di stress che diventano determinanti per la sua decisione.

Ad esempio, il provvedimento dell’AGCM 20303/09 ha sanzionato

una procedura onerosa e farraginosa per il rimborso del credito residuo dell’utenza telefonica da parte di una società che agiva condizionando il comportamento del consumatore che intendeva cambiare gestore;
la prassi di un noleggio auto di bloccare temporaneamente una certa somma di denaro sulla carta di credito del cliente a garanzia dei danni che l’auto avrebbe potuto subire, inducendo il cliente, per sottrarsi al blocco di denaro sulla propria carta di credito, all’acquisto di prodotti assicurativi accessori.

Cosa può succedere in caso di violazione dei divieti?

Ai sensi dell’art. 27 comma 2 del Codice del Consumo, modificato dall’art. 37 comma 1 lett. a) n. 2 della legge n. 238/2021, in vigore dal 1 febbraio 2022, ogni soggetto od organizzazione che ne ha interesse può fare istanza all’AGCM in caso di pratiche commerciali scorrette affinché l’Autorità ne inibisca la continuazione e ne elimini gli effetti.

L’AGCM può agire anche d’ufficio in forza di poteri investigativi, esecutivi e di richiesta di informazioni, e può ottenere dal professionista responsabile l’assunzione di impegni, imporne l’applicazione e la pubblicazione.

In casi di urgenza l’AGCM può disporre, con provvedimento motivato, la sospensione provvisoria delle pratiche commerciali scorrette.

Il professionista che ha attuato una pratica commerciale scorretta può assumere l’impegno di porre fine all’infrazione utilizzando un apposito modello disposto dall’AGCM.

Quando l’AGCM ritiene la pratica commerciale contraria alle norme del Codice del Consumo, ne vieta la diffusione se l’attività non è ancora stata portata a conoscenza del pubblico, o ne proibisce la continuazione, se la pratica è già iniziata.

Per ogni inottemperanza è prevista l’applicazione di sanzioni amministrative pecuniarie, da pagare entro 30 giorni dalla notifica del provvedimento dell’AGCM.

Contro le decisioni dell’AGCM è possibile ricorrere presso il TAR del Lazio per ottenerne l’annullamento, mentre il ricorso in appello si propone davanti al Consiglio di Stato.

Direttiva sulle pratiche commerciali sleali

Direttiva sulle clausole vessatorie

La Direttiva sui diritti dei consumatori

L’annullamento unilaterale degli ordini online già perfezionati dei consumatori in caso di superamento di determinate soglie di resi e la contestuale omissione informativa circa il blocco degli acquisti

La prospettazione con modalità ingannevoli dei prezzi dei prodotti e degli sconti effettivamente applicati

I ritardi e altre condotte ostruzionistiche tali da rallentare, scoraggiare o comunque ostacolare di fatto l’esercizio dei diritti di recesso e rimborso dei consumatori

Considerazioni conclusive

Privacy e concorrenza

Pubblicità

Una riflessione a margine

Quali sono le pratiche commerciali “ingannevoli”? (art. 21 Codice del Consumo)

Quali sono le pratiche commerciali “aggressive”? (art. 24 Codice del Consumo)

Cosa può succedere in caso di violazione dei divieti?