News #15/2023: chi ha paura dell’AI? EDPB avvia una task force per studiare la situazione 

LE PRINCIPALI NEWS DELLA SETTIMANA

  • task force europea per capire i progressi e i rischi dell’AI, mentre in Italia ci occupiamo di richieste formali di modifica (alcune impossibili o quasi) di ChatGPT e un tavolo di lavoro sulla “age verification” con AGCOM;
  • Meta si prepara a far fronte ad una nuova, pesantissima sanzione – potenzialmente che può includere anche il blocco del trasferimento dati UE-USA, con già paventata sospensione di Facebook e Instagram;
  • la Cassazione interviene sull’annosa questione dei risarcimenti ai clienti dopo episodi di phishing, questa volta dando ragione a Poste Italiane (anche se, va segnalato, oltre tredici anni dopo i fatti);
  • in USA si muovono, sul fronte leggi privacy, anche Lousiana, Tennessee e Indiana.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • partner di Hogan Lovells e voce molto presente nelle conferenze e iniziative internazionali di IAPP, Eduardo Ustaran è il profilo LinkedIn che consigliamo di seguire questa settimana, anche per avere una privilegiata finestra di notizie sul mondo dello “UK GDPR” in costante movimento.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Midnight Mood – Michael Brecker (2001 – Nearness Of You: The Ballad Book)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

CHATGPT / TASK FORCE EUROPEA – Dopo il provvedimento di limitazione provvisoria disposto dal Garante italiano nei confronti di #ChatGPT, i Garanti europei riuniti nell’EDPB hanno deciso di istituire una #taskforce dedicata. L’obiettivo è quello di unire le forze e le competenze al fine di promuovere la cooperazione e lo scambio di informazioni tra le stesse Autorità al fine di garantire l’applicazione e il rispetto del GDPR. Nel frattempo, alcune Autorità – come quella spagnola – hanno parallelamente annunciato l’avvio di indagini di approfondimento in materia: nessuna, però, intervenendo “con urgenza” come il nostro Garante con limitazioni o impedimenti al trattamento.

GARANTE E CHATGPT – Com’è noto, con il provvedimento di limitazione provvisoria adottato dal nostro Garante lo scorso 30 marzo è stato dato a #OpenAI – la società sviluppatrice di #ChatGPT – un termine di 30 giorni per adeguarsi alle prescrizioni imposte dal Garante. Con provvedimento dell’11 aprile il Garante ha stabilito che, qualora entro il 30 aprile la società avrà adottato le necessarie misure concrete atte a garantire la tutela dei diritti degli utenti italiani in materia, la limitazione provvisoria verrà sospesa, venute meno le ragioni d’urgenza che erano alla base del provvedimento. In particolare OpenAI dovrà (i) rendere sul proprio sito web una #informativa trasparente, (ii) selezionare la #base #giuridica del consenso o del legittimo interesse per il trattamento e l’utilizzazione dei dati, (iii) mettere a disposizione degli utenti tutti gli #strumenti utili per garantire l’esercizio dei #diritti sanciti dal GDPR. Scadenze differite – in particolare, entro il 31 maggio o al più tardi 30 settembre – sono fissate per quanto riguarda l’implementazione di un sistema di age verification per la tutela dei minori.

TAVOLO PER TUTELARE I MINORI – Tra AGCOM e Garante è stato aperto un confronto di durata annuale con l’obiettivo di rafforzare la tutela dei minori online, come si legge nel comunicato dello scorso 12 aprile: le due Autorità lavoreranno per creare un codice di condotta e altri strumenti finalizzati anche a sperimentare forme di cooperazione nella tutela degli utenti di servizi digitali, anche attraverso nuove soluzioni di age verification.

META – La Commissione europea per la protezione dei dati personali (EDPB) ha comunicato di aver adottato lo scorso 13 aprile una #decisione #vincolante ex art. 65 GDPR relativa al progetto di decisione del Garante irlandese (DPC) in materia di trasferimenti di dati personali verso gli Stati Uniti effettuati da #Meta e, più in particolare, dal suo servizio #Facebook. La decisione, più in particolare, risolve in collaborazione con altre Autorità garanti europee la questione relativa all’opportunità di irrogare una #sanzione amministrativa e/o disporre un ulteriore ordine di adeguamento del trattamento all’interno della decisione finale del Garante irlandese. Entro un mese dalla notifica della decisione vincolante, la DPC è tenuta ad adottare la sua decisione, dopo di chè sarà poi disponibile anche il testo della decisione vincolante resa dall’EDPB.

UE-USA – Nell’ambito della Commissione per le libertà civili deI Parlamento europeo, una risoluzione adottata dalla maggioranza dei deputati si è dichiarata contraria all’adozione del progetto di decisione di adeguatezza relativo ai trasferimenti internazionali verso gli Stati Uniti (cd. Data Privacy Framework). A renderlo noto è lo stesso Parlamento con comunicato dello scorso 13 aprile all’interno del quale spiega che, secondo i deputati, il progetto – pur rappresentando indubbiamente un miglioramento – non è sufficiente a giustificare l’adozione di una decisione di adeguatezza della Commissione. Inoltre, sebbene il Data Privacy Framework istituisca un tribunale per il riesame finalizzato a decidere sui risarcimenti da erogare ai cittadini europei, resterebbe tuttavia la segretezza delle stesse decisioni del tribunali a minare i diritti del GDPR, in particolare quello di accesso e quello di rettifica dei propri dati personali.

Non è stato fornito nessun testo alternativo per questa immagine

231 & PENALE SOCIETARIO

MANIPOLAZIONE DEL MERCATO – Con la sentenza n. 12340 dello scorso 23 marzo (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che per integrare il reato di cui all’art. 185 TUF,  #manipolazione del #mercato, è sufficiente che dalla diffusione di informazioni false o dalla messa in atto di artifizi possano derivare delle modifiche relative al valore delle azioni, non essendo necessaria una effettiva alterazione dello strumento finanziario. Secondo gli Ermellini “l’alterazione dell’andamento del titolo azionario (…) certamente assume una valenza altamente sintomatica dell’idoneità della condotta illecita [ma ciò non toglie che il delitto di cui all’art. 185 T.U.F. sussista a prescindere da variazioni del valore del titolo azionario, tutelando la fattispecie in questione l’interesse dell’ordinamento giuridico alla corretta formazione del prezzo dello strumento finanziario”. Sulla base di ciò, la Cassazione ha pertanto confermato la condanna di due imprenditori che, attraverso la diffusione della notizia falsa per cui degli investitori fossero interessate all’acquisto del 49,99% delle quote azionarie di una società, avevano generato una alterazione sensibile del titolo azionario di tale società.

USA / INDAGINI SUGLI ENTI – Alcune importanti novità in materia di criminalità di impresa sono state annunciate dal Dipartimento di Giustizia americano (DOJ), tra cui l’adozione della nuova versione della “Evaluation Guidance”. La guida raccoglie una serie di indicazioni per gli organi investigativi finalizzate a (i) valutare i sistemi di compliance delle aziende coinvolte in procedimenti penali e (ii) promuovere accordi tra accusa e difesa. In particolare, vengono individuati tre tipi di controllo: (i) accertare che i sistemi di compliance aziendale siano stati ben implementati in ottica di prevenzione di illeciti aziendali, (ii) valutarne l’effettiva attuazione attraverso l’analisi dei fondi impegnati dalla società per perseguire tali obiettivi di compliance e (iii) valutare le comunicazioni, la formazione interna, i rapporti con i terzi e i flussi informativi. Il Dipartimento chiarisce poi nel documento che l’eventuale commissione di un illecito non indica di per sé una mancanza di compliance nel contesto aziendale. La valutazione, infatti, va compiuta innanzitutto ex ante sugli sforzi profusi dalla società per evitare l’illecito, e solo dopo va estesa all’accertamento delle cause e alle azioni compiute per porvi rimedio, anche attraverso l’attivazione del sistema disciplinare.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

CASSAZIONE SU PHISHING – Con la recente sentenza n. 7214/2023 la Corte di Cassazione ha confermato la pronuncia della Corte d’Appello di Palermo, che aveva rigettato la domanda risarcitoria proposta da un cliente di Poste Italiane a seguito di una truffa online. Il cliente, infatti, avrebbe agito in modo imprudente e negligente, consegnando le proprie credenziali di accesso al conto corrente a un truffatore online, che avrebbe disposto illegittimamente un bonifico di 6.000 euro. L’intermediario Poste Italiane, invece, è stato esonerato dal risarcimento del danno, perché aveva adottato tutte le misure di sicurezza del caso, e aveva adeguatamente informato i clienti della necessità di avere cura delle proprie credenziali per evitare truffe. Il testo della sentenza è disponibile su richiesta.

TWITTER – Twitter Inc non esiste più. Stando a un documento depositato lo scorso 4 aprile presso un tribunale federale della California, la società fa ora parte di X Corp – società di social media di proprietà dello stesso Elon #Musk. L’idea del magnate sudafricano pare essere quella di modificare l’essenza del social in modo da renderla “qualcosa di più”, qualcosa di simile alla cinese #WeChat: uno strumento, cioè, che sia in un’unica soluzione un social, un servizio di messaggistica e uno strumento di pagamento. Tale mossa potrebbe essere stata pensata dal patron di Tesla per rientrare dalle perdite registrate nei mesi successivi all’acquisto del social, il cui valore attuale si attesta alla metà di quello posseduto in fase di acquisto (20 miliardi, a fronte dei 44 pagati).

WHATSAPP – Anche #WhatsApp si sta trasformando. L’idea di Mark Zuckerberg – CEO di #Meta – è infatti quella di renderla una piattaforma idonea per l’e-Commerce e per retail in generale attraverso l’implementazione di funzionalità di pagamento in app. Per il momento la funzionalità è già attiva in Brasile, in via sperimentale e in relazione ai soli account Business. Anche Mark, come Elon, pare aver subito il fascino del modello #WeChat.

SPUNTE BLU PER LINKEDIN – Come i principali social al mondo hanno impostato da tempo, anche LinkedIn ha deciso di avviare le spunte blu sul sito. A differenza di Facebook, Instagram e Twitter però, la rete professionale di proprietà Microsoft non chiederà alcun pagamento per ottenere il badge, che sarà invece associato, per gli utenti che lo chiederanno, al proprio datore di lavoro. Una sorta di riconoscimento per appurare che il professionista è realmente chi afferma di essere sul network. In particolare, LinkedIn evidenzierà le verifiche con un segno di spunta sui profili. La verifica tramite e-mail aziendale è già disponibile per tutti gli utenti di LinkedIn, a condizione che lavorino presso una delle oltre 4.000 aziende supportate. La verifica di Microsoft tramite il sistema “Entra” verrà invece lanciata alla fine di aprile per 2 milioni di membri e poi estesa a tutti gli altri. 

CULTURA DIGITALE – Nuovi fondi per sostenere le imprese digitali attive nel settore della cultura sono stati destinati attraverso il Pnrr per la transizione digitale e verde della filiera: con un avviso pubblico, infatti, il Governo ha dichiarato che gli interventi saranno finalizzati: (i) alla realizzazione di attività, progetti o prodotti improntati sul #ecodesign e sulla #sostenibilità, anche finalizzati alla sensibilizzazione del pubblico verso tematiche ambientali; (ii) all’ideazione di strumenti e soluzioni per la realizzazione di #eventi, attività e servizi culturali a #basso #impatto #ambientale; (iii) alla realizzazione di azioni di pianificazione strategica, organizzativa ed operativa per la redazione e attuazione di piani di sviluppo di governance e di misurazione degli impatti ambientali; (iv) alla realizzazione di prodotti #culturali con una forte componente educativa e didattica finalizzati alla sensibilizzazione del rispetto dell’ambiente; (v) alla realizzazione di attività di sviluppo e prototipazione sperimentale, finalizzate all’ecodesign dei prodotti e al recupero, #riuso#riciclo di prodotti.

TECNOLOGIE IMMERSIVE E FORMAZIONE – L’Università Luiss Guido Carli di Roma è stata scelta da #Meta nell’ambito di un progetto europeo che mira ad analizzare l’impatto delle tecnologie immersive sull’educazione, attraverso test sul campo e iniziative sperimentali. Cinque le istituzioni accademiche selezionate oltre ad una serie di esperti e think-tank – tra cui l’università di Glasgow, l’Esade di Barcellona, il France Immersive Learning e il Straightlabs in Germania. L’iniziativa fa seguito ad una recente ricerca condotta dalla Xr Association e dalla International Society for technology in education, da cui è emerso che un’ampia percentuale degli insegnanti considera l’extended reality uno stimolo alla curiosità e al coinvolgimento degli #studenti in classe.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

KENYA – L’Ufficio della Commissione per la protezione dei dati kenyota (ODPC) ha annunciato tramite un tweet la propria decisione di emettere un avviso di sanzione di 5 milioni di KES (pari a circa 33 mila 800 euro) contro Regus Kenya per non aver dato esito non solo ai reclami dell’interessato denunciante, ma anche alle relative richieste sollevate dall’Autorità. Le doglianza del denunciante, più in particolare, riguardavano il frequente (e fastidioso) spam di comunicazioni automatizzate inoltrate dalla società nonostante le plurime richieste di interrompere tale pratica.

GUYANA – Pubblicato il 16 aprile un draft della legge locale in materia privacy, aperto per commenti sino al 3 maggio 2023. In un post di Bartlett Morgan l’approfondimento, particolarmente interessante perchè fornisce anche una overview della situazione nell’area, chiarendo l’ispirazione al GDPR.

USA (LOUISIANA) – Lo scorso 10 aprile è stato presentato e letto per la prima volta in Senato il disegno di legge n.199 in materia di protezione dei dati dei consumatori. Il disegno di legge prevede, in particolare, istituisce obblighi per le società titolari e responsabili del trattamento stabilite in Louisiana e per le società che producono prodotti o forniscono servizi destinati ai consumatori dello Stato.

USA (INDIANA) – Il Senato dell’Indiana ha approvato un testo di legge (già contenente i rilievi della camera dei deputati) in materia di dati personali, che si pone nel solco della legge della Virginia. Per un approfondimento sulle particolarità della legislazione locale, consigliamo questo post.

USA (TENNESSEE) – Il terzo stato di questa settimana a intervenire in ambito privacy si sta occupando, in particolare, di trasparenza e uso dei dati genetici: si possono seguire gli sviluppi del testo legislativo qui.

SPAGNA – L’Autorità garante spagnola (AEPD) ha pubblicato lo scorso 10 aprile un blog sul proprio sito web dal titolo “AI: Systems vs Processing, Means vs Purposes”. Nel blog l’Autorità chiarisce che l’intelligenza artificiale può essere utilizzata dai titolari del trattamento per operazioni sui dati personali nell’ambito di più ampi trattamenti di dati personali, e che lo scopo del trattamento non sempre coincide con i suoi mezzi. In particolare, l’AEPD sottolinea che è compito del titolare stabilire se l’uso dell’intelligenza artificiale implica una decisione automatizzata o se, sempre a fronte dell’uso dell’AI, è previsto l’intervento di un umano al fine di adottare la decisione finale. In sintesi, nell’opinione dell’Autorità le decisioni automatizzate non sono connesse e discendenti dall’uso in sé dell’intelligenza artificiale bensì da una chiara scelta del titolare.

FRANCIA – La Direzione generale per le imprese (“DGE”) della Francia ha aperto una consultazione pubblica sugli universi immersivi virtuali. Le parti interessate, tra cui cittadini, aziende e ricercatori, sono invitate a presentare commenti fino al 2 maggio sulle aspettative relative a tecnologie come la realtà virtuale e aumentata, la realtà blockchain e i software di creazione 3D. La DGE ha dichiarato che si profila una transizione digitale immersiva, e la consultazione pubblica consentirà alle parti interessate di “esprimersi sulle loro aspettative di fronte a questa novità, al fine di progettare una strategia francese in grado di anticipare questa transizione.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di SpaceX grazie a Unsplash.

News #14/2023: SPID (forse) è salvo, ma cosa ne sarà dello sviluppo del digitale in Italia, tra OpenAI e Meta vs. SIAE?

LE PRINCIPALI NEWS DELLA SETTIMANA

  • il Governo pare aver stanziato una somma utile a mantenere attivo e funzionante #SPID, strumento pionere dell’identità digitale in Europa;
  • AGCM pubblica gli impegni di Google in materia di #portabilità dei dati personali, generati dall’impulso di una startup italiana;
  • Meta è nei guai in Italia, con AGCM che vigila sull’affare SIAE, mentre TikTok riceve una sanzione monstre in UK
  • fare il Whistleblower non ti esime, secondo la Cassazione, dalla responsabilità per aver contribuito al reato.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Georg Philip Krog pubblica con frequenza spunti, schemi e mappe di notevole interesse relativamente alle tematiche digitali e privacy.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • So Happy It Hurts – Bryan Adams (2022).
Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

CONTRIBUTO AI GESTORI SPID – E’ stato presentato da parte del Governo un emendamento al “Decreto Pnrr” – in esame alla Commissione Bilancio del Senato – che sembra offrire un sostegno una tantum per garantire continuità alla fornitura del servizio di identità digitale nazionale, sostenendo con 40 milioni i costi a carico dei provider per l’adeguamento delle infrastrutture tecnologiche. L’intenzione del Governo, peraltro già ampiamente nota, è quella di unificare Spid e Cie all’interno di un’unica applicazione, il cui nome dovrebbe essere Idn (“Identità digitale nazionale”), in linea con il progetto elaborato dalla Commissione europea che, nel 2024, mira a rendere operativo un sistema comune europeo di identità elettronica tramite una app unica, prendendo come modello di riferimento quanto fatto in tema di Green Pass. In quella applicazione, immaginata come un wallet per smartphone, saranno disponibili dati personali, tessera sanitarie e tutti i documenti che potranno “viaggiare” in maniera interoperabile in tutta la zona europea.

AGCM – L’Autorità Garante della Concorrenza e del Mercato (‘AGCM’) ha pubblicato, in data 21 marzo 2023, gli impegni scritti assunti da Alphabet Inc., Google LLC, Google Ireland Limited e Google Italy Srl, e il relativo parere, a seguito dell’avvio di un’istruttoria, a luglio 2022, per presunto abuso di posizione dominante nella #portabilità dei dati. In particolare, l’AGCM ha ritenuto che gli impegni presentati non appaiano manifestamente infondati e, pertanto, li ha pubblicati sul proprio sito internet per l’osservazione dei terzi interessati. Tuttavia, l’Autorità ha anche precisato di riservarsi ogni ulteriore valutazione circa l’idoneità degli impegni assunti a rimuovere le restrizioni alla concorrenza, anche alla luce delle osservazioni che potrebbe ricevere da parte di terzi.

SMART WORKING – Numerosi lavoratori godono, dalla fine dell’emergenza Covid, di una maggiore flessibilità sul lavoro, considerando la tecnologia come un fattore di flessibilità, che consente di lavorare da qualsiasi luogo. La flessibilità dell’orario o della sede di lavoro è sempre più considerato un requisito fondamentale, e addirittura la flessibilità viene considerata come la priorità assoluta nel momento in cui ci si trovasse nella condizione di voler cercare una nuova occupazione. Sono i principali dati che riguardano l’Italia che emergono dal report “Future of Work Life”, realizzato dalla Ericsson Consumer & IndustryLab per fare luce su come i dipendenti e i datori di lavoro stiano affrontando l’attuale situazione e per far emergere le loro opinioni sul futuro del lavoro dopo l’impatto di pandemia, digitalizzazione e flessibilità del mercato. La ricerca è stata condotta in 30 mercati a livello globale, tra cui l’Italia, attraverso 38mila sondaggi online tra i dipendenti, 3.600 tra i decision maker e 11 interviste approfondite con i decision maker in settori selezionati in tre mercati: Cina, Spagna e Stati Uniti.

META VS ANTITRUST (a causa di SIAE) –  L’Antitrust ha avviato un’istruttoria nei confronti di Meta Platform, Meta Platforms Ireland, Meta Platforms Technologies UK Limited e Facebook Italy per accertare un presunto abuso di dipendenza economica nella negoziazione con #SIAE della stipula della licenza d’uso, sulle proprie piattaforme, dei diritti musicali. Secondo l’Autorità, la società di Mark Zuckerberg potrebbe aver indebitamente interrotto le trattative per la stipula della licenza d’uso, sulle proprie piattaforme, dei diritti musicali abusando della dipendenza economica di SIAE, così eliminando i contenuti musicali tutelati dalle proprie piattaforme social, senza fornire alla società le informazioni necessarie per svolgere le negoziazioni nel pieno rispetto del principio di trasparenza ed equità. L’Antitrust indaga sull’ipotesi che Meta potrebbe avere abusato dello squilibrio contrattuale, chiedendo a SIAE di accettare un’offerta economica inadeguata, senza però fornire le opportune informazioni per valutarne l’effettiva congruità.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

ISPEZIONI GIURIDICO CONTABILI – I negozi giuridici predisposti da alcuni professionisti giuridico-contabili sono finiti nel mirino della Guardia di finanza negli accertamenti ispettivi pianificati per il 2023. La bassa propensione della categoria a compiere le comunicazioni antiriciclaggio, unitamente a un aumento di atti opachi connessi agli eventi straordinari del PNRR e della “bonus economy”, hanno attivato un allarme. Sulla base di questi presupposti, la Guardia di finanza per il 2023 stabilisce un’adeguata presenza ispettiva, da svolgere sui professionisti giuridico-contabili. In particolare, la Guardia di finanza ha ritenuto di calibrare il numero delle ispezioni in modo uniforme su tutti i vari professionisti obbligati alle comunicazioni antiriciclaggio: avvocati, commercialisti, notai, contabili ed esperti giuridico-contabili. Stando all’ordine del Comando generale delle Fiamme gialle, le ispezioni sono necessarie alla luce del ruolo che i professionisti assumono nella gestione contabile e nel perfezionamento di negozi giuridici di varia natura, che impattano sulle dinamiche di movimentazione della ricchezza e sugli assetti proprietari del tessuto economico, come ad esempio, la costituzione o la modificazione di veicoli societari o la compravendita di asset patrimoniali.

RESPONSABILITÀ WHISTLEBLOWER – Con sentenza n. 9148 dello scorso 31 marzo (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Sezione Lavoro della Corte di Cassazione si è pronunciata in materia di responsabilità del whistleblower. Chiamati a decidere su un ricorso presentato da un’infermiera – la quale aveva denunciato il comportamento di alcuni colleghi e che, solo per tale ragione, chiedeva di essere esonerata dalla responsabilità derivante dai suoi propri illeciti –  gli Ermellini hanno specificato che la normativa in materia di whistleblowing, se da un lato certamente protegge il segnalante dalle ritorsioni che potrebbero derivargli in conseguenza della denuncia, dall’altro “non istituisce una esimente per gli autonomi illeciti che egli, da solo o in concorso con altri responsabili, abbia commesso, potendosi al più valutare il ravvedimento operoso o la collaborazione al fine di consentire gli opportuni accertamenti nel contesto dell’apprezzamento, sotto il profilo soggettivo, della proporzionalità della sanzione da irrogarsi nei confronti del medesimo”

MESSA ALLA PROVA – Lo scorso 6 aprile sono state depositate le motivazioni della sentenza n.14840 (scaricabile gratuitamente per gli iscritti all’Associazione Aodv231), con la quale le Sezioni Unite della Corte di Cassazione si sono pronunciate in materia di inapplicabilità dell’istituto della messa alla prova, ex art.168-bis c.p., a favore degli enti. Secondo l’interpretazione degli Ermellini, infatti, “le norme relative alla messa alla prova non contengono alcun riferimenti agli enti quali possibili soggetti destinatari di esse e neppure le norme del D. Lgs. 231 del 2001(…). Gli artt. 34 e 35 del D. Lgs. 231 del 2001, infatti, nel dettare le disposizioni generali sul procedimento di accertamento e di applicazione delle sanzioni amministrative dipendenti da reato (…) contengono un richiamo esclusivamente alle disposizioni del codice di procedura penale e alle disposizioni processuali relativa all’imputato, in quanto compatibili”. Concludono le secondo le Sezioni Unite con la seguente considerazione: “se, dunque, la responsabilità amministrativa da reato riguardante gli enti rientra in un genus diverso da quello penale (tertium genus) e la messa alla prova deve ricondursi a un “trattamento sanzionatorio penale (…), deve ritenersi che l’istituto della messa alla prova non può essere applicato agli enti, a ciò ostando, innanzitutto, il principio di riserva di legge, di cui all’art. 25, secondo comma, della Costituzione”.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

LINEE GUIDA DATA BREACH – Il Comitato europeo per la protezione dei dati personali (EDPB) ha pubblicato lo scorso 4 aprile la versione 2.0 delle sue Linee guida sulla notifica di violazione di dati personali (Linee guida 9/22). In particolare, le Linee guida – che costituiscono un aggiornamento di quelle rilasciate dal Working Party 29 ai sensi del GDPR, poi approvate dall’EDPB nella sua primissima riunione plenaria – si concentrano sui requisiti di notifica di violazioni di dati personali relative a titolari del trattamento stabiliti al di fuori dell’UE.

GARANTE E OPENAI – In seguito al blocco imposto a ChatGPT alla fine di marzo, lo scorso 5 aprile si è tenuto l’incontro tra l’Autorità garante per la protezione dei dati personali e OpenAI, seguito da un comunicato stampa dell’8 aprile in cui il Garante ha confermato l’inizio dell’esame delle misure proposte da OpenAI per andare in contro alle richieste ricevute. Seppur convinta di rispettare la normativa europea in materia di privacy, la società si è mostrata disponibile a collaborare con l’Autorità al fine di trovare una soluzione positiva alle criticità sollevate in merito al software ChatGPT. Dal canto suo, il Garante ha specificato che la propria posizione non va letta in termini di “chiusura” verso l’innovazione tecnologica – e in particolare verso l’intelligenza artificiale – ma, più semplicemente, come un atteggiamento premuroso nei confronti delle disposizioni dettate dalla normativa europea e italiana in materia.

NUOVO RANSOMWARE CONTRO GRANDI AZIENDE  – Il nuovo gruppo ransomware Money Message è apparso nella scena cyber con un blog nel quale pubblica le vittime rivendicate negli attacchi ed emette richieste di riscatto da milioni di dollari, prendendo di mira grandi aziende. Gli attori della minaccia chiedono riscatti di milioni di dollari per non divulgare i dati interni rubati durante l’attacco e rilasciare un decryptor per ripristinare i sistemi danneggiati. Tra le vittime già colpite c’è una compagnia aerea asiatica con un reddito annuo di 1 miliardo di dollari. Gli attori della minaccia hanno annunciato di aver esfiltrato informazioni da questa azienda, pubblicando uno screenshot dei file come prova di attacco avvenuto con successo.

ICO vs TIK TOK  – L’Information Commissioner’s Office (“ICO”) ha annunciato, il 4 aprile 2023, di aver inflitto una multa di 12,7 milioni di sterline a TikTok Information Technologies UK Limited e TikTok Inc. (collettivamente, “TikTok”), per violazioni del UK GDPR, anche in relazione all’utilizzo dei dati personali dei bambini, a seguito dell’emissione di un avviso di intenti nel settembre 2023. In particolare, TikTok ha trattato i dati di bambini di età inferiore ai 13 anni senza il consenso dei genitori, senza fornire informazioni adeguate ai propri utenti in modo conciso, trasparente e facilmente comprensibile e ha elaborato dati di categorie particolari senza un’adeguata base giuridica.

PRIVACY BROWSER – Due organizzazioni che si occupano della privacy degli utenti hanno rilasciato un nuovo browser Web incentrato sulla privacy, chiamato “Mullvad Browser”, che può essere scaricato gratuitamente e funziona su Windows, MacOS e Linux. Il browser Mullvad si occupa di fornire più alternative di privacy per raggiungere quante più persone possibile e rendere la vita più difficile a coloro che raccolgono dati sugli utenti. Il browser è stato sviluppato per ridurre al minimo il tracciamento dei dati, facendo apparire tutti gli utenti come uno solo. Quindi, più persone lo utilizzano, maggiore è la protezione degli utenti. Il sistema ha l’obiettivo di fornire alle persone più opzioni di privacy per la navigazione quotidiana e sfidare l’attuale modello di business di sfruttamento dei dati comportamentali delle persone. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA – Il 30 marzo 2023 il Center for Artificial Intelligence and Digital Policy (“CAIDP”) americano ha presentato un reclamo alla Federal Trade Commission (“FTC”) sollecitando un’indagine su ChatGPT. In particolare, il reclamo afferma che ChatGPT è parziale, ingannevole e rappresenta un rischio per la privacy e la sicurezza pubblica, notando che, tra le altre cose, i suoi risultati non possono essere provati o replicati e che non è stata effettuata alcuna valutazione indipendente prima della sua diffusione. Inoltre, la denuncia ricorda che la FTC ha dichiarato che l’uso dell’IA dovrebbe essere trasparente, spiegabile, equo ed empiricamente valido, promuovendo al contempo la responsabilità, e sostiene che il prodotto di OpenAI, GPT4, non soddisfa nessuno di questi requisiti. 

USA (PENNSYLVANIA)  Il House Bill 708, recante norme sulla protezione dei dati personali dei consumatori e sugli obblighi dei Titolari e Responsabili del trattamento dei dati personali dei consumatori, è stato presentato alla Camera dei rappresentanti della Pennsylvania, e successivamente deferita, nella stessa data, al Comitato per il commercio. In particolare, il disegno di legge si applicherebbe alle persone che conducono affari in Pennsylvania o producono beni, prodotti o servizi che vengono venduti o offerti in vendita ai residenti della Pennsylvania.

SVIZZERA – Dopo il Garante italiano – con il quale ha dichiarato di essere in contatto – anche l’Incaricato federale della protezione dei dati e dell’informazione (IFPDT) si è recentemente pronunciato in relazione all’utilizzo di app supportate dalla tecnologia dell’Intelligenza Artificiale (e in particolare ChatGPT). Pur riconoscendo le innegabili opportunità di tali strumenti, l’Incaricato ha tuttavia sottolineato i rischi che potrebbero derivare tanto per la vita privata quanto per l’informazione, e dunque l’autodeterminazione, dei suoi utenti. È pertanto necessario garantire a tutti gli utenti una chiara e precisa informazione su tutti gli aspetti rilevanti del trattamento, rimanendo comunque consigliabile che lo stesso utente operi una verifica delle finalità del trattamento prima di inserire informazioni personali su tali app.

ARABIA SAUDITA – Sono state pubblicate in Gazzetta Ufficiale le modifiche alla Legge sulla protezione dei dati personali (“PDPL”), attuate con Regio Decreto M/19 del 17 settembre 2021. Secondo il preambolo della PDPL, gli enti avranno un periodo di transizione di un anno da tale data per adeguare le loro operazioni. La PDPL ora consente il trasferimento o la divulgazione di dati personali al di fuori dell’Arabia Saudita, ma solo per il raggiungimento di determinate finalità e a condizione che siano soddisfatte alcune condizioni previste dall’articolo 29: (i) il trasferimento o la divulgazione non pregiudica la sicurezza nazionale o gli interessi vitali dell’Arabia Saudita; (ii) il paese in cui i dati personali sono trasferiti protegge i dati personali almeno allo stesso livello dell’Arabia Saudita, secondo i risultati di una valutazione condotta dall’autorità competente in materia in coordinamento con gli interessati; (iii) il trasferimento o la divulgazione siano limitati alla quantità minima di dati personali richiesta.

GIAPPONE – La Commissione europea ha annunciato, il 4 aprile 2023, che l’Unione europea e il Giappone hanno completato con successo il primo riesame dell’accordo di adeguatezza reciproca Giappone-UE. In particolare, la Commissione ha sottolineato che il riesame ha dimostrato che la convergenza tra il quadro di protezione dei dati dell’Unione e del Giappone si è ulteriormente perfezionato negli ultimi anni, e che l’accordo sull’adeguatezza reciproca funziona bene, consentendo ai dati di circolare con fiducia e apportando vantaggi significativi ai cittadini e imprese.

GERMANIA – La Conferenza tedesca sulla protezione dei dati (“DSK”) ha pubblicato, il 27 marzo 2023, il suo parere sull’uso dei dati sanitari in relazione allo spazio europeo dei dati sanitari. In particolare, la DSK ha affermato che esso non dovrebbe pregiudicare la protezione dei dati prevista dal GDPR, e la Commissione europea ha presentato una proposta di regolamento del Parlamento europeo e del Consiglio sullo spazio europeo dei dati sanitari, che contiene norme sull’uso primario e secondario a livello europeo di dati sanitari elettronici, per poter accedere alle informazioni provenienti dai sistemi di altri Stati membri quando prestano assistenza sanitaria. 

ARGENTINA – Lo scorso 5 aprile l’Autorità garante per la protezione dei dati personali ha argentina ha pubblicato la relazione sulla gestione relativa al 2022, nella quale è stato incluso il nuovo disegno di legge in materia di protezione dei dati personali.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Shubham Dhage grazie a Unsplash.

News #13/2023: in Italia chiude d’urgenza ChatGPT, mentre arriva un codice di condotta per i call-center (e le altre news della settimana)

LE PRINCIPALI NEWS DELLA SETTIMANA

  • provvedimento d’urgenza del Garante italiano che, di fatto, disabilita la fruizione di ChatGPT (OpenAI) in Italia, almeno temporaneamente;
  • intanto, viene pubblicato un Codice di Condotta che dovrebbe limitare la “piaga” del telemarketing selvaggio, dopo che il Registro delle Opposizioni ha evidentemente fallito;
  • Meta passa al “legittimo interesse” come base giuridica per l’advertising su Facebook e Instagram, aggiungendo un altro tassello alla battaglia in corso tra Europa, Irlanda e il colosso di Menlo Park;
  • pubblicato in G.U. il “nuovo codice degli appalti”, che modifica la disciplina con forti impatti sul mondo 231.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana segnaliamo il profilo LinkedIn dell’EDPS e, in particolare, la pagina web dedicata ai #podcast. Coerentemente con lo scopo dell’Autorità di divulgazione delle buone pratiche in UE, sono due i #format resi attualmente disponibili: (i) Newsletter Digest, un podcast mensile che raccoglie gli ultimi pareri emessi, i commenti formali, pubblicazioni ed eventi; e (ii) EDPS on Air, singoli podcast o brevi serie attraverso le quali l’Autorità affronta di volta in volta diversi e rilevanti argomenti, come la tecnologia e l’intelligenza artificiale.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • The World Is Not Enough – Garbage (1999 – James Bond Theme)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

CHAT GPT – Con un comunicato dello scorso 31 marzo il Garante per la protezione dei dati personali ha reso noto di aver adottato un provvedimento che dispone il blocco di #ChatGPT. Secondo l’Autorità, infatti, #OpenAI – la società statunitense che ha sviluppato e che gestisce la piattaforma – non rispetta la normativa europea in materia di protezione dei dati personali. In particolare, l’Autorità ha riscontrato: (i) l’assenza di una adeguata informativa agli utenti; (ii) la mancata selezione di una base giuridica idonea a giustificare la raccolta e la conservazione dei dati degli utenti; (iii) l’inesistenza di un filtro capace di verificare l’età degli utenti, nonostante la piattaforma dichiari di indirizzarsi esclusivamente ad utenti di almeno 13 anni di età. OpenAI – nei cui confronti è ora in corso un’istruttoria – dispone ora di 20 giorni per comunicare le misure adottate per ottemperare alle richieste del Garante. Nel frattempo, nella giornata di ieri ha disabilitato il servizio per gli utenti con IP italiano.

CODICE DI CONDOTTA TELEMARKETING – È stato approvato dal Garante per la protezione dei dati personali il Codice di condotta per le attività di telemarketing e teleselling promosso da un gruppo eterogeneo di soggetti, tra cui call center, teleseller e associazioni di consumatori. Il codice diverrà efficace una volta conclusa la fase di accreditamento dell’Organismo di monitoraggio e la successiva pubblicazione in Gazzetta Ufficiale.

ADV META – Lo scorso 30 marzo l’organizzazione NOYB (None of your business) ha reso noto attraverso un comunicato sul proprio sito web la notizia – riportata già dal Wall Street Journal – secondo cui #Meta starebbe operando il passaggio alla base giuridica del #legittimo #interesse per quanto riguarda le attività di trattamento relative alla pubblicità. Il caso di Meta è particolare: mentre la gran parte delle società tratta i dati a fini pubblicitari sulla base del consenso degli utenti (cd. opt-in), il colosso di Menlo Park già allo stato attuale si trova in una posizione di sostanziale illiceità, avendo fin ora optato per il contratto quale base giuridica del trattamento ai fini dell’ #adv. Per NOYB – che ha già annunciato una imminente azione legale – si tratterebbe, in buona sostanza, di una pratica illegale in sostituzione di altra pratica illegale.

PLENARIA EDPB – Il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato l’ordine del giorno della sua prossima riunione plenaria, il 28 marzo 2023. L’EDPB discuterà, tra le altre cose: (i) le linee guida 01/2022 sui diritti degli interessati e in particolare sul diritto di accesso; (ii) l’aggiornamento delle linee guida 8/2022 sull’identificazione dell’autorità di controllo capofila del titolare o del responsabile del trattamento; (iii) l’aggiornamento delle linee guida 9/2022 sulla notifica di violazione dei dati personali ai sensi del GDPR. Inoltre, l’ordine del giorno specifica che l’EDPB esaminerà una richiesta di mandato per la creazione di una task force sull’interazione tra protezione dei dati, concorrenza e tutela dei consumatori.

ENISA – L’Agenzia dell’Unione europea per la cybersicurezza (“ENISA”) ha annunciato, il 28 marzo 2023, di aver rilasciato uno strumento per aiutare le piccole e medie imprese (“PMI”) a valutare il livello di maturità della loro sicurezza informatica. In particolare, l’ENISA ha evidenziato che lo strumento include le seguenti funzionalità: (i) valutazione della sicurezza informatica in una scala che va da “base” ad “avanzato o esperto”, ed è parametrata alle dimensioni dell’impresa, al budget disponibile, al settore di attività, all’identificazione degli asset generici, ed altro.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CODICE DEGLI APPALTI – Con una approvazione dell’ultim’ora, è stato pubblicato in Gazzetta Ufficiale (serie generale n. 77 del 31 marzo, supplemento ordinario n. 12) il “Nuovo Codice Appalti”, ovvero il D. Lgs. 36/2023, mentre il precedente D. Lgs. 50/2016 andrà in pensione tra circa tre mesi. Un “mostro” di 556 pagine – allegati inclusi – che andrà studiato dagli operatori del settore, avendo forte impatto anche sulle attività di compliance aziendale, e che in questo post viene proposto con collegamenti ipertestuali e l’indicazione delle parti modificate e aggiornate.

RIFORMA FISCALE – È stato recentemente approvato dal Consiglio dei Ministri il Disegno di Legge delega sulla riforma fiscale con il quale il Governo è stato incaricato di introdurre, tra i reati-presupposto del Decreto 231/2001, gli illeciti tributari connessi alle accise. In particolare, l’art. 18 prescrive di estendere la punibilità degli enti anche alle ipotesi previste dal D. Lgs. 504/95 “Testo unico delle disposizioni legislative concernenti le imposte sulla produzione e sui consumi e relative sanzioni penali e amministrative”. Inoltre, in materia di #contrabbando, viene conferita la delega per consentire l’applicabilità delle sanzioni interdittive di cui all’art. 9, comma 2 lett. a) e b) in caso di commissione degli illeciti previsti dall’art. 25-sexiesdecies del Decreto 231. L’esecutivo dispone ora di 24 mesi per adottare i decreti legislativi.

WHISTLEBLOWING – Nel corso dell’ottava assemblea del Network of European Integrity and Whistleblowing Authorities” (cd. Neiwa, organismo composto da 34 autorità rappresentative di 25 stati membri dell’Unione) – tenutasi a Roma lo scorso 24 marzo – è stata sottoscritta una dichiarazione finalizzata a “coordinare gli sforzi per il rafforzamento della protezione dei whistleblowers attraverso lo scambio di conoscenze pratiche; unire le forze e, quando necessario, parlare con una sola voce; collaborare come interlocutore chiave con istituzioni pubbliche e organizzazioni private europee e internazionali”. In particolare, nel corso dell’incontro il Naiwa ha concentrato la propria attenzione allo stato di attuazione della Direttiva 2019/1937 (cd. Direttiva Whistleblowing) e sulle leggi nazionali attualmente approvate in materia.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

IDENTITA’ DIGITALE – Il Parlamento europeo ha avviato i colloqui con il Consiglio dell’Unione europea in merito alla proposta di regolamento sull’identità europea digitale, emanata dalla Commissione europea nel giugno 2021. In particolare, il Parlamento ha precisato che la proposta di regolamento consentirà ai cittadini identificarsi e autenticarsi online tramite un portafoglio di identità digitale europeo, senza dover ricorrere a fornitori commerciali, dando così agli utenti il pieno controllo dei propri dati. Per quanto riguarda i prossimi passi, il Parlamento ha precisato che, dopo l’approvazione della sua plenaria, le discussioni con il Consiglio sulla forma finale del regolamento possono iniziare immediatamente, chiarendo che la sua posizione durante i negoziati si baserà sugli emendamenti adottati dalla commissione Industria, ricerca ed energia a febbraio 2023.

DATA ACT – I rappresentanti degli Stati membri dell’Unione europea hanno raggiunto una posizione comune (“mandato negoziale”) riguardo al Data Act, che consente al Consiglio di avviare i negoziati con il Parlamento europeo sulla proposta legislativa riguardante le norme armonizzate sull’accesso equo ai dati e sul loro utilizzo. L’accordo ha l’obiettivo di facilitare la trasformazione digitale delle società ed economie, dato che la normativa sui dati sfrutterà le potenzialità economiche e sociali dei dati e delle tecnologie in linea con le norme e i principi fondamentali dell’Unione europea. Contribuirà inoltre alla creazione di un mercato unico per consentire la libera circolazione dei dati all’interno dell’Unione e tra i vari settori, a beneficio delle imprese, dei ricercatori, delle pubbliche amministrazioni e della società in generale.

RACCOMANDAZIONI CONSUMATORI – L’Organizzazione europea dei consumatori ha pubblicato, il 24 marzo 2023, alcune raccomandazioni in relazione all’iniziativa della Commissione europea volta a specificare le norme procedurali relative all’applicazione del GDPR. In particolare, l’ente ha accolto con favore l’iniziativa, e ha osservato che l’armonizzazione procedurale è un aspetto essenziale dell’applicazione e dell’esecuzione del GDPR. A questo proposito, l’ente ha sottolineato che l’iniziativa dovrebbe garantire che tutte le procedure, le politiche e le pratiche relative alla protezione dei dati siano coerenti, omogenee e standardizzate nella massima misura possibile.

PROPOSTA DI DIRETTIVA SULL’EUROPA DIGITALE – Gli obiettivi della proposta di direttiva adottata dalla Commissione europea nel quadro di un progetto di facilitazione, da parte delle aziende, dell’uso di strumenti e processi digitali nel diritto societario sono quelli di (i) facilitare le operazioni delle società transfrontaliere e ad aumentare la trasparenza e la fiducia delle imprese, (ii) rendere pubbliche a livello dell’Unione europea maggiori informazioni sulle società, (iii) ridurre la burocrazia per le imprese che operano con l’estero, risparmiando notevoli capitali attualmente impiegati in oneri amministrativi all’anno. La proposta contribuirà anche a favorire un’ulteriore digitalizzazione del mercato unico e aiuterà le imprese, in particolare quelle di piccole e medie dimensioni, a fare affari nel quadro dell’Unione. La proposta si applicherà a circa 16 milioni di società a responsabilità limitata e a 2 milioni di imprese nell’Unione europea. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

FRANCIA – L’Autorità garante francese (CNIL) ha pubblicato lo scorso 23 marzo un dossier tematico in materia di identità digitale che definisce il concetto di #identità #digitale e le altre questioni relative all’uso di tale strumento da parte delle organizzazioni.

FRANCIA/2 – Sanzione di 125.000 euro a Cityscoot (noleggio breve motorini) per illecita conservazione dei dati di geolocalizzazione relativi all’uso dei propri servizi: in particolare, la App geolocalizzava l’utente “attivo” ogni 30 secondi; il procedimento è stato condotto in cooperazione con le autorità di Spagna e Italia, dove Cityscoot opera con lo stesso modello di business.

GIAPPONE – Il Ministero dell’Economia, del Commercio e dell’Industria giapponese (METI) ha di recente annunciato di aver rivisto le proprie Linee guida in materia di cybersicurezza.

SVEZIA – Lo scorso 23 marzo il Parlamento svedese (Riksdag) ha annunciato di aver approvato la proposta di modifica della legge sui dati dei pazienti avanzata dal Governo (la “Proposition 2022/23:31 Processing of personal data when calculating numbers for clinical research”). In particolare, dalla relazione della Commissione per gli affari sociali si evince che dati personali dei clienti potranno essere trattati per calcolare il numero di soggetti che soddisfano i requisiti stabiliti per essere ammessi alla ricerca clinica. Le nuove disposizioni entreranno in vigore il prossimo 1 maggio.

REGNO UNITO – L’ICO, Autorità UK in ambito privacy, ha annunciato la pubblicazione di una nuova linea guida in materia di marketing diretto e comunicazioni in ambito regolatorio, particolarmente interessante dato che aiuta le aziende a capire quando e come utilizzare la messaggistica verso i propri consumatori e utenti in caso di necessità di comunicare loro, ad esempio, il cambiamento di termini e condizioni.

SPAGNA – L’AEPD, Garante spagnolo, ha di recente reso pubbliche le sue nuove Linee guida in materia di gestione del rischio di violazione di dati personali per tutte quelle operazioni di trattamento che comportano la comunicazione di dati tra enti pubblici.

LUSSEMBURGO – In vista dell’attuazione del Regolamento UE 2022/1925 (il cd. DMA, Digital Markets Act), lo scorso 23 marzo è stato approvato dalla Camera dei Deputati del Lussemburgo il disegno di legge di modifica delle legge 30 novembre 2022 sui mercati digitali. Il disegno di legge istituisce l’Autorità lussemburghese garante della concorrenza quale autorità competente ai fini del DMA, affidandole inoltre il compito di assistere la Commissione europea nelle questioni inerenti i mercati digitali. 

DANIMARCA – Datatilsynet, Autorità garante danese, ha di recente aggiornato le proprie Linee guida in materia di protezione dei dati personali nel contesto dei rapporti di lavoro. In particolare, (i) ha aggiornato la guida alle sue ultime pratiche, tra cui quella relativa ai dati dei casellari giudiziari e alle referenze, (ii) ha fornito chiarimenti su alcuni paragrafi e (iii) ha rivisto la struttura del documento in modo tale da renderlo più fruibile e comprensibile.

OLANDA – Circa 780.000 passeggeri delle ferrovie nazionali sono stati coinvolti in un importante data breach, causato da una violazione di sicurezza di un fornitore strategico, che ha comportato la potenziale esposizione di numeri di telefono, indirizzi e-mail e altri dati degli utenti, ma non – a quanto è stato comunicato – dati di pagamento o password.

GERMANIA – Che i cookie paywall siano (in qualche misura) ammissibili? Le Autorità tedesche omologhe del nostro Garante sembrano – con diversi caveat – pensarla così, a quanto riporta questo post.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Clark Young grazie a Unsplash.

News #12/2023: anche OpenAI subisce un databreach e ChatGPT va offline senza preavviso

LE PRINCIPALI NEWS DELLA SETTIMANA

  • per un errore di configurazione, ChatGPT è stato messo offline a seguito di un data breach con invio di e-mail automatiche all’utente sbagliato;
  • intanto, il Parlamento UE raccoglie i paper sull’IA e prova a spingere per l’adozione dell’AI Act;
  • in Norvegia, far subire un databreach a un dipendente costa oltre 200 mila euro;
  • una task force per il Digital Markets Act in vigore da maggio 2023.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • se siete in cerca di una checklist, una linea guida o una chart esplicativa in materia di dati personali, ISO o cybertech, dovete assolutamente seguire ed esplorare il profilo di Andrey Prozorov, che possiede anche un canale Patreon in cui ha pubblicato tantissimo materiale molto interessante.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • In The Wee Small Hours Of The Morning – Frank Sinatra (1955 – late night jazz version by Webster & Peterson)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DATA BREACH SU UN DIPENDENTE, 220 MILA EURO DI SANZIONE – L’Autorità garante norvegese, Datatilsynet, ha di recente emesso una sanzione di 2,5 milioni di NOK (pari a poco più di 220 mila euro) la società Argon Medical Devices, avente sede legale negli Stati Uniti, a seguito di una violazione di dati personali relativa ai dati personali di un unico suo dipendente tra quelli in Europa, residente in Norvegia. Alla base della decisione ci sarebbero (i) il mancato rispetto delle tempistiche fissate in materia di notifica al Garante (67 giorni a fronte delle 72 ore imposte dal GDPR), seppure a fronte di verifiche approfondite da cui non sarebbero emersi, in una prima fase, rischi per l’interessato), e più in generale (ii) la inadeguatezza delle misure di sicurezza implementate dalla società.

ANCHE OPENAI (CHATGPT) ALLE PRESE CON UN DATA BREACH – Lo scorso 20 marzo è andato offline, per qualche ora, il servizio di ChatGPT: si è appreso in seguito, attraverso un comunicato della stessa OpenAI, che il disservizio era legato a una errata configurazione del sistema automatico di invio e-mail collegato all’iscrizione degli utenti “Plus” (a pagamento). A causa del problema, è possibile – si legge – che un utente abbia ricevuto e/o letto informazioni (anche di pagamento) di un altro utente, come pure le prime righe della conversazione con l’Intelligenza Artificiale che sta rivoluzionando il mondo e internet. Al momento, da quanto risulta, nessuna notifica ai sensi del GDPR sarebbe stata inviata.

PARLAMENTO EUROPEO & AI – Mentre le istituzioni europee si interrogano su come regolare l’Intelligenza Artificiale, con un “AI Act” in discussione dal 2021, il Parlamento ha pensato bene di pubblicare una nota che presenta i link alle recenti pubblicazioni e ai commenti pubblicati sull’intelligenza artificiale. Grazie a data TENET® per la segnalazione.

OSSERVATORIO FEDERPRIVACY SULLA COMPLIANCE – A cinque anni dall’introduzione del GDPR sono ancora molti i casi in cui le prescrizioni del Regolamento vengono applicate in modo teorico o approssimativo, e anche migliaia di imprese, che hanno investito risorse per adeguarsi alla normativa europea, si trovano, loro malgrado, esposte a sanzioni da parte delle autorità di controllo. E’ quanto emerge da un sondaggio condotto dall’Osservatorio di Federprivacy a cui hanno partecipato numerosi addetti ai lavori: il 78% delle imprese considera ancora la privacy come un mero adempimento burocratico, e a dimostrarlo sono anche alcuni casi emblematici come quello della multa da mezzo milione di euro ad una società di eCommerce che aveva nominato un DPO in conflitto d’interessi.

COME PROTEGGERSI DAL VISHING – Con un comunicato stampa dello scorso 22 marzo il Garante per la protezione dei dati personali ha fornito ai cittadini una serie di informazioni e suggerimenti utili per proteggersi dal #vishing, ossia quella particolare forma di phishing (cioè truffa) che utilizza il telefono come mezzo di appropriazione dei dati personali delle vittime. 

STATISTICHE EUROPEE E DATA PROTECTION – Nell’ambito della nuova proposta di Regolamento europeo in materia di statistiche sulla popolazione e sulle abitazioni, l’EDPS (European Data Protection Supervisor, il Garante delle istituzioni europee) ha ricordato ai legislatori l’importanza di non interferire con la normativa in materia di protezione dei dati. Più in particolare, pur accogliendo con favore l’obiettivo della nuova proposta – che riunirà tutti i dati demografici, migratori e censuari attualmente raccolti a livello di singolo Stato Membro – l’EDPS ha fornito una serie di raccomandazioni finalizzate a mitigare le eccessive interferenze con le disposizioni europee in materia di privacy, sottolineando in particolare l’importanza di rendere anonimi (o per lo meno pseudonimi) i dati raccolti.

REPORT PRIVACY E FIDUCIA DEI CONSUMATORI – Il recente report di IAPP (di cui trovate qui un estratto) sulla privacy e la fiducia dei consumatori si occupa di delineare il pensiero delle persone e la loro consapevolezza rispetto alla privacy, rispondendo a domande quali quando siano preoccupate le persone per la privacy online, come influiscono sui comportamenti, anche economici e commerciali, l’uso del telefono e la navigazione sul Web. L’obiettivo del report è cercare di definire cosa pensa la maggior parte dei consumatori riguardo alle leggi sulla privacy e sulla protezione dei dati,e come rispondono quando i loro dati vengono persi o coinvolti in una violazione, a fronte del cambiamento globale, culturale e tecnologico che si sta verificando nel modo in cui gli individui apprezzano la loro privacy e le misure che intraprenderanno per proteggerla.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CONTROLLO GIUDIZIARIO E MOGC – Con sentenza n. 11326 dello scorso 16 marzo la Suprema Corte di Cassazione ha stabilito che l’adozione ex post di un Modello di organizzazione, gestione e controllo previsto dal Decreto 231 e di misure self cleaning finalizzate a evitare future infiltrazioni mafiose non sono sufficienti ai fini dell’ammissione di una società – già destinataria di una interdittiva antimafia – al controllo giudiziario, così respingendo la richiesta. In particolare, secondo gli Ermellini, “il ravvisato rapporto di stabile agevolazione che la società (…) ha intessuto con le cosche mafiose (…) non permette di formulare (…) una prognosi favorevole di bonifica e radicale risanamento” (estratto dalla nota di Aodv231).

AUTONOMIA RESPONSABILITÀ DELL’ENTE – La Suprema Corte di Cassazione si è recentemente pronunciata circa la possibilità che un ente possa richiedere e ottenere una revisione della sentenza di patteggiamento emessa a suo carico, nel caso particolare la persona fisica imputata sia stata assolta dal reato-presupposto. Con la sentenza n.10143 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) i Giudici hanno stabilito che una revisione della sentenza avente ad oggetto la responsabilità dell’ente connessa all’assoluzione della persona fisica imputata può discendere solo dalla “negazione del fatto storico, e non anche dalla mancata individuazione del suo autore”. Più in particolare, gli Ermellini hanno chiaramente sottolineato che “la responsabilità dell’ente sussiste anche quando l’autore del reato non è stato identificato”.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TASK FORCE DMA – La Commissione europea ha istituito il gruppo di lavoro che fornirà consulenza per garantire una corretta applicazione del Digital Markets Act (“DMA”), il regolamento sui mercati digitali entrato in vigore il 1 novembre 2022 a cui gli Stati membri dovranno adeguarsi a partire dal 2 maggio 2023. Il gruppo fornirà alla Commissione europea consulenza e competenze tecniche per garantire che Il DMA e altri regolamenti applicabili ai gatekeeper siano attuati in modo coerente. Il gruppo di lavoro potrà anche fornire supporto nelle indagini di mercato su servizi e pratiche emergenti, per contribuire a garantire che le regole siano applicate in modo armonico e che possano resistere nel tempo. Il gruppo di lavoro avrà un mandato di due anni e si riunirà almeno una volta all’anno.

CYBERSECURITY – L’ENISA (Agenzia per la Cybersicurezza dell’UE) ha annunciato lo scorso 19 marzo il lancio di una nuova piattaforma il cui obiettivo è promuovere e diffondere informazioni sui sistemi di certificazione UE in materia di cybersicurezza. Più in particolare, la piattaforma consentirà agli utenti di condividere informazioni sugli schemi di certificazioni attualmente in fase di sviluppo, tra cui anche l’EUCS (Cybersecurity Certification Scheme for Cloud Servies). 

AGGIORNAMENTO LINEE GUIDA – Il Consiglio europeo per i pagamenti (EPC) ha recentemente annunciato di aver pubblicato un aggiornamento delle sue “Guidelines on Cryptographic Algorithms Usage and Key Management”. La Commissione ha specificato che all’interno della nuova versione di Linee guida sono disponibili, tra le altre cose, anche aggiornamenti relativi al calcolo quantistico e alle tecnologie di registro distribuito.

PROPOSTA DI RIPARAZIONE DEI PRODOTTI OLTRE LA GARANZIA – Riparazioni più facili ed economiche, anche oltre il periodo legale di garanzia per smartphone, tablet, pc ed elettrodomestici, per ridurre l’impatto ambientale, sostenere il Green Deal e contrastare l’obsolescenza programmata: è la proposta lanciata dalla Commissione europea nel suo nuovo disegno di legge sul diritto alla riparazione. Con le norme presentate, l’istituzione europea punta a dare ai cittadini la possibilità di rivolgersi a servizi di riparazione quando la garanzia legale dei prodotti – solitamente di due anni – sia scaduta. Saranno poi introdotti standard comuni di trasparenza su condizioni e prezzi delle riparazioni. Secondo le proposte, i produttori dovranno riparare i beni ancora in garanzia se costano lo stesso o meno di una sostituzione. I consumatori avranno anche il diritto di chiedere alle aziende di riparare i loro prodotti, se possono ancora essere riparati, entro 10 anni dall’acquisto, anche se non sono più in garanzia. La proposta dovrà ora essere negoziata fra Parlamento europeo e Stati membri, per ricevere l’approvazione.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SPAGNA – Anche la Spagna adotta una sua normativa in materia di whistleblowing. Lo scorso 13 marzo è infatti entrata in vigore la Ley 2/2023, di recepimento della Direttiva UE 2019/1937. Ai fini di una maggiore tutela del segnalante, la Spagna ha provveduto ad istituire una Autorità indipendente alla quale è stato assegnato il compito di (i) gestire i canali di segnalazione esterni e (ii) irrogare sanzioni in caso di violazioni della disciplina. 

SPAGNA/2 – L’AEPD, garante spagnolo, ha di recente sanzionato CaixaBank per trattamento illecito di dati personali. Il procedimento scaturiva dalla denuncia presentata da un cliente, il quale lamentava che CaixaBank avesse richiesto, attraverso una società di recupero crediti, il pagamento di un debito che era stato già annullato con sentenza. In particolare, dalle indagini dell’Autorità è emerso che nonostante il contratto tra le parti fosse ormai concluso, CaixaBank continuava a trattare i relativi dati del cliente, che continuava ad essere destinatario di sms che richiedevano il pagamento del debito. Per tale ragione, all’esito della propria attività ispettiva l’AEPD ha sanzionato CaixaBank con una multa di per 70 mila euro.

AUSTRIA – NOYB, l’organizzazione no profit sempre in prima linea nella lotta per la protezione dei dati personali dei cittadini europei, ha di recente reso noto che il Tribunale amministrativo federale austriaco (BVwG) ha confermato la decisione del Garante locale (DBS) in materia di accesso ai dati relativi al traffico e all’ubicazione. In particolare, è stata confermata la posizione secondo la quale la compagnia di telefonia A1 Telekom Austria avrebbe agito in maniera corretta non fornendo al reclamante i dati richiesti in quanto – anche alla luce del fatto che all’interno del contratto stipulato non era presente alcuna clausola che impedisca la cessione, anche temporanea, del dispositivo stesso – il richiedente non poteva validamente dimostrare di essere lui l’unico utilizzatore (e dunque il titolare dei dati). Non condividendo tale impostazione, che si tradurrebbe nell’impossibilità per gli interessati di accedere ai propri dati, NOYB ha già fatto sapere nel medesimo comunicato la sua intenzione di proporre reclamo avverso la decisione.

AUSTRIA/2 – L’Autorità austriaca per la protezione dei dati personali ha sanzionato il Ministero delle Finanze locale che, agendo su richiesta di una commissione parlamentare, ha divulgato al pubblico e ai media notizie riguardanti i procedimenti penali a carico di un membro del Parlamento austriaco. L’interessato si è rivolto all’Autorità garante, che ha ravvisato la mancanza di una base giuridica adeguata, avendo, infatti, la divulgazione, come unico scopo quello di danneggiare l’immagine politica dell’esponente parlamentare.

BRASILE – L’ANPD, Autorità garante brasiliana, ha annunciato di aver emesso una nota tecnica in cui ha precisato i confini di applicabilità della legge nazionale in materia di protezione dei dati (LGPD). In particolare, partendo dall’assunto che per il Codice Civile l’esistenza di una persona fisica termina con la morte, l’Autorità ha chiarito che la LGPD si applica verosimilmente al solo trattamento di dati personali riferibili a persone fisiche viventi, rimanendo esclusi dall’ambito di tutela della normativa i dati delle persone decedute.

CINA – La Cyberspace Administration of China (“CAC”) ha pubblicato, il 23 marzo 2023, le procedure per il controllo amministrativo delle azioni esecutive per le violazioni della normativa applicabile in materia di protezione dei dati e sicurezza. Le procedure stabiliscono i passaggi per le indagini e la raccolta delle prove da parte dei dipartimenti di sicurezza informatica e informazione, e le diverse situazioni per la gestione delle violazioni delle norme sulla protezione dei dati e sulla sicurezza. Inoltre, le disposizioni ricordano che, prima dell’irrogazione di sanzioni amministrative, i servizi di sicurezza informatica e informatica devono comunicare agli interessati il loro diritto di chiedere un’audizione, e che devono effettuare tale richiesta entro cinque giorni dal ricevimento della notifica. 

UNGHERIA – Il 21 marzo 2023 l’Assemblea nazionale ungherese ha annunciato l’introduzione di un disegno di legge sulla certificazione e la supervisione della sicurezza informatica. In particolare, il disegno di legge fornisce definizioni per il servizio di cloud computing, il sistema informativo elettronico e per i test di vulnerabilità remoti. Inoltre, il progetto stabilisce norme specifiche per i fornitori di servizi operanti in settori a rischio, nonché per i sistemi informativi elettronici dei fornitori di servizi e delle organizzazioni operanti in settori a rischio in determinate circostanze, specificate negli allegati. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Kym Ellis grazie a Unsplash.

News #11/2023: in Europa si discute di AI, Facebook Pixel e DPO, mentre in Iowa arriva la privacy

LE PRINCIPALI NEWS DELLA SETTIMANA

  • l’EDPB avvia una “task force” sul ruolo dei DPO
  • il Pixel di Facebook (Meta) è “illegale” come Google Analytics
  • l’AI ACT avanza insieme al Data Act: altre leggi in arrivo
  • META contro SIAE: una battaglia dolorosa
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Continuando con il filone degli esperti stranieri che si occupano di data protection, questa settimana consigliamo il follow ad un profilo “misterioso”, Mr. George M, che propone sempre spunti molto interessanti soprattutto in materia di compliance organizzativa.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Heard It Through The Grapevine – Marvin Gaye (1967)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

EDPB – Il 15 marzo, il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato la propria azione coordinata con la quale, al fine di valutare se i Data Protection Officer (“DPO”) detengono effettivamente, all’interno delle rispettive organizzazioni, una posizione con le caratteristiche richieste dagli articoli 37-39 del GDPR e le risorse necessarie per svolgere i propri compiti, inviterà le Autorità europee per la protezione dei dati a (i) inviare questionari ai DPO per un esercizio di accertamento dei fatti o per identificare se è giustificata un’indagine formale e (ii) avviare indagini formali. Inoltre, l’EDPB ha sottolineato che i risultati dell’iniziativa saranno analizzati in modo coordinato, e che le Autorità di protezione dei dati decideranno in merito a possibili ulteriori azioni locali di vigilanza e applicazione della normativa sulla protezione dei dati.

PIXEL META – L’Autorità austriaca per la protezione dei dati personali (DBS) ha di recente stabilito che il #pixel di tracciamento di Meta Platforms Inc viola non solo il GDPR ma anche quanto stabilito dalla Corte di Giustizia dell’Unione europea (CGUE) nella storica sentenza Schrems II. La decisione della DBS – resa pubblica proprio da NOYB, l’associazione di Max Schrems – scaturisce infatti dalle 101 denunce presentate dall’associazione contro Google Analytics, reggendosi sui medesimi presupposti: l’inevitabile trasferimento internazionale dei dati extra SEE, in particolare verso gli Stati Uniti.

NEWSLETTER GARANTE –  Pubblicata il 15 marzo l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata una società di servizi di messaggistica per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti; (ii) la sanzione ad un’azienda che, dopo l’interruzione della collaborazione con il dipendente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società; (iii) la firma di nuovi protocolli di intesa per contrastare revenge porn e cyberbullismo, con l’attenzione ad organizzare eventi che coinvolgano esperti di settore in materia di fenomeni sul web che riguardano i minori.

DATA ACT e AI ACT – Lo scorso 14 marzo nel corso di una votazione plenaria al Parlamento europeo è stata adottata la versione definitiva del #DataAct, la proposta legislativa che – come più volte specificato –  mira a (i) rimuovere tutti gli ostacoli alla libera circolazione dei dati industriali e (ii) regolare i diritti e gli obblighi delle parti coinvolte nella condivisione dei dati prodotti dal cd. Internet of Things (IoT). L’adozione di tale versione, che apre ai negoziati con la Commissione e il Consiglio,  rappresenta un passo molto importante in vista di una sua approvazione. Nella stessa giornata, Dragos Tudorache e Brando Benifei – i correlatori del Parlamento europeo – hanno condiviso una prima bozza di AI Act, nella quale vengono proposti alcuni obblighi specifici per i fornitori di cd. #GPAI, ossia sistemi di intelligenza artificiale per l’uso generale, come – ad esempio – ChatGPT). Per spunti di riflessione sul tema dell’Intelligenza Artificiale, segnaliamo anche questo interessantissimo articolo di Paolo Benanti.

BILANCIAMENTO NEL DIRITTO ALL’OBLIO – Con la sentenza n. 6806 la Suprema Corte di Cassazione si è recentemente pronunciata in materia di diritto all’oblio. I Giudici hanno in particolare stabilito che il gestore di un sito web non è tenuto a provvedere alla deindicizzazione e/o alla cancellazione di informazioni non più dotate dei caratteri di “ verità, continenza e attualità”  in assenza di una legittima ed esplicita richiesta da parte dell’interessato. Concordando con la ricostruzione del giudice di prime cure – secondo cui “la tutela del diritto all’oblio non comporta automaticamente in capo ad una testata giornalistica l’obbligo di rimozione o deindicizzazione della notizia, dal momento che il diritto del soggetto a non vedere rappresentata una versione di sé non più corrispondente alla realtà presuppone una valutazione di non attualità della notizia che non è possibile compiere se non dopo un’espressa richiesta dell’interessato” –  gli Ermellini hanno specificato che sarebbe in ogni caso oltremodo gravoso per il gestore di un archivio digitale l’onere di controllare periodicamente il superamento o la inattualità dei contenuti pubblicati. Grazie ad Agostino Imperatore per la segnalazione: nel suo post trovate il testo della sentenza.

Non è stato fornito nessun testo alternativo per questa immagine

231

DECRETO WHISTLEBLOWING – Lo scorso 9 marzo è stato approvato dal Consiglio dei Ministri il Decreto Legislativo di recepimento della Direttiva 2019/1937 (cd. Direttiva #Whistleblowing). Il Decreto – che entrerà in vigore il prossimo 15 luglio – andrà a disciplinare la protezione dei cd. “whistleblowers”, ossia i soggetti che segnalano la violazione di norme interne o europee di cui siano venuti a conoscenza in ragione della loro posizione lavorativa, pubblica o privata. Sul punto è intervenuta anche l’ANAC (Autorità Nazionale Anticorruzione, investita dal Decreto del ruolo di valutare le segnalazioni e le eventuali sanzioni amministrative da irrogare), attraverso un comunicato stampa dello scorso 10 marzo che illustra le principali novità introdotte.

SICUREZZA SUL LAVORO – Con la sentenza n. 8476 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha affrontato la questione del rapporto tra delega in materia di sicurezza sul lavoro prevista dall’art. 16 del D. Lgs. 81/08 e la delega gestoria affidata dal Consiglio di Amministrazione, di cui all’art. 2381 c.c. Chiamati a decidere sulla responsabilità di un amministratore delegato in relazione ad un incidente occorso ad un lavoratore – responsabilità, più in particolare, basata sull’assunto che la delega alla sicurezza sul lavoro conferita ad altro membro del CdA non fosse accompagnata dal potere di spesa e che, pertanto, non fosse “liberatoria” –  gli Ermellini hanno precisato che “la delega di funzioni prevista dall’art. 16 del D. Lgs. n. 81/08 presuppone un trasferimento di poteri e correlati obblighi dal datore di lavoro verso altre figure non qualificabili come tali e che non lo diventano per effetto della delega. La delega di gestione, anche quando non abbia ad oggetto la sicurezza sul lavoro, invece, in caso di strutture complesse, consente di concentrare i poteri decisionali e di spesa connessi alla funzione datoriale, che fa capo ad una pluralità di soggetti (ovvero i membri del CdA) su alcuni di essi”. I Supremi Giudici di legittimità hanno pertanto accolto il ricorso della difesa, imponendo al giudice di rinvio un approfondimento circa contenuto della delega conferita.  https://www.aodv231.it/novita/sicurezza-sul-lavoro-e-deleghe/

RIFORMA CARTABIA E COORDINAMENTO CON LA 231 – Con una recente ordinanza (consultabile gratuitamente per gli iscritti all’Associazione Aodv231), il Giudice per le indagini preliminari (GUP) di Milano ha stabilito che la nuova regola di giudizio introdotta dalla Riforma Cartabia non si applica ai processi a carico degli enti. Secondo il GUP, infatti, a fronte della modifica dell’art. 425, comma 3, per cui il giudice pronuncia sentenza di non luogo a procedere anche quando gli elementi acquisiti non consentono di formulare una ragionevole previsione di #condanna,  “il disposto dell’art. 61 D. Lgs. 231/2001 non ha subito alcuna modificazione, sicchè statuisce ancora che il giudice pronuncia sentenza di non luogo a procedere (oltre che in ipotesi specificamente enucleate con riferimento alle peculiarità del processo nei confronti dell’ente), quando gli elementi acquisiti risultano insufficienti, contraddittori o comunque non idonei a sostenere in giudizio la responsabilità dell’ente”.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

META E SIAE –  Meta ha comunicato tramite un proprio portavoce di non aver raggiunto un accordo con la Siae (“Società Italiana Autori ed Editori”) per il rinnovo della licenza sul diritto d’autore, scaduto l’anno scorso. Di conseguenza, nelle prossime 48 ore un team dedicato della piattaforma provvederà a rimuovere tutti i contenuti, video e reels recanti tracce del repertorio Siae – che rappresentano una grandissima quantità. Più che ad una questione di soldi, il mancato raggiungimento dell’accordo è stato dovuto a una sensibile differenza nell’approccio tra le due parti in causa. Dal punto di vista della Siae, infatti, non c’è stata sufficiente trasparenza nella trattativa da parte della piattaforma di Zuckerberg: Siae avrebbe infatti chiesto a Meta di quantificare i ricavi provenienti dai contenuti con «colonna sonora» tutelata da Siae, per meglio stabilire la somma necessaria a compensare autori ed editori italiani. Meta, però, non fornisce verticalizzazioni nazionali sul proprio giro d’affari. Da qui uno scontro frontale che ha portato la multinazionale alla decisione di far saltare il dialogo.

OCSE – L’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) ha recentemente pubblicato un rapporto dal titolo “Advancing accountability in AI – Governing and management risk throughout the lifecycle for trustworthy AI”. Il documento illustra come gli approcci di gestione del rischio possono permettere l’attuazione dei principi dettati dall’OCSE in materia di intelligenza artificiale, e ciò durante l’intero ciclo di vita del sistema di AI. All’interno del rapporto l’Organizzazione presenta inoltre importanti ricerche e risultati in merito alle responsabilità e ai rischi connessi ai sistemi di intelligenza artificiale, provvedendo a fornire altresì una panoramica di come i quadri di gestione del rischio e dei cicli di vita del sistema di intelligenza artificiale possono essere integrati al fine di promuovere una AI affidabile.  

REPORT ENISA – L’Agenzia dell’Unione europea per la sicurezza informatica (“ENISA”) ha annunciato la pubblicazione di due rapporti su eSIM ed Edge computing in 5G. In particolare, il primo mira a fornire una panoramica della tecnologia utilizzata, valutare le sfide per la sicurezza e proporre misure di mitigazione del rischio. Le sfide alla sicurezza includono lo scambio di eSIM, l’esaurimento della memoria, gli attacchi di memoria sottodimensionati e l’accesso illegale a informazioni sensibili da parte dei criminali informatici. Inoltre, per quanto riguarda il fog e l’edge computing nel 5G, l’ENISA ha spiegato che la tecnologia fornisce servizi di elaborazione, dati di archiviazione e applicazioni agli utenti finali, pur essendo ospitata all’edge della rete. Il report fornisce una panoramica delle tecnologie fog and edge in termini di 5G, in relazione alla loro architettura, attributi e aspetti di sicurezza.

PIRATERIA DIGITALE – Le commissioni parlamentari Cultura e Trasporti e Telecomunicazioni hanno deliberato favorevolmente sull’esame, da parte dell’assemblea legislativa, della proposta di legge contro la pirateria digitale, che sarà esaminata in Aula il 20 marzo. Saranno previste #sanzioni per oltre 15mila euro per chi detiene abusivamente opere coperte dal diritto d’autore. Più poteri saranno conferiti ad #Agcom, con l’obiettivo di fermare la riproduzione di contenuti illeciti entro poco tempo dalla notifica. Agcom che potrà intervenire con urgenza per ordinare ai prestatori di servizi, compresi i prestatori di accesso alla rete, di disabilitare l’accesso a contenuti illeciti. Lo stesso ordine potrà essere dato anche ai motori di ricerca e ai fornitori di servizi della società dell’informazione, coinvolti a qualsiasi titolo nell’accessibilità del sito web o dei servizi illegali.

GAZZETTA UFFICIALE – Pubblicato nell’edizione dello scorso 18 marzo il Decreto Legislativo di attuazione e recepimento della Direttiva 2019/2161 che prevede una migliore armonizzazione delle norme a protezione dei #diritti dei #consumatori, di cui avevamo già dato conto nelle edizioni precedenti. Nella medesima edizione è stato pubblicato anche un Decreto Legge (d’urgenza) in materia di strumenti finanziari digitali, che riguarda l’emissione e la loro circolazione, oltre che alcune norme di organizzazione.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA / IOWA – Dopo l’ok del Senato locale, è stato definitivamente approvato dalla Camera (con voto unanime!) il disegno di legge in materia di protezione dei dati dei consumatori dello Stato dell’Iowa. In caso di approvazione finale da parte del Governo dello Stato, il documento andrebbe a costituire la sesta normativa completa in materia di privacy degli Stati Uniti. Da una comparazione con le altre normative US si evince tuttavia che la bozza, oltre a fissare in 90 giorni il termine per fornire un feedback alle richieste degli interessati, non contiene (i) una definizione di dati sensibili, (ii) la previsione del diritto del consumatore alla correzione dei propri dati, nè (iii) la previsione di valutazioni d’impatto sui diritti e le libertà dei consumatori (DPIA). 

COSTA RICA – il disegno di legge n. 23097 sulla protezione dei dati personali è stato presentato all’assemblea legislativa del Costa Rica. La proposta mira a vietare il trattamento di dati personali (“particolari”, come definiti dalla normativa europea) che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche e l’appartenenza sindacale, nonché il trattamento di dati genetici, biometrici, relativi alla salute o alla vita sessuale. Vengono introdotti i principali diritti degli interessati, quali il diritto di accesso, rettifica, cancellazione e portabilità dei dati, nonché il diritto di rinunciare al trattamento. Sono anche definiti i principi del trattamento dei dati, tra i quali, accuratezza, legittimità, equità, trasparenza, proporzionalità, responsabilità, sicurezza e riservatezza. 

AUSTRALIA – L’Ufficio dell’Australian Information Commissioner (“OAIC”) ha pubblicato un comunicato stampa in cui ha accolto con favore la decisione dell’Alta Corte australiana di revocare il permesso speciale di Facebook Inc. di appellarsi all’Alta Corte, consentendo il rinvio del procedimento al Tribunale federale. In particolare, l’OAIC ha evidenziato che il procedimento in questione mira ad irrogare sanzioni civili nei confronti di Facebook Ireland e Facebook Inc. per lo scandalo Cambridge Analytica, che ora proseguirà davanti alla Corte Federale. A questo proposito, l’OAIC ha osservato di aver avviato un procedimento contro Facebook, con sede negli Stati Uniti, il 9 marzo 2020, sostenendo che la piattaforma di social media abbia commesso gravi e ripetute interferenze in violazione della legge australiana sulla privacy.

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) ha annunciato la pubblicazione di una nuova guida (“Privacy in the product design lifecycle”) per aiutare i progettisti, i product manager e gli ingegneri dei software a integrare la protezione dei dati nei loro prodotti e servizi fin dall’inizio. Inoltre, la guida affronta le principali considerazioni sulla privacy per ogni fase della progettazione del prodotto. L’ICO ha osservato che la guida, scritta insieme a diversi tecnici di lavoro, offre maggiore certezza su ciò che le organizzazioni potrebbero fare per affrontare i problemi di privacy nel ciclo di vita del prodotto.

REGNO UNITO/2 – L’Information Commissioner’s Office (“ICO”) ha pubblicato un comunicato stampa per annunciare un aggiornamento della propria guida su AI e Data Protection, a seguito dei rilievi e commenti ricevuti dall’industria del settore e dagli esperti in materia privacy.

NORVEGIA – L’autorità norvegese per la protezione dei dati (“Datatilsynet”) ha pubblicato un post sul proprio sito contenente un estratto del discorso tenuto al Parlamento europeo e incentrato sull’intelligenza artificiale. In particolare, il post sul blog sottolinea che, sebbene molte delle tecnologie di intelligenza artificiale abbiano un impatto positivo, dovrebbero essere gestite con cura, poiché a volte possono avere conseguenze negative di vasta portata, in particolare per i diritti e le libertà fondamentali delle persone. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Austin Goode grazie a Unsplash.

News #10/2023: l’anno peggiore di sempre per la cybersecurity, mentre arriva l’AI per tutti


LE PRINCIPALI NEWS DELLA SETTIMANA

  • il Consiglio d’Europa approva le “sue” Clausole Contrattuali Tipo, collegate alla #Convenzione 108+
  • il Parlamento UE si muove sulla #Identità #Digitale del futuro
  • Novità in materia di AI e “AI Act” a livello europeo: scelta la #definizione
  • approvato (finalmente) dal CdM il Decreto #Whistleblowing
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • non solo esperto privacy, non solo iper-certificato IAPP, Jamal Ahmed opera soprattutto come mentore di professionisti nel settore della data protection, oltre a essere host di un podcast di grande successo, offrendo quotidianamente indicazioni su novità e sfide da affrontare nel lavoro.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Rosanna – Toto (1982)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

CLAUSOLE CONTRATTUALI TIPO E CONVENZIONE 108+ – Il Consiglio d’Europa ha pubblicato una versione rivista di Clausole contrattuali tipo (“SCC”) per il trasferimento di dati personali da Titolare a Titolare, ai sensi del Protocollo di modifica della Convenzione per la protezione delle persone fisiche con riguardo al trattamento dei dati personali (“Convenzione 108+”). In particolare, la bozza riveduta di SCC include nuove definizioni, anche per i termini “violazione dei dati”, “esportatore di dati” e “importatore di dati”, e modifica alcune clausole esistenti relative a (i) due diligence e cooperazione tra l’importatore e l’esportatore di dati, (ii) sicurezza dei dati, (iii) trasferimenti successivi e (iv) ricorsi per gli interessati.

RAPPORTO CLUSIT – Il 2022 è stato l’anno peggiore da sempre per la cybersecurity, stando ai dati che emergono dal Rapporto Clusit 2023 illustrato in anteprima da Clusit – Associazione italiana per la sicurezza informatica –  in vista della presentazione ufficiale in programma all’apertura di Security Summit, a Milano dal 14 al 16 marzo. Secondo i ricercatori di Clusit, il processo di rapida adozione e messa in campo di strumenti cyber-offensivi sofisticati sarà difficilmente reversibile, e in prospettiva potrebbe causare gravi conseguenze in un mondo già fortemente digitalizzato ma sostanzialmente impreparato ad affrontare minacce di questa natura. Dal rapporto emerge la necessità di una ulteriore evoluzione nell’approccio alla cybersecurity: occorre un aggiornamento normativo, e che si mettano in atto a tutti i livelli i processi di valutazione e gestione del rischio per il business, atti a calibrare adeguatamente gli investimenti sulla base delle reali necessità.

AI – Un gruppo di rappresentanti europei del settore industriale ha rilasciato una dichiarazione congiunta sulla proposta di Regolamento sull’intelligenza artificiale. La dichiarazione esorta il Parlamento europeo a garantire che eventuali nuovi requisiti e modifiche alla legge sull’IA siano introdotti tenendo conto della loro fattibilità tecnica, dell’impatto sulla certezza del diritto e della capacità degli sviluppatori di intelligenza artificiale, degli utilizzatori e gli utenti a conformarsi allo stesso: tutto questo mentre impazza la “corsa all’AI” da parte delle Big Tech di matrice USA, e si discute persino di quale esatta definizione attribuire all’Intelligenza Artificiale (soluzione breve: quella dell’OECD).

IDENTITÀ DIGITALE – Il 9 marzo 2023 il Parlamento europeo ha emesso un comunicato stampa in cui conferma che adotterà una posizione favorevole sulla proposta di regolamento per quanto riguarda l’istituzione di un quadro per un’identità digitale europea durante la sessione plenaria prevista di marzo, a seguito dell’adozione dell’orientamento generale da parte del Consiglio dell’Unione europea nel dicembre 2022. In particolare , il Parlamento ha osservato che la posizione adottata dalla Commissione per l’industria, la ricerca e l’energia ha evidenziato l’importanza di garantire che i sistemi nazionali funzionino tra loro, siano semplici da usare e che le persone abbiano il controllo sui propri dati personali.

ISO 27001 – Lo scorso 6 marzo Accredia ha rilasciato (come segnala Cesare Gallotti in un suo post) le regole di transizione delle certificazioni ISO/IEC 27001:2013 alla versione aggiornata dell’ottobre 2022. Interessante sottolineare che il periodo di transizione, della durata di tre anni, farà si che ogni soggetto certificato debba trasferire il proprio certificato entro il 25 novembre 2022, alternativamente durante un audit programmato o con un audit di transizione speciale.

SISTEMA DI INFORMAZIONE SCHENGEN – Il Comitato europeo per la protezione dei dati personali (“EDPB”) ha pubblicato una comunicazione per ricordare l’entrata in funzione, in data 7 marzo, del nuovo Sistema d’informazione Schengen (“SIS”). L’EDPB ha osservato che il SIS è un sistema informatico su larga scala che supporta la sicurezza interna e lo scambio di informazioni su persone e oggetti tra polizia nazionale, controllo delle frontiere, dogane, visti e, a questo proposito, l’EDPB ha spiegato che, al fine di affrontare meglio la lotta al terrorismo e alla migrazione irregolare, i regolamenti SIS esistenti sono stati modificati per includere, tra l’altro, un uso più ampio dei dati biometrici e la creazione di nuove categorie di segnalazioni. Il controllo e il monitoraggio del SIS sarà di competenza del Comitato di controllo coordinato (“CSC”), che riunisce le autorità nazionali europee per la protezione dei dati e il Garante europeo della protezione dei dati, per garantire il controllo coordinato di grandi sistemi IT su larga scala e di organi, uffici e agenzie dell’UE.

ADEGUATEZZA USA-UE – Come riporta Luiz Alberto Montezuma, è stato pubblicato un testo del Parlamento UE contenente le proposte di modifica dell’accordo noto come EU-US Data Protection Framework, che è in corso di valutazione per una “nuova” decisione di adeguatezza per il trasferimento di dati tra Europa e Stati Uniti: 92 emendamenti per renderlo più solido. Ora la palla passa alla Commissione UE che dovrà valutare i pareri (certo non molto positivi) proprio del Parlamento e dell’EDPB.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

APPROVATO IL DECRETO WHISLEBLOWING – Il Consiglio dei Ministri ha approvato il 9 marzo scorso il Decreto di attuazione della Direttiva 2019/1937 in materia di “whistleblowing”. Al momento è circolato un testo non ufficiale, mentre si attende la pubblicazione in Gazzetta per l’entrata in vigore. Da quanto si legge sul sito di ANAC, le disposizioni dovrebbero divenire efficaci dal 15 luglio 2023.

REATI AMBIENTALI – Con la sentenza n. 5576 dello scorso 9 febbraio – consultabile gratuitamente per gli iscritti all’Associazione Aodv231 – la Suprema Corte di Cassazione ha stabilito che è sufficiente la realizzazione di nuovi punti di immissione per fondare il rischio di aumento delle emissioni prodotte dall’azienda e, di conseguenza, il relativo danno e/o pericolo ambientale.

NUOVO REATO PRESUPPOSTO – Con il D. Lgs. n.19 dello scorso 3 marzo 2023 – pubblicato in Gazzetta Ufficiale il 7 marzo e recante disposizioni in materia di attuazione della Direttiva UE 2019/2121 in materia di trasformazioni, fusioni e scissioni transfrontaliere – è stato aggiunto un nuovo #reatopresupposto nel catalogo dei reati previsto dal D. Lgs. 231/2001. L’art. 55 del nuovo Decreto, infatti, interviene sull’art.25-ter in materia di #reatisocietari estendendo la punibilità dell’ente non solo in relazione agli illeciti previsti dal codice civile, ma anche a quelli previsti da “altre leggi speciali”. Con la novella è stata inoltre aggiunta una nuova lettera “s-ter” che prevede l’applicazione di sanzioni pecuniarie – da 150 a 300 quote – per il delitto di false o omesse dichiarazioni per il rilascio del certificato preliminare previsto dalla normativa attuativa della Direttiva UE 2019/2021, e cioè del documento accompagnatorio di operazioni straordinarie transfrontaliere.

QUADERNI ANTIRICICLAGGIO – È stata di recente pubblicata ad opera della Unità di Informazione Finanziaria istituita presso la Banca d’Italia la ventesima edizione dei “Quaderni dell’antiriciclaggio” dal titolo “Analisi e studi – La normativa in tema di prevenzione del riciclaggio: autorità, regole e controlli”. Il documento analizzare in maniera dettagliata le regole e le prassi operative caratterizzanti il sistema di #antiriciclaggio italiano in vista della prossima riforma della disciplina europea volta a (i) armonizzare le normative nazionali dei Paesi Membri e (ii) modificare l’apparato istituzionale europeo per la prevenzione del riciclaggio e del finanziamento al terrorismo.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TWITTER/1 – Lo scorso 6 marzo l’Autorità anticorruzione turca ha annunciato di aver multato Twitter per non aver richiesto la preventiva autorizzazione all’acquisizione da parte di Elon Musk, contravvenendo in tal modo alle regole di concorrenza locali. L’importo della sanzione è rappresentato dallo 0,1% del fatturato lordo conseguito in Turchia nell 2022. Twitter dispone ora di 60 giorni per impugnare tale decisione dinanzi al Tribunale amministrativo di Ankara.

TWITTER/2 – La bufera causata dagli ennesimi licenziamenti attuati in casa Twitter ha recentemente un danno d’immagine collaterale per il patron di Tesla, Elon Musk. Haraldur “Halli” Thorleiffson ha infatti reso pubblico sui social che, all’indomani della notizia dei licenziamenti, per ben 9 giorni non è stato in grado di comprendere se fosse ancora o meno un dipendente del social. Attraverso il suo account Halli, seguito da oltre 130mila persone, ha allora chiesto spiegazioni direttamente a Musk. La risposta e il successivo thread, naturalmente a colpi di tweet, si sono rivelati a dir poco agghiaccianti: Musk ha deriso infatti il suo ex dipendente affermando di non avere particolare rispetto per lui, e che lo stesso “non lavorava davvero”, a detta di Musk, a causa di una finta disabilità. Di fronte ad una tale insensibilità, Thorleiffson ha pertanto deciso di sbugiardare pubblicamente il suo ex capo, rendendo pubblica la propria condizione di salute, caratterizzata da oltre venti anni da distrofia muscolare – malattia degenerativa che lo ha costretto alla sedia a rotelle e che certamente gli impone alcune pause – ma che non gli impedisce in ogni caso di adempiere alle proprie prestazioni.

8 MARZO DIGITALE – In occasione della giornata internazionale per i diritti delle donne, vengono richiamate dalla Commissione le decisioni che l’Unione europea ha preso per garantire alle donne le stesse opportunità degli uomini, tra le quali, ad esempio, le nuove norme Unione europea sull’equilibrio di genere nei consigli di amministrazione delle società o sulla trasparenza delle retribuzioni, si evidenzia la Commissione europea. Attraverso la Strategia digitale e Crescita sostenibile, l’Unione europea punta a garantire alle donne un accesso paritario al potenziale non sfruttato delle tecnologie digitali. La Presidente della Commissione europea ha dichiarato che nel 2023 gli investimenti nell’istruzione e nella formazione delle donne e delle ragazze dovranno avere un ruolo fondamentale per migliorare la posizione delle donne in tutti i campi e per colmare il divario retributivo di genere. 

TELEMEDICINA – È stato firmato, alla presenza del ministro della Salute, il contratto per implementare una Piattaforma nazionale di telemedicina, avente ad oggetto l’affidamento in concessione della progettazione, realizzazione e gestione dei Servizi abilitanti della Piattaforma, in linea con gli obiettivi strategici del PNRR. Grazie al progetto, i professionisti sanitari potranno disporre di nuovi strumenti per operare efficacemente in ogni situazione individuale e multi-disciplinare, migliorando l’accessibilità dei pazienti alle cure e alle prestazioni sanitarie. La Piattaforma Nazionale di Telemedicina punta a mettere in comunicazione l’Amministrazione sanitaria centrale con le Amministrazioni locali, con l’obiettivo di abilitare la governance e il monitoraggio centralizzato dei processi di telemedicina attuati a livello regionale. La linea guida di fondo è che il valore fondamentale della telemedicina risiede nella capacità di raggiungere la persona, favorendone non solo la cura ma anche il mantenimento in salute attraverso l’organizzazione di servizi inclusivi e sostenibili. In questa prospettiva, la Piattaforma avrà l’obiettivo di favorire l’implementazione omogenea dei percorsi di telemedicina su tutto il territorio nazionale, ottimizzando la deospedalizzazione e potenziando la qualità delle cure di prossimità, tendendo a colmare  il divario e le disparità territoriali in termini di offerta sanitaria e migliorando la qualità clinica e l’accessibilità ai servizi su tutto il territorio nazionale.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SVIZZERA – L’Ufficio federale di giustizia ha pubblicato delle F.A.Q. in materia di protezione dei dati che, in particolare, forniscono maggiori informazioni in merito alla nuova legge federale in materia di privacy (la riveduta LPD, o “nLPD”).

NORVEGIA – Datatilsynet, Autorità garante norvegese, ha recentemente annunciato di aver emesso una decisione preliminare in merito all’utilizzo di Google Analytics da parte di una società locale, il cui sito web rientrava tra quelli denunciati da NOYB.  All’esito dell’attività istruttoria condotta, l’Autorità ha stabilito che l’uso di GA da parte della società era contrastante con le disposizioni dettate dal GDPR in materia di trasferimenti internazionali. L’analisi, in particolare, è stata condotta con riguardo alla versione GA3, ma l’Autorità ha sottolineato che la nuova versione di tale strumento – GA4, appunto – non sempre corregge i problemi individuati col suo predecessore. Le parti interessate dispongono ora di 3 settimane per riferire le proprie osservazioni all’Autorità.

USA – E’ stata presentata al Senato degli Stati Uniti la legge sulla privacy per la difesa dei dati sulla salute e sulla posizione online (“UPHOLD”). Tale legislazione amplierebbe le protezioni per la privacy dei dati sanitari personali degli americani, impedendo alle aziende di trarre profitto dai dati sanitari di identificazione personale per scopi pubblicitari. Inoltre, l’UPHOLD Privacy Act consentirebbe ai consumatori un maggiore accesso alle informazioni sulla salute personale, limitando la capacità delle aziende di raccogliere o utilizzare informazioni sulla salute personale senza il consenso dell’utente e vietando ai broker di dati di vendere dati sulla posizione.

USA (CALIFORNIA) – Presentata il 6 marzo scorso una versione emendata del California Consumer Privacy Act che introduce maggiori tutele e diritti (per i “soli” consumatori) in ambito di dati sensibili – per il GDPR, “particolari” – come riporta DataGuidance. La modifica introduce espressamente i dati relativi alla condizione di cittadino e/o immigrato al catalogo dei dati sensibili protetti dalla normativa californiana, di cui è necessario tenere conto nella gestione dei business che hanno effetto in quello Stato americano.

GERMANIA –  E’ stata pubblicata la decisione della Camera degli Appalti n. VK2-114/22 che ha dichiarato che una società non può essere esclusa da un’offerta di appalto a causa di possibili violazioni del GDPR, relative all’utilizzo di una filiale tedesca di una società statunitense come Responsabile del trattamento dei dati. In particolare, la Camera degli Appalti ha rilevato che il contenzioso tra i soggetti è sorto nell’ambito di una gara per la fornitura di servizi, e che l’aggiudicazione dell’offerta e i documenti contrattuali prevedevano precisi requisiti in relazione alla protezione dei dati. La Camera degli Appalti ha stabilito che l’offerta della società non poteva essere squalificata per possibili violazioni del GDPR, e ha ritenuto che avere una società madre statunitense per un Responsabile del trattamento dei dati tedesco non fosse un motivo valido per presumere trasferimenti illeciti di dati negli Stati Uniti.

REPUBBLICA CECA – L’Ufficio per la protezione dei dati personali (UOOU) ha pubblicato lo scorso 7 marzo delle F.A.Q. in materia di cookie bar e consenso. L’Autorità locale ha, più in particolare, osservato che i cookie rappresentano nella gran parte dei casi un vero e proprio trattamento di dati personali e, di conseguenza, è necessario definire con chiarezza e trasparenza quale sia il loro scopo nonché la base giuridica del relativo trattamento.

GIAPPONE – Il Ministero dell’Economia, del Commercio e dell’Industria giapponese ha pubblicato una Guida in materia di condivisione e divulgazioni delle informazioni relative ai danni causati dagli attacchi informatici. Il documento, tra le altre cose, passa in rassegna le informazioni che possono essere incluse negli annunci relativi agli attacchi e quelle che, invece, dovrebbero rimanere riservate.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina Possessed Photography grazie a Unsplash.

News #9/2023: la strada dei dati tra USA e UE è ancora lunga e complessa 

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • l’EDPB si accoda al Parlamento nel chiedere alla Commissione nuovi approfondimenti prima di dichiarare “adeguati” gli USA per il trasferimento di dati personali ai sensi del GDPR;
  • il Governo approva il recepimento della Direttiva Omnibus, con importanti impatti sulla tutela dei consumatori (anche nell’eCommerce);
  • TikTok bannata dai device dei dipendenti UE, lo faremo anche in Italia?
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • chi si interessa di trasferimenti internazionali di dati non può mancare di seguire il profilo di Luiz Alberto Montezuma, “facilitatore di spazi internazionali di dati personali”, con post quotidiani ricchi di numerosi spunti in materia.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Three O’Clock Blues – Eric Clapton & B.B. King (2000)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

EDPB SUL PROGETTO DI DPF – Lo scorso 28 febbraio l’European Data Protection Board (EDPB) ha pubblicato il parere 5/2023 in merito al progetto di esecuzione della Commissione europea sull’adeguata protezione dei dati nell’ambito del Data Protection Framework UE-USA. Nel documento l’EDPB espone diverse preoccupazioni – già evidenziate in precedenza rispetto al defunto “Privacy Shield” – soprattutto per quel che riguarda la tematica dei diritti degli interessati. Più in particolare, il Comitato si è soffermato (i) sui trattamenti decisionali automatizzati, stabilendo che vanno formulate norma più specifiche al di fornire le “garanzie sufficienti” richieste dal GDPR e (ii) sul meccanismo di ricorso, evidenziando che – nonostante i miglioramenti – rimangono ferme le preoccupazione relative all’applicazione generale della risposta standard della DPCR (Data Protection Review Court). Dopo il Parlamento, quindi, un altro parere critico e che poco aiuta la Commissione nel percorso di approvazione della decisione (eminentemente politica) riguardo all’adeguatezza degli USA per il trasferimento di dati personali.

NOYB – “None Of Your Business” – l’organizzazione no profit di Max Schrems – ha di recente annunciato di aver presentato una serie di reclami contro siti web e broker di dati in materia di diritto di accesso. In particolare, NOYB ha spiegato che alcuni utenti hanno effettuato una serie di richieste di accesso al fine di testare la gestione dell’autenticazione dei cookie, allegando alla richiesta  i cookie installati dai siti web di riferimento quale mezzo di identificazione. Secondo l’organizzazione, molte delle risposte ricevute dagli interessati non erano sufficienti e,  addirittura, in alcuni casi (i) erano stati richiesti dati ulteriori ai fini della identificazione e (ii) la richiesta di accesso era stata completamente ignorata.

CYBERCRIME –  I furti di identità in Italia sono cresciuti in modo esponenziale, ha evidenziato la Relazione sulla politica dell’informazione per la sicurezza relativa al 2022, curata dal Comparto Intelligence nella sezione dedicata alla minaccia cibernetica. La capacità di attribuzione acquisita dall’Intelligence e l’ampio ricorso da parte degli attori statuali a strumenti impiegati anche da gruppi criminali ha consentito di rilevare una sensibile crescita degli attacchi di matrice criminale. Si è confermato anche per il 2022 il ricorso da parte dei principali criminali informatici, alla registrazione di domini malevoli, ossia quelli connotati, per denominazione e caratteristiche, da un’elevata similitudine con quelli di siti istituzionali e governativi, al fine di dirottare inconsapevolmente gli utenti verso siti web compromessi. È continuata anche la ricerca delle vulnerabilità tecniche esposte dai target selezionati, funzionale a tentativi di violazione delle loro reti informatiche, nonché ad attacchi informatici. A tale contrazione ha fatto da contraltare un incremento nell’impiego di malware da parte di attori di matrice criminale.

DSA E TASSA DI VIGILANZA –  La Commissione europea ha stabilito le regole per la riscossione delle tasse sulla vigilanza per le piattaforme e i motori di ricerca online di grandi dimensioni, che verranno applicate per la prima volta nell’autunno 2023. Come previsto dal Digital Services Act (“DSA”), la Commissione può imporre una tassa ai fornitori sottoposti alla sua supervisione, risorse che serviranno a finanziare i costi sostenuti per le attività di controllo della Commissione. Il regolamento specifica infatti le procedure per il calcolo e la riscossione della tassa di vigilanza, fornisce dettagli sui costi complessivi stimati da coprire con le tasse riscosse e sulla determinazione delle singole imposte. Gli obblighi per i fornitori di servizi individuati dal DSA diventeranno applicabili quattro mesi dopo la loro designazione formale.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CRIMINALITÀ ECONOMICA – L’Ufficio Nazionale del Procuratore Finanziario francese (PNF) – operante nel settore del monitoraggio e contrasto dei reati di natura economica e finanziaria – ha emesso di recente un aggiornamento delle Linee Guida del 2019 in materia di accordi di negoziazione sull’esercizio dell’azione penale in materia di criminalità di impresa (cd. CJIP, Convention Judiciaire d’Intérêt Public). Il documento delinea una politica premiale tesa a stimolare la spontanea cooperazione tra gli enti operanti nel settore nell’ambito della quale vengono valorizzate iniziative quali l’auto-segnalazione. In caso di fallimento tali accordi di negoziazione rimangono secretati, ma in caso di esito favorevole le imprese possono ottenere concreti benefici, soprattutto in termini di ridimensionamento delle sanzioni.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

ECOMMERCE – E’ stato approvato dal Consglio dei Ministri il Decreto Legislativo di attuazione della cosiddetta “Direttiva Omnibus”, di grande rilevanza per l’impatto sulla tutela dei consumatori in particolare nell’ambito eCommerce. Come precisato dal Ministero dello Sviluppo Economico, le principali novità riguardano la #trasparenza di informazione, l’aggiornamento dei casi di #praticheingannevoli e l’aumento del regime delle #sanzioni applicabili.

TWITTER – Tornano i licenziamenti in casa Twitter. Ad essere colpiti ben 200 dipendenti, il 10% di quelli “sopravvissuti” all’ondata dello scorso autunno. La ragione di tale ridimensionamento è da ricercarsi nella “necessità” avvertita da Musk di ridurre i costi della società. Qualche stranezza, in effetti, era già nell’aria: già da una settimana il servizio di messaggistica istantanea aziendale  era stato messo offline, rendendo di fatto impossibile la comunicazione tra i dipendenti e la consultazione di dati aziendali. Alcuni dipendenti hanno poi riferito di aver avuto qualche certezza in più circa il loro imminente allontanamento lo scorso sabato, quando hanno scoperto di essere stati disconnessi dal loro account aziendale. 

AGCOM & TIKTOK – Si è espresso anche il commissario Agcom, Antonello Giacomelli, sull’ipotesi di divieto di utilizzo, all’interno della Pubblica Amministrazione, della app di TikTok negli smartphone lavorativi, che impatterebbe circa 3,2 milioni di dipendenti statali. La decisione vorrebbe porsi nel solco di quella adottata dalla Commissione Europea, che ha già imposto il divieto. Dal canto suo, la piattaforma ha ribadito che i dati degli utenti non si troverebbero in Cina, e che il governo cinese non avrebbe mai presentato alcuna richiesta di accesso ai dati.

OPEN BANKING – Uno studio pubblicato dalla Banca d’Italia (“L’open banking nel sistema dei pagamenti: evoluzione infrastrutturale, innovazione e sicurezza, prassi di vigilanza e sorveglianza”) ha rilevato che la diffusione dell’open banking sta determinando una profonda discontinuità nelle modalità di possesso e di utilizzo dei dati personali degli utenti dei servizi finanziari. In particolare, nei pagamenti, l’open banking porta a un parziale ridimensionamento del ruolo, finora esclusivo, degli intermediari presso cui i conti dei clienti sono radicati, consentendo a terze parti di effettuare il pagamento per conto del consumatore, senza la necessità che esse abbiano una relazione contrattuale con la banca. L’open banking genera una maggiore complessità tecnologica e aumenta le interconnessioni all’interno dell’industria dei pagamenti. Per questo, afferma Banca d’Italia, è necessario che le autorità pubbliche definiscano assetti regolamentari e di vigilanza in grado di fare evolvere l’intero sistema finanziario verso una maggiore efficienza e inclusività, garantendo sicurezza e affidabilità.

PREVISIONI DI CRESCITA DELL’ECONOMIA DIGITALE – L’economia digitale rappresenterà più della metà del Pil globale entro la fine del 2023, e la crescita del 5G e l’evoluzione delle tecnologie di connettività aumenteranno i benefici economici globali di circa il 15%. È quanto emerge dallo studio “Driving development: The impact of Ict investments on the digital economy” realizzato da Huawei, in collaborazione con EI Studios e Gsma Intelligence e presentato in occasione del Mobile World Congress di Barcellona. La principale conclusione a cui si giunge è che che informatica e digitalizzazione sono destinati a guidare la quarta rivoluzione industriale. Le telecomunicazioni hanno un ruolo centrale in quanto promotori dell’economia digitale, sono state determinanti nel fornire le necessarie infrastrutture di connettività e finora hanno sostenuto l’onere degli investimenti in linea con il loro ruolo di servizi pubblici. Per mantenere questa crescita sostenibile ed efficace, sarà necessario creare collaborazione e dialogo con il settore privato per creare quadri normativi di supporto e incentivare l’innovazione, entrambi aspetti essenziali per dare impulso all’economia digitale del futuro.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

IRLANDA –  L’Autorità garante irlandese (DPC) ha di recente annunciato di aver sanzionato la società Centric Health Ltd. per violazione del GDPR, in particolare delle disposizioni in materia di misure di sicurezza. Dalle indagini svolte dall’Autorità è infatti emerso che, in conseguenza di attacco hacker, era stato registrato l’accesso non autorizzato e la perdita della disponibilità di dati personali – anche particolari – di 70 mila interessati, nonché la perdita definitiva di dati di oltre 2500 pazienti. Secondo l’Autorità l’incidente di sicurezza non si sarebbe verificato se la Centric Health avesse implementato adeguate misure di sicurezza – tecniche e organizzative – tali da garantire un livello di rischio “adeguato”. Per tale motivo, la società è stata sanzionata per 460 mila euro.

DANIMARCA – L’autorità danese per la protezione dei dati (“Datatilsynet”) ha annunciato che l’agenzia danese per la sicurezza digitale ha attivato una nuova hotline per i cittadini e le imprese che necessitano di consulenza e orientamento per proteggersi da crimine informatico. In particolare, il Datatilsynet ha affermato che la hotline (i) facilita l’accesso alle di prevenzione su come i cittadini dovrebbero proteggersi dai criminali informatici, (ii) fornisce consigli e indicazioni su come proteggere una rete wireless domestica, aggiornare i programmi o proteggere i dispositivi digitali dei bambini; (iii) propone indicazioni su come un’azienda può reagire se esposta a un attacco informatico, compresi i vantaggi e gli svantaggi delle diverse azioni.

USA –  L’Electronic Privacy Information Center (“EPIC”) ha annunciato di aver presentato commenti alla Federal Communications Commission (“FCC”) in merito alla proposta per cui potrebbero essere raccolti dati sulla posizione dei telefoni cellulari per migliorare l’instradamento delle chiamate al 911. In particolare, EPIC ha sottolineato di apprezzare l’obiettivo della FCC di migliorare i tempi di risposta alle emergenze, ma anche che la proposta non tiene conto dell’incapacità dei dispositivi di salvaguardare i dati sulla posizione. 

USA / COLORADO – La bozza rivista del Colorado Privacy Act (“CPA”) è stata depositata presso il Segretario di Stato, dopo la loro pubblicazione da parte del Colorado Attorney General (“AG”) il 27 gennaio 2023. In particolare, l’ultima revisione riguarda diversi elementi del progetto di CPA, tra cui (i) l’aggiornamento di alcune definizioni, (ii) fornire nuovi esempi per i programmi di fidelizzazione, (iii) modifiche alla divulgazione e alle specifiche delle finalità, (iv) modifiche al consenso, (v) requisiti di contenuto minimo per le valutazioni sulla protezione dei dati.

USA / NEW YORK – E’ stato presentato all’Assemblea dello Stato di New York, e successivamente deferito, nella stessa data, al Comitato per la scienza e la tecnologia dell’Assemblea statale, un atto di modifica del diritto commerciale generale in relazione all’emanazione del New York Child Data Privacy and Protection act. In particolare, il disegno di legge sottolinea che ogni entità che offre un prodotto online destinato agli utenti minorenni a New York deve completare una valutazione dell’impatto sulla protezione dei dati (“DPIA”), e delinea un divieto di raccolta di dati e pubblicità digitale, in modo che nessuna entità che offre un prodotto online destinato a utenti minorenni possa raccogliere, conservare, elaborare o vendere dati personali, a meno che non sia necessario fornire tale servizio agli utenti.

SPAGNA – L’autorità catalana per la protezione dei dati (“APDCAT”) ha pubblicato, il 1° marzo 2023, una guida intitolata “Privacy by design e privacy by default: una guida per gli sviluppatori”. In particolare, l’APDCAT ha evidenziato che la guida funge da risorsa per il rispetto degli obblighi di Privacy by Design e Default ai sensi dell’articolo 25 del GDPR. Inoltre, la guida identifica una serie di misure che possono aiutare la protezione dei dati personali nelle diverse fasi del trattamento dei dati personali, tra cui la crittografia, l’anonimizzazione e la pseudonimizzazione, insieme alle tecniche per l’attuazione di tali misure.

BRASILE –  L’autorità brasiliana per la protezione dei dati (“ANPD”) ha pubblicato una risoluzione definitiva sull’applicazione delle sanzioni amministrative a seguito di consultazione pubblica. In particolare, l’ANPD ha evidenziato che la risoluzione mira a disciplinare i criteri e i parametri per le sanzioni pecuniarie e non pecuniarie che possono essere irrogate dall’ANPD. Inoltre, l’autorità ha rilevato che la delibera modificherà alcuni articoli al fine di migliorare il processo sanzionatorio amministrativo e ispettivo per fornire certezza del diritto e trasparenza.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Charles Forerunner grazie a Unsplash.

News #8/2023: linee guida EDPB, indicazioni sul DSA, Spid a rischio

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • potrebbe non rinnovarsi la convenzione di SPID, spegnendo così 33 milioni di identità digitali italiane;
  • nuova newsletter del Garante e linee guida EDPB: molto da leggere;
  • #privacynotincluded è uno studio della Mozilla Foundation su quanto le app dichiarino all’utente (male, poco, in modo opaco) sul trattamento di dati;
  • pubblicato un interessante toolbox di ENISA per armonizzare gli strumenti di risk management;
  • importante decisione della Cassazione in materia di autoriciclaggio.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Anche in onore del libro consigliato qui sotto, un profilo da seguire per la ricchezza di spunti e la personale (e competentissima) visione del mondo dei dati personali è quello di Francesco Pizzetti, professore di Diritto Costituzionale e già Presidente dell’Autorità Garante.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • A Love Supreme (Suite) – John Coltrane (1965)
Non è stato fornito nessun testo alternativo per questa immagine

IL LIBRO DELLA SETTIMANA

“LA PRIVACY NELL’ERA DIGITALE” – Il nuovo volume dal titolo “La privacy nell’era digitale”  racconta la storia dell’evoluzione di diritti e tecnologie dal 1997 al 2022, e apre una prospettiva sugli scenari futuri. Il libro ricostruisce la storia dell’Autorità Garante attraverso i discorsi dei suoi #Presidenti, dalla sua istituzione nel 1997, e ripercorre l’evoluzione di un’Autorità indipendente che, nelle parole del presidente Stanzione, “ha saputo adeguare la propria azione alle esigenze sociali emergenti e alle istanze di tutela manifestate dai cittadini”. Il libro sottolinea anche le sfide poste all’Autorità nel mondo digitale di oggi: innanzitutto quella di distinguere in rete l’interlocutore umano dall’interlocutore-macchina e la necessità di una rapida risposta della normative alla rapidissima evoluzione della tecnologia.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

IDENTITA’ DIGITALE – Il Governo ha annunciato di voler unificare i servizi di CiE e SPID in un #nuovo sistema pubblico di #identitàdigitale. Giovedì 23 febbraio, presso il Dipartimento della Trasformazione digitale, si è così svolto il primo incontro tra il sottosegretario all’Innovazione e gli esperti del tavolo tecnico nominato per valutare la fattibilità del progetto. L’intenzione del Governo è quello di #unificare i servizi esistenti di identità del cittadino in un’unica applicazione, in linea con il progetto elaborato dalla Commissione europea che mira a rendere operativo un sistema comune europeo di identità elettronica. Tuttavia, come spiega in dettaglio questo articolo di Wired, il Governo ha parallelamente deciso di non rinnovare (per ora) le #convenzioni ai gestori Spid, in scadenza il prossimo #23aprile. Problemi di costi, ma (potenzialmente) grandi problemi per tutti noi cittadini, che potremmo ritrovarci senza uno strumento molto importante per l’accesso al digitale, davvero tra pochi giorni.

COMMENTI PUBBLICI DSA – Lo scorso 17 febbraio la Commissione europea ha annunciato di aver avviato una consultazione pubblica sulle procedure di applicazione del Digital Service Act (#DSA). In particolare, il regolamento di esecuzione del DSA stabilisce che la Commissione ha il potere di ordinare ai fornitori di piattaforme o motori di ricerca molto grandi – quelli cioè che raggiungo il 10% della popolazione dell’UE o 45 milioni di utenti mensili – di (i) fornirle l’accesso a banche dati  e algoritmi e (ii) identificare le informazioni coperte dal segreto aziendale o comunque riservate. Il termine ultimo entro il quale inviare commenti è fissato al 16 marzo 2023. I commenti possono essere inviati a questo link. Ricordiamo, inoltre, che dallo scorso 17 febbraio è ufficialmente in vigore per piattaforme online e motori di ricerca l’obbligo di comunicare con cadenza semestrale un #report relativo al numero di utenti raggiunti.

TWITTER – Attraverso un post sul suo blog ufficiale Twitter ha annunciato una importantissima novità: dal prossimo 20 marzo l’autenticazione a due fattori (cd. #2FA) tramite SMS potrà essere attivata esclusivamente dagli utenti aderenti al piano #TwitterBlue, e cioè quello a pagamento. La notizia è chiaramente allarmante, dal momento che comporterà per milioni di utenti possibili rischi dal punto di vista della #sicurezza #informatica del proprio account. L’autenticazione a due fattori è infatti un livello di protezione ulteriore che si aggiunge alla password e che, attraverso un codice che solo l’utente può avere, ne rafforza l’autenticazione. Alla luce di questo imminente cambiamento il consiglio è quindi quello di affrettarsi ad attivare la doppia identificazione via app prima che sia troppo tardi. 

EVASIONE IVA DI META, FORSE – Il Nucleo di polizia economico finanziaria della Guardia di Finanza di Milano ha #contestato come omesso versamento dell’Iva un importo di 870 milioni, per gli anni che vanno dal 2015 al 2021, alla piattaforma Meta. L’indagine, attraverso un calcolo specifico sulla permuta di beni differenti, ha permesso di rilevare l’Iva non versata, che riguarda l’iscrizione degli utenti sulle diverse #piattaforme social. Tali Iscrizioni, infatti, avvengono #gratuitamente, ma con l’utente che in realtà paga una sorta di tassa, perché mette a disposizione i propri dati personali e si sottopone a una potenziale profilazione. Attraverso questo scambio, formalmente gratuito, Meta può trarre un profitto, che, in base a valutazioni giuridiche e fiscali, deve essere #tassato, secondo gli inquirenti, con l’applicazione dell’imposta sul valore aggiunto, che Meta, invece, negli anni non ha mai versato.

ARTIFACT – I creatori di Instagram hanno lanciato una nuova App, ci racconta TechCrunch: si chiama Artifact ed è un #newsfeed personalizzato che promette grande controllo su ciò che si legge e, al contempo, un supporto importante a contrastare la ormai dilagante FOMO (Fear Of Missing Out) per quanto riguarda le informazioni che circolano in rete e nel mondo iperconnesso di oggi.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

NEWSLETTER GARANTE – Pubblicata lo scorso 22 febbraio l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata Edison Energia S.p.A. per condotte illecite nei confronti degli utenti in materia di telemarketing –;(ii) fornito al Ministero della Salute un parere su uno schema di decreto in materia di accesso ai medicinali in caso di ricette transfrontaliere; (iii) adottata dall’EDPB una relazione – frutto dell’attività di 22 Autorità garanti dell’area SEE – sui risultati della sua prima azione di applicazione coordinata in materia di #cloud nelle amministrazioni pubbliche. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9857857

LINEE GUIDA EDPB – Il 24 febbraio 2023 il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato di aver adottato tre serie di linee guida nella loro versione finale, a seguito della sua 75° riunione plenaria. In particolare, le linee guida adottate dall’EDPB riguardano (i) l’interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali di cui al capo V del GDPR (Linee guida 05/2021); (ii) la Certificazione come strumento per i Trasferimenti (Linee guida 07/2022); (iii) i dark patterns nelle interfacce delle piattaforme di social media (Linee guida 03/2022). L’EDPB ha sottolineato che, a seguito di consultazione pubblica, le linee guida sono state aggiornate e sono stati aggiunti ulteriori chiarimenti, in particolare, in merito alle responsabilità del Titolare del trattamento quando l’esportatore dei dati è un Responsabile del trattamento. Nel frattempo, sempre l’EDPB ha annunciato la pubblicazione del suo programma di lavoro 2023-2024, in cui delinea priorità e strategia per il prossimo biennio, con particolare focus sulla armonizzazione del GDPR nei vari paesi UE.

ONE-STOP-SHOP – L’European Data Protection Board (EDPB) ha di recente pubblicato un documento tematico in materia di diritto di opposizione al trattamento e di cancellazione dei dati persona dal titolo “One-Stop-Shop case digest on right to object and right to erasure”. Il documento, datato 9 dicembre 2022, esamina una serie di decisioni finali prese dal registro pubblico dell’EDPB (cd. One-Stop-Shop) tra l’agosto e il novembre dello scorso anno, rendendo evidente – e anzi, sottolineando – il pregevole lavoro di collaborazione svolto dalle diverse Autorità garanti nazionali ai fini di una corretta applicazione del GDPR

UTENTI META DEL REGNO UNITO – La piattaforma Meta modificherà i propri termini di servizio e le condizioni sulla privacy per gli utenti del Regno Unito. Gli utenti britannici di Facebook, Instagram e WhatsApp manterranno i diritti sui dati ai sensi del UK GDPR, mentre l’azienda #sposterà i dati degli utenti fuori dalla giurisdizione del Regolamento. Un portavoce di Meta ha dichiarato che gli aggiornamenti, pianificati in seguito all’accordo Brexit 2020 del Regno Unito, non cambiano il modo in cui la piattaforma tratta i dati degli utenti britannici. La dichiarazione arriva proprio nel momento in cui Meta si trova ad affrontare un potenziale blackout dei servizi dell’Unione europea, in attesa di una decisione sul trasferimento dei dati da parte dell’European Data Protection Board (“EDPB”).

PRIVACYNOTINCLUDED – Uno studio dei ricercatori di Mozilla Foundation ha evidenziato come vi sia una sostanziale (e dilagante) #inconsistenza tra le “etichette” presenti ormai da tempo sul Google Play Store e quello che in realtà le App fanno con i dati personali, per almeno l’80% dei casi analizzati. Principale imputato di ciò è il Data Safety Form di Google che permette di nascondere e/o rendere opaco il trattamento di dati personali effettivamente svolto con una app.

COOPERAZIONE TRA AUTORITA’ GARANTI – La Commissione europea ha pubblicato un’iniziativa che specifica nel dettaglio le norme procedurali relative all’applicazione del GDPR da parte delle Autorità garanti. In particolare, l’iniziativa, ancora in fase di preparazione, mira a semplificare la #cooperazione tra le Autorità garanti nell’applicazione del GDPR nei casi #transfrontalieri. A tal fine, la Commissione punta ad armonizzare alcuni aspetti della procedura amministrativa che le Autorità garanti applicano nei casi transfrontalieri, con l’obiettivo di favorire il buon funzionamento dei meccanismi di cooperazione e di risoluzione delle controversie del GDPR.

TOOLBOX ENISA – E’ stato presentato dall’Agenzia ENISA il EU-Risk Management toolbox, ovvero una soluzione proposta dall’agenzia europea per affrontare i problemi di interoperabilità legati all’uso dei metodi di Risk Management per la sicurezza delle informazioni. Il #toolbox mira a facilitare l’integrazione dei vari metodi di Risk Management nell’ambiente di un’organizzazione, o tra organizzazioni diverse, e a colmare le lacune associate ai diversi approcci dei metodi. L’obiettivo è rendere gli operatori delle società e degli enti in grado di comprendere in modo allineato e omogeneo i #rischi, e di riferire alla comunità e alle autorità competenti i risultati di valutazione del rischio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

AUTORICICLAGGIO – Con sentenza n. 4855 dello scorso 3 febbraio (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che nel delitto di #autoriciclaggio non può applicarsi la causa di esclusione di punibilità di cui all’art. 648-ter.1 comma 4 – e cioè quella relativa alla mera utilizzazione o al godimento personale del denaro, dei beni o delle altre utilità provenienti da delitto – nel caso in cui “(…) per la pluralità degli acquisti effettuati e dei trasferimenti verso altri conti correnti si manifesti una evidente attività di trasformazione del denaro in altri impieghi e beni con chiaro intento speculativo effetto decettivo”.

DOLO EVENTUALE E DICHIARAZIONI INTEGRATIVE – Con la sentenza n.49427 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Cassazione si è pronunciata in materia di delitti tributari, stabilendo in particolare che (i) anche con riferimento ai delitti di cui al D. Lgs. 74/2000 il dolo specifico di evasione è compatibile con il #dolo #eventuale; (ii) ai fini della sussistenza del delitto di #dichiarazione #fraudolenta mediante uso di fatture o altri documenti per operazioni inesistenti è necessario che le fatture false siano già esistenti al momento della dichiarazione fraudolentemente presentata; (iii) la natura giuridica di tali delitti è quella di #delitti #istantanei, e che pertanto il momento del loro perfezionamento è quello della presentazione della dichiarazione annuale. 

CONTROLLO GIUDIZIARIO VOLONTARIO –  La Suprema Corte di Cassazione ha stabilito, con la sentenza n. 2156 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) che ai fini dell’ammissibilità al #controllo #giudiziario di un’impresa a rischio di infiltrazione mafiosa, sono da considerarsi presupposti equivalenti (i) l’interdittiva antimafia e (ii) il rifiuto di iscrizione alla cd. white list. Secondo i Giudici di piazza Cavour, infatti, entrambi i provvedimenti si fondano sulla “sussistenza di un pericolo di infiltrazione e/o attività agevolativa dell’impresa nei confronti della criminalità organizzata”.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

NORVEGIA – Datatilsynet, Autorità garante norvegese, ha di recente inflitto una sanzione di 10 milioni di NOK (pari a quasi 100mila euro) alla società SATS ASA per violazione delle disposizioni del GDPR, in particolare a quelle relative ai diritti degli interessati. Dei quattro reclami ricevuti, l’Autorità ha infatti constatato che la società sanzionata (i) in tre casi non aveva fornito alcun feedback alle richieste di riscontro presentate e (ii) in un caso aveva operato trasferimenti illeciti di dati personali. 

USA – La Federal Communication Commission (FCC) ha annunciato di aver sottoscritto, insieme al Procuratore Generale dello stato dell’Illinois,  un memorandum d’intesa che istituisce strutture di cooperazione e condivisione di informazioni critiche al fine di indagare su spoofing e robocall di truffa. 

REGNO UNITO – Il First-Tier Tribunal inglese si è pronunciato il 20 febbraio 2023 sull’azione dell’Information Commissioner’s Office (“ICO”), che ha ingiunto a una società locale di modificare il modo in cui gestisce i dati personali dei soggetti interessati. In particolare, l’ICO ha affermato che la sentenza del Tribunale ha supportato alcuni aspetti della decisione, pur consentendo l’appello della società in altre aree. L’ICO ha dichiarato che farà il punto sulla sentenza del Tribunale e valuterà attentamente i prossimi passi, inclusa l’opportunità di presentare ricorso.

BELGIO – La Corte d’appello di Bruxelles ha annullato la decisione dell’Autorità di protezione dei dati belga, che aveva sanzionato un Titolare del trattamento per 7.500 euro, per aver ripristinato i dati personali sul laptop di lavoro di un ex dipendente. La decisione è stata annullata perché l’Autorità di protezione dei dati non aveva sufficientemente motivato e specificato le presunte violazioni del GDPR da parte del Titolare del trattamento.

GERMANIA – Il Tribunale regionale superiore di Hamm ha respinto un ricorso e ha confermato che un centro di vaccinazione sia tenuto a pagare i danni morali per aver inviato accidentalmente i dati personali di un soggetto interessato a numerosi destinatari non autorizzati.

GERMANIA/2 – Il Commissario Federale per la Protezione dei Dati ha proibito al Governo Federale di gestire la propria pagina di Facebook in Germania. Secondo le conclusioni dell’autorità, l’Ufficio stampa federale ha violato l’obbligo di rendicontazione di cui all’articolo 5, paragrafo 2, del GDPR, gestendo la propria pagina su Facebook senza essere in grado di dimostrare la conformità ai principi per il trattamento dei dati personali di cui all’articolo 5, paragrafo 1, del GDPR.

SPAGNA – La legge n. 2/2023, del 20 febbraio, che disciplina la protezione delle persone che segnalano violazioni della normativa e la lotta alla corruzione (“Whistleblowing”) e che recepisce la direttiva sulla protezione delle persone che segnalano violazioni del diritto dell’Unione (Direttiva (UE) 2019/1937) (“la Direttiva Whistleblowing”), è stata pubblicata sulla Gazzetta Ufficiale dello Stato, a seguito della sua approvazione da parte del Senato. La legge ha lo scopo di tutelare coloro che, in ambito lavorativo o professionale, rilevano reati penali o amministrativi gravi o gravissimi e li segnalano attraverso i meccanismi ivi disciplinati. Oltre a tutelare chi segnala violazioni della Direttiva Whistleblowing, la Legge Whistleblower copre i reati penali e gli illeciti amministrativi gravi e gravissimi.

SPAGNA/2 – L’AEPD, garante spagnolo, ha recentemente pubblicato sul proprio blog un post in materia di anonimizzazione e rischio di re-identificazione. In particolare, secondo l’Autorità, i titolari del trattamento dovrebbero sempre valutare il rischio degli interessati di essere re-identificati e, se necessario, adottare misure al fine di abbattere tale rischio.

DANIMARCA – L’autorità danese per la protezione dei dati (“Datatilsynet”) ha annunciato, il 20 febbraio 2023, dopo aver emesso due decisioni in relazione all’uso dei cookie wall da parte dei siti web, la pubblicazione di linee guida sull’uso dei cookie wall. In particolare, l’Autorità garante ha affermato che le linee guida includono quattro criteri, che saranno il punto di partenza per la valutazione rispetto all’uso conforme di un cookie wall.

FRANCIA – L’autorità francese per la protezione dei dati personali (“CNIL”) ha pubblicato, il 22 febbraio 2023, un comunicato stampa in cui si affrontano gli usi e le considerazioni sulla privacy della proposta di tessera sanitaria elettronica facoltativa (“E-Carte Vitale”), che dovrebbe essere proposta a tutti fornitori di assicurazioni sanitarie entro la fine del 2025. In particolare, CNIL ha sottolineato che la E-Carte Vitale è una versione virtuale della tradizionale tessera sanitaria e sarà disponibile tramite un’app mobile. La CNIL ha precisato che la E-Carte Vitale conterrà tutte le informazioni amministrative richieste all’interno della tessera sanitaria fisica, comprese quelle relative ai rimborsi delle cure, alla copertura per i ricoveri e all’autenticazione del titolare della tessera, rilevando che nessun dato medico sarà raccolto tramite la E-Carta Vitale.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Steven Kamenar grazie a Unsplash.

News #7/2023: trasferimento di dati tra UE e USA, si riparte da zero?

Un nuovo appuntamento con la nostra #Newsletter in edizione #2023, che raccoglie le più interessanti novità degli ultimi sette giorni in ambito Privacy, 231 e Mercati Digitali, oltre a uno sguardo sulle news dal mondo.

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • il Parlamento UE “boccia” la proposta di decisione di adeguatezza della Commissione riguardo agli Stati Uniti d’America;
  • e intanto si discute della bozza di “Data Act” per i consumatori;
  • mentre l’EDPB annuncia a breve una decisione vincolante sul trasferimento dati UE-USA effettuato da Meta in base alle Clausole Contrattuali Tipo;
  • molte novità in materia di 231 e Whistleblowing;
  • la SEC USA aggiorna i propri regolamenti sul Privacy Act.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana il consiglio è di seguire Luisa Jarovsky, founder di Implement Privacy e di “The Privacy Whisperer”, che è anche una interessante newsletter su LinkedIn a tema privacy e diritti civili.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Have A Nice Day – Stereophonics (2013)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DECISIONE DI ADEGUATEZZA USA – La Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento UE ha presentato, lo scorso 14 febbraio, una bozza di mozione che invita chiaramente la Commissione UE a non proseguire con la decisione di adeguatezza nei confronti degli Stati Uniti, ritornando invece al tavolo delle trattative per far sì che l’amministrazione Biden si impegni a migliorare la situazione legislativa interna. Un duro colpo – seppur non vincolante, e che sarà votato non prima di marzo – al percorso disegnato dalla Commissione per tornare a un flusso transfrontaliero di dati personali conforme al GDPR, in attesa del parere (sempre non vincolante) che sarà emanato dal EDPB tra la primavera e l’estate.

DRAFT DATA ACT – Lo scorso 9 febbraio il Parlamento europeo ha annunciato l’adozione – da parte della commissione per l’industria, la ricerca e l’energia – della bozza di #DataAct, cioè il regolamento recante norme armonizzate in materia di accesso e uso equo dei dati personali, soprattutto da parte di consumatori. Nel suo comunicato il Parlamento ha specificato che la bozza di regolamento dovrà ora essere sottoposta al voto dell’intero Parlamento in occasione della sessione plenaria del prossimo 13-16 marzo.

PLENARIA EDPB – Nelle giornate del 14 e 15 febbraio si è tenuta la 75esima riunione plenaria del Comitato europeo per la protezione dei dati (“EDPB”). Tra gli argomenti discussi, le linee guida (i) sull’interazione tra applicazione dell’articolo 3 e le disposizioni sui trasferimenti interazioni di cui al capo V del GDPR,(ii) sulla Certificazione come strumento per i trasferimenti, (iii) sui Dark Patterns nelle interfacce delle piattaforme dei social media. Nella stessa seduta l’EDPB ha inoltre dato seguito alla sua decisione vincolante del 5 dicembre 2022 sulla questione promossa dalla Data Protection Commission in relazione a WhatsApp Ireland Limited, annunciando una decisione finale entro il 14 aprile (che potrebbe bloccare l’uso di Facebook, Instagram e WhatsApp).

FAKE NEWS E BUONE PRATICHE IN UE – I firmatari del Codice di buone pratiche sulla disinformazione del 2022, comprese tutte le principali piattaforme online (Google, Meta, Microsoft, TikTok, Twitter), hanno pubblicato per la prima volta le relazioni di riferimento sul modo in cui mettono in pratica gli impegni derivanti dal codice. Il Centro per la trasparenza garantirà la visibilità e la responsabilità degli sforzi compiuti dai firmatari per combattere la disinformazione e l’attuazione degli impegni assunti a norma del codice. Con queste relazioni di riferimento, le piattaforme forniscono informazioni e dati completi, tra i quali (i) quante entrate pubblicitarie che affluiscono agli attori della disinformazione sono state evitate; (ii) il numero o il valore degli annunci politici accettati ed etichettati o respinti; (iii) i casi di comportamenti manipolativi rilevati (ossia creazione e utilizzo di account falsi).

TOOLBOX PER IDENTITA’ DIGITALE EUROPEA –  La guida pratica (“toolbox”) pubblicata dalla Commissione europea ed elaborata dagli Stati membri rappresenta una base per progettare un pacchetto di strumenti che integrerà la proposta legislativa sull’identità digitale europea. Si tratta di un primo passo che consentirà la creazione di un quadro per l’identificazione e l’autenticazione digitale basato su standard comuni in tutta l’Unione europea. L’adozione dell’identità digitale europea ha l’obiettivo di fornire un modo sicuro e conveniente per i cittadini e le imprese europee di identificarsi, ove necessario, per accedere ai servizi digitali, in modo rapido e immediato. Gli utenti saranno in grado di archiviare e utilizzare in modo sicuro i dati per tutti i tipi di servizi, come il check-in in aeroporto, il noleggio di un’auto, l’apertura di un conto bancario o l’accesso al proprio account su grandi piattaforme online. Inoltre, l’identità digitale europea consentirà ai cittadini di archiviare credenziali, come patente di guida mobile, patenti professionali, eHealth o credenziali educative.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

WHISTLEBLOWING/1 – Lo scorso 14 febbraio le Commissioni Giustizia e Lavoro pubblico e privato della Camera dei Deputati hanno espresso – con un documento scaricabile gratuitamente per gli iscritti all’Associazione Aodv231 – il loro parere favorevole sullo schema di decreto legislativo in materia di #whistleblowing. All’interno del documento sono inoltre presenti un’osservazione di carattere generale – consistente in un invito a restringere l’ambito di operatività della bozza di decreto alle sole violazioni del diritto europeo – e nove osservazioni di carattere “particolare”, tra cui (i) il suggerimento di prevedere un esonero all’obbligo di istituire un canale interno di segnalazione per le realtà con meno di 50 dipendenti e (ii) istituire sanzioni per i soggetti che effettuano volontariamente segnalazioni false.

WHISTLEBLOWING/2 –  La Commissione europea ha aperto, lo scorso 15 febbraio, la procedura di infrazione per mancato recepimento della direttiva UE 2019/193 (cd. #Whistleblowing) nei confronti di otto Stati membri, tra cui l’Italia. Ciascun Paese membro, infatti, avrebbe dovuto recepire la direttiva entro il 17 dicembre 2021. In particolare, la decisione si fonda sulle risposte – a parere della Commissione “non soddisfacenti” – fornite da tali stati dopo la messa in mora disposta nel gennaio 2022.

WHISTLEBLOWING E LIBERTÀ DI ESPRESSIONE – La Corte Europea per i Diritti dell’Uomo si è recentemente pronunciata, con sentenza dello scorso 14 febbraio, sul tema del regime di tutela del segnalante. In particolare, secondo la Corte, il criterio per valutare il regime di tutela applicabile al whistleblower è la verifica dell’interesse pubblico rivestito dalla informazione diffusa. Quando, cioè, l’informazione è tale da attirare l’attenzione o preoccupare la comunità, la necessità di una sua divulgazione prevale sulla tutela della riservatezza proprio in quanto funzionale alla creazione di un dibattito su questioni di interesse pubblico.

CASSAZIONE SU REQUISITI PER RESPONSABILITA’ 231 –  Non sussiste alcuna responsabilità a carico dell’impresa, imputata di illeciti 231, per i reati commessi dai propri collaboratori, perché il coinvolgimento dell’azienda deve essere puntualmente provato dall’accusa. Anche se l’Ente non ha preventivamente adottato o efficacemente attuato il noto Modello previsto dal Decreto 231, è necessaria la prova di una precisa colpa di organizzazione per potersi configurare la responsabilità amministrativa da reato dell’Ente. Con la recente sentenza 11 gennaio 2023 n. 570 la Corte di Cassazione è tornata su uno dei punti nodali della disciplina sulla responsabilità disciplinata dal Decreto 231, effettuando da un lato la precisa ricognizione dei suoi elementi indispensabili e, dall’altro, sottolineando come essi debbano essere tutti positivamente provati in sede giudiziaria.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TWITTER/ MUSK – Elon Musk ritorna a far parlare di sè. Deluso dai risultati ottenuti nell’ultimo periodo dai suoi tweet, il CEO di Twitter ha modificato il codice dell’app in modo tale da risolvere i suoi problemi di “visibilità”. Il risultato? Migliaia e migliaia di utenti hanno segnalato di aver ricevuto nella sezione “Per te” – quella cioè gestita da un algoritmo – moltissimi tweet e risposte provenienti proprio dall’account di Musk. 

FONDO “ETCI” PER IMPRESE INNOVATIVE – La Banca europea per gli investimenti, il Fondo europeo per gli investimenti e cinque Stati membri dell’Ue, tra i quali l’Italia, hanno inaugurato la European Tech Champions Initiative (“ETCI”), un fondo da 3,75 miliardi di euro che destinerà a imprese innovative europee il capitale di crescita necessario nelle fasi avanzate del loro sviluppo. Il fondo ha l’obiettivo di consolidare i mercati del capitale di rischio per le imprese innovative in Europa, e di appianare divari esistenti nell’accesso ai finanziamenti. I leader del progetto hanno dichiarato che l’Europa può contare su solide imprese innovatrici, ma deve migliorare il contesto che consente alle imprese di fare il passaggio dallo status di start-up a quello di concorrente credibile e leader di mercato.

FURTO DI DATI – Il “Threat Intelligence Report” pubblicato il 14 febbraio dall’Osservatorio Exprivia e relativo all’ultimo quadrimestre del 2022 ha registrato un picco molto alto di minacce informatiche in Italia, con un numero di incidenti informatici e attacchi andati a buon fine pari al doppio del 2021 e oltre al quadruplo del 2020 Secondo gli esperti, ciò è stato possibile proprio per via del crescente lasso di tempo tra il momento dell’attacco e l’incidente, oltre che per le tecniche sempre più sofisticate usate dagli hacker e dalla poca consapevolezza sui rischi legati alla rete da parte di imprese e cittadini. Il settore Finance risulta tra i più colpiti dagli attacchi, dato che le aziende finanziarie, gli istituti bancari, le piattaforme di criptovalute, gestendo importanti quantità di denaro, rappresentano un obiettivo promettente per gli attaccanti.

STANDARD CERTIFICAZIONE AI NATO – Il Data and Artificial Intelligence Review Board (“DARB”) della NATO ha annunciato di aver avviato lo sviluppo di uno standard di certificazione dell’intelligenza artificiale (“AI”) di facile utilizzo. In particolare, il DARB ha sottolineato che lo standard aiuterebbe le industrie e le istituzioni di tutti i membri della NATO a garantire che i nuovi progetti di intelligenza artificiale e dati siano in linea con il diritto internazionale, nonché con le norme e i valori della NATO. Inoltre, il DARB ha precisato che lo standard dovrebbe essere completato entro la fine del 2023 e che il suo scopo è tradurre i Principi di uso responsabile della NATO, approvati nell’ottobre 2021 come parte della prima strategia di intelligenza artificiale della NATO, in controlli ed equilibri concreti in termini di governabilità, tracciabilità e affidabilità, contribuendo così a creare fiducia tra la comunità dell’innovazione, gli utenti finali operativi e il pubblico in generale.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SLOVENIA – Il Commissario per l’informazione sloveno ha recentemente annunciato la pubblicazione di linee guida in materia di organizzazione di eventi. L’organizzazione di tali iniziative, infatti, comporta inevitabilmente il trattamento di dati personali dei soggetti partecipanti partecipanti: per tale ragione è, tra le altre cose, indispensabile garantire la corretta informazione dei partecipanti in merito (i) alle categorie di dati da trattare, (ii) ai motivi per cui tale trattamento risulta necessario e (iii) ai diritti che i partecipanti possono esercitare.

PAESI BASSI – La AP, Autorità garante olandese, ha emesso lo scorso 13 febbraio un parere in materia di utilizzo dei dati personali per finalità di ricerca scientifica. Interrogata dalla Camera dei rappresentanti circa la possibilità di riutilizzo dati di vaccinazione al fine di condurre una ricerca sull’eccesso di mortalità durante la pandemia, l’Autorità ha stabilito – in via generale – che la fornitura di dati sanitari ai ricercatori è possibile e lecita  sia alla luce del GDPR che del CBS (Centraal Bureau voor de Statistiek, organizzazione ufficiale olandese responsabile per il coordinamento dei servizi statistici). L’Autorità ha tuttavia chiarito che il GDPR non si applica al trattamento dei dati sanitari delle persone decedute: per tale motivo, una volta che il soggetto titolare dei dati di vaccinazione sia morto,i dati dovranno tornare ad essere  soggetti al segreto professionale e alla riservatezza. 

GERMANIA – Il 10 febbraio 2023 il Consiglio federale (“Bundesrat”) ha annunciato la decisione di respingere il progetto di legge sulla protezione contro le denunce (“HinSchG”), a seguito della sua adozione da parte del parlamento tedesco (“Bundestag”), il 16 dicembre 2022. In particolare, il Bundesrat ha osservato che il governo federale e il Bundestag potranno convocare un comitato di mediazione per discutere un accordo con gli Stati federali.

BAVIERA – L’Autorità bavarese per la protezione dei dati (BayLfD) ha emesso una guida contenente indicazioni utili al fine di evitare violazioni di dati durante l’utilizzo di Microsoft Excel. L’Autorità, tra le altre cose, ha sottolineato l’importanza di (i) una corretta configurazione dell’applicazione, (ii) l’adozione di particolari precauzioni che riducano al minimo il rischio di divulgazione involontaria di dati personali e (iii) l’utilizzo dello strumento di revisione prima di condividere una cartella di lavoro.

AMBURGO – Interessante decisione di incostituzionalità della Corte territoriale in merito a una legge locale che consentiva l’utilizzo di un software (Palantir “Gotham”, di origine CIA) che permetteva alle forze di polizia di monitorare la “rete” di contatti di un determinato di soggetto, di fatto ponendolo sotto controllo senza necessità di imputargli un effettivo reato.

OMAN – Lo scorso 13 febbraio è entrato in vigore il Regio Decreto n.6/2022, di promulgazione del “Codice in materia di protezione dei dati personali”. Con i suoi 32 articoli, il Codice  allinea il sistema legislativo nazionale con le altre normative globali in materia di privacy. 

USA – La Securities and Exchange Commission (“SEC”) ha annunciato, il 14 febbraio 2023, di aver proposto una norma finalizzata a rivedere i regolamenti della SEC ai sensi del Privacy Act del 1974, dato che le norme attuali prevedono procedure per la presentazione delle richieste ai sensi della legge sulla privacy, comprese le richieste di accesso e modifica dei registri relativi alla persona che effettua la richiesta, e che le revisioni chiariranno, aggiorneranno e semplificheranno il linguaggio di diverse disposizioni procedurali.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Cristofer Maximilian grazie a Unsplash.

News #5/2023: enforcement privacy in UE, Metaverso e DSA nelle news di questa settimana

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • la Slovenia è l’ultimo stato UE (dopo quasi 5 anni) a implementare il GDPR;
  • arriveranno report su come va l’enforcement privacy in UE;
  • il Metaverso secondo il Garante italiano;
  • in ascesa (seppur di poco) l’Italia nel Corruption Index pubblicato online.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • un gruppo di professionisti che ci informano di aspetti molto interessanti e li approfondiscono è Italian Privacy & Cybersecurity Think Tank, che consigliamo di seguire anche iscrivendosi alla newsletter settimanale, oltre al canale Telegram con cui restare sempre aggiornati.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Superman (It’s Not Easy) – Five For Fighting (2000)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

SLOVENIA & GDPR – Dopo numerosi solleciti da parte della Commissione UE, finalmente la Slovenia ha adottato (il 27 dicembre 2022) la legge di implementazione del Regolamento Europeo 2016/679, che è ora entrata in vigore. Sono stati ora fatti alcuni lievi cambiamenti, tramite la legge nota come ZVOP-2, in particolare con riferimento a dati biometrici, regime del DPO e requisiti specifici per l’esecuzione della DPIA. Con questo passo, ora tutti gli Stati membri hanno implementato il Regolamento (come doveva avvenire nel 2018).

ENFORCEMENT IN UE – Come sta andando l’enforcement in materia privacy nell’Unione Europea? Se lo sta chiedendo la Commissione UE, e la risposta sembra essere “non benissimo, e non in modo uniforme”. Per ovviare alle divergenze di opinioni e approcci, che in alcuni casi (vedi Irlanda) portano a veri e propri scontri pubblici, la Commissione – in risposta all’Ombudsman UE a seguito di una segnalazione dell’ICCL – ha confermato che richiederà a ciascuna Autorità nazionale di fornire un report bimestrale. All’interno di esso – strettamente confidenziale, quindi purtroppo non li vedremo probabilmente mai – saranno indicate una serie di informazioni utili a tenere monitorata la situazione in Europa. Non ci resta che attendere il secondo report della Commissione UE sull’applicazione del GDPR per avere maggiori informazioni: ma già questa notizia fa ben sperare per un maggiore coordinamento tra Autorità nazionali – sia in ambito di sanzioni che di linee guida.

GARANTE PRIVACY SU METAVERSO – Nella 17° giornata europea della protezione dei dati personali, il Garante italiano ha messo in luce i rischi e le opportunità della nuova tecnologia. In linea con l’obiettivo dell’evento, l’intervento del Garante italiano ha approfondito le problematiche legate all’impatto che il Metaverso, definito un nuovo “habitat” digitale, avrà sulle relazioni sociali e sui comportamenti dei singoli, sulle loro libertà e diritti, così come sui processi decisionali della società.

GUIDA SUL DSA PER LE PIATTAFORME ONLINE – la Commissione europea ha annunciato di aver pubblicato una guida per aiutare le piattaforme online e i motori di ricerca che rientrano nell’ambito di applicazione della legge sui servizi digitali (“DSA”) a conformarsi all’obbligo di comunicare il numero di utenti nell’Unione europea, da ottemperare al più tardi entro il 17 febbraio 2023 e successivamente almeno ogni sei mesi.

INFOGRAFICA EDPB –  Il garante europeo della protezione dei dati (“EDPB”) ha pubblicato un’infografica sui principali tipi di reclami e di consultazioni trattati nel 2022. In particolare, l’infografica del GEPD evidenzia che le più frequenti #consultazioni hanno riguardato (i) il concetto di titolare del trattamento, contitolare e responsabile; (ii) i trasferimenti internazionali di dati; (iii) norme interne sulla protezione dei dati. Inoltre, l’infografica dell’EDPB ha illustrato che i #reclami ricevuti nel 2022 hanno riguardato principalmente (i) il diritto di accesso dei soggetti interessati; (ii) il diritto alla cancellazione e (iii) la raccolta adeguata e proporzionata di dati personali.

Non è stato fornito nessun testo alternativo per questa immagine
Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CORRUPTION PERCEPTION INDEX – Transparency International – l’associazione non governativa che si occupa di corruzione a livello internazionale – ha pubblicato lo scorso 31 gennaio il Corruption Perception Index relativo all’anno 2022.  Il documento  classifica ogni anno i Paesi in base al loro livello di corruzione percepito nel settore pubblico su una scala di punteggio da 0 (massimo livello di corruzione percepita) a 100 (minimo livello). Danimarca, Nuova Zelanda e Finlandia si confermano i Paesi in cui la percezione della corruzione è minore a livello globale; in fondo alla classifica, Sud Sudan, Siria e Somalia. In ascesa l’Italia, che pur confermando il punteggio dell’anno precedente (56/100) scala in positivo di una posizione la classifica mondiale.

ODV – La Corte d’Appello di Venezia è intervenuta (con sentenza n. 3348, disponibile gratuitamente per gli iscritti all’Associazione Aodv231) in materia di effettività e autonomia dell’Organismo di Vigilanza. La vicenda, in particolare, è quella di un istituto di credito chiamato a rispondere dei reati di aggiotaggio, ostacolo all’esercizio delle funzioni delle Autorità di vigilanza e falso in prospetto. Nel confermare la condanna per l’ente (con riduzione, però, dell’ammontare della pena inflitta dalla decisione di primo grado) i giudici hanno specificato che il Modello organizzativo adottato dall’istituto di credito introduceva un OdV talmente privo di autonomia, da non costituire in concreto un vero e proprio ostacolo alla commissione dei reati-presupposto previsti dal Decreto 231.

BANCA D’ITALIA E ANTIRICICLAGGIO –  La Banca d’Italia ha rafforzato l’attività di vigilanza in materia di antiriciclaggio, e ha pubblicato sul proprio sito internet una nuova sezione dedicata (sezione “Supervisione e Normativa Antiriciclaggio”), che fornisce agli utenti  linee guida sulla normativa antiriciclaggio a livello internazionale, europeo e nazionale. Inoltre, nella sezione è presente un questionario che le banche e gli intermediari finanziari, soggetti ai poteri regolamentari e di vigilanza della Banca d’Italia, dovranno compilare per permettere la raccolta di dati a fini di statistiche e osservazioni sull’antiriciclaggio.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

CICLO DI VITA DEI PRODOTTI – L’Unione europea sta recentemente valutando la possibilità di adeguare la definizione del ciclo di vita di ciascun prodotto alle sue specifiche peculiarità e spostare le segnalazioni delle vulnerabilità a livello nazionale. Tali valutazioni sono attualmente contenute all’interno di un nuovo compromesso sul #CyberResilienceAct (la proposta legislativa dell’UE finalizzata a introdurre requisiti minimi di sicurezza informatica per l’ “Internet of Things”). Se in principio Cyber Resilience Act imponeva ad ogni produttore di garantire i prodotti immessi sul mercato per tutto il ciclo di vita del singolo prodotto o per un massimo di cinque anni, la nuova proposta – riconoscendo che ogni prodotto è diverso dall’altro e che, di conseguenza, non è possibile fissare indistintamente un ciclo di vita unico per tutti i prodotti – stabilisce che i produttori devono garantire i loro prodotti con elementi digitali “per un periodo di tempo adeguato al tipo di prodotto e alla sua durata prevista”. Per quanto riguarda le segnalazioni delle vulnerabilità, il vecchio testo individuava nell’ENISA il soggetto competente alla loro ricezione. Tuttavia, a fronte dei dubbi circa le concrete capacità dell’Agenzia europea per cybersicurezza di gestire migliaia di notifiche, è stato proposto di dirottare le segnalazioni al Computer Security Incident Response Team (CSIRT) di ciascuno stato membro. La proposta sarà ora discussa a livello tecnico, per comprenderne la fattibilità.

ARTIFACT – Dalle menti di Kevin Systrom e Mike Krieger (co-founder di Instagram) è di recente nata Artifact, una nuova app di notizie personalizzate che utilizza tecnologie di apprendimento automatico per comprendere i gusti dei suoi utenti. La logica di funzionamento di Artifact pare essere la stessa di TikTok: basterà cliccare su un articolo di proprio gradimento per vedere in futuro contenuti simili. Al momento Artifact non è ancora aperta al grande pubblico, ma esiste già una lista d’attesa che consente ai suoi iscritti di vedere il feed centrale. Intanto, nell’attesa, gli utenti beta stanno testando altre due funzionalità dell’app. 

CONSUMATORI E TARGETING POLITICO – La Commissione per il Mercato Interno e la Protezione dei Consumatori del Parlamento europeo (“IMCO”) potrebbe inasprire le norme sulla pubblicità politica per ridurre le interferenze elettorali e migliorare la trasparenza. La proposta dell’IMCO consente agli inserzionisti di utilizzare solo i dati personali espressamente forniti a fini di pubblicità politica. Ciò vieterebbe il “micro-targeting” degli elettori “sulla base del sesso, della razza, dell’orientamento sessuale o di altre caratteristiche individuali”, così come l’uso dei dati dei bambini. La proposta include anche regole per rendere più trasparenti i finanziatori dei candidati.

INVESTIMENTI PNRR PER IL DIGITALE – Il report dell’Istituto per la Competitività (“I-Com”) realizzato dalla Commissione del Parlamento europeo sullo stato d’attuazione dei Piani di ripresa e resilienza (“PNRR”) degli Stati membri in ambito digitale, mostra che l’Italia si colloca al primo posto in Europa per entità degli investimenti nel digitale legati al Pnrr. In generale, l’Italia ha impegnato una quota del 26,7% in cybersecurity, nelle reti e nelle competenze digitali delle imprese. Si rileva anche, però, che manca una visione comune dello sviluppo delle tecnologie avanzate, a partire dall’intelligenza artificiale, coerente con gli obiettivi di autonomia strategica e di competitività che l’Unione europea si sta dando.

CONTACT CENTER AS A SERVICE (“CCaaS”) – Un customer journey efficiente oggi deve essere in grado di attraversare qualsiasi canale e qualsiasi dispositivo, mantenendo costantemente il contatto con il brand e offrendo una esperienza consistente tra i diversi canali. Un’esigenza che trova risposta, grazie al cloud computing, in una nuova generazione di Contact Center as a Service, mercato che ha visto una forte accelerazione nel periodo della pandemia, perché ha permesso, in modo agile e veloce, di abilitare canali di contatto con i clienti o i cittadini. Un recente studio illustra nel dettaglio i benefici che le aziende possono ottenere con un Contact Center as a Service, tra i quali (i) la flessibilità e la scalabilità del contact center in cloud, (ii) la capacità di organizzazione per migliorare la qualità del servizio, (iii) il modello della Total Experience, (iv) la flessibilità nella pianificazione degli investimenti in CCaaS, (v) il ruolo dell’Intelligenza Artificiale nel Contact Center as a Service. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

FRANCIA – L’Autorità francese per la protezione dei dati (CNIL) ha recentemente reso noto di aver pubblicato una guida per fornire indicazioni ai recruiter in materia di trattamento dei dati personali dei candidati. La guida si compone di due sezioni: la prima contiene un richiamo ai principi generali fissati dal GDPR in materia di assunzioni, mentre la seconda contiene una serie di domande e risposte in materia di utilizzo di nuove tecnologie durante il processo di selezione dei candidati.

REPUBBLICA CECA – L’Agenzia nazionale per la sicurezza informatica e dell’informazione ceca (NÚKIB) ha di recente dichiarato di avere preparato un progetto di legge sulla sicurezza informatica in vista del recepimento della direttiva cd. NIS 2. Attualmente la bozza di legge è aperta alla consultazione pubblica fino al prossimo 26 febbraio. 

ANDORRA – L’Autorità garante di Andorra (“APDA”) ha recentemente pubblicato una linea guida in materia di valutazione di impatto (cd. DPIA) ai sensi della legge nazionale sulla protezione dei dati personali. Con tale linea guida l’APDA propone un modello di DPIA sostanzialmente equivalente allo standard europeo.

COREA DEL SUD – La Commissione per la protezione delle informazioni personali coreana (PIPC) ha annunciato di aver rilasciato la versione aggiornata delle linee guida in materia di protezione dei dati personali in materia di lavoro e occupazione. Scopo delle linee guida è migliorare il livello di protezione delle informazioni personali nel contesto lavorativo.

SINGAPORE – Lo scorso 1 febbraio è entrato in vigore l’Online Safety Bill, il disegno di legge in materia di sicurezza online. La nuova legge prevede, in particolare, che i servizi di comunicazione online devono, tra le altre cose, (i) fornire un ambiente online sicuro, (ii) dare prioritaria protezione a quelle categorie di utenti finali che, come i minori, sono maggiormente esposte al rischio di esposizione a contenuti dannosi. 

GIAPPONE – La nota società automobilistica Kitakanto Mazda Co. Ltd ha di recente reso noto di essere stata colpita da una violazione di dati personali. Secondo quanto affermato da Mazda, a causare il data breach (che ha coinvolto i dati di circa 50 mila clienti) sarebbe stato l’accesso non autorizzato da parte di terzi nei propri sistemi. La società – che ha già provveduto a segnalare la violazione alle autorità competenti – è ora impegnata a migliorare i propri sistemi di sicurezza.

USA:

  • il National Institute of Standards and Technology (“NIST”) ha pubblicato l’Artificial Intelligence Risk Management Framework (“AI RMF”), un documento di orientamento rivolto alle organizzazioni che progettano, sviluppano, distribuiscono o utilizzano sistemi di intelligenza artificiale (“AI”) per contribuire a gestire efficacemente i rischi delle tecnologie AI. In particolare, il NIST ha sottolineato che l’AI RMF è destinato ad adattarsi al panorama dell’AI insieme allo sviluppo delle tecnologie, e ad essere utilizzato dalle organizzazioni in modo che la società possa trarre vantaggio dalle tecnologie dell’IA e allo stesso tempo essere protetta dai suoi potenziali danni.
  • la Federal Trade Commission ha di recente annunciato la sua proposta di multare la GoodRx Holdings Inc per 1,5 milioni di dollari in conseguenza della divulgazione di informazioni personali sanitarie a terzi e della mancata notifica ai consumatori. Dalle indagini dell’Autorità è infatti emerso che GoodRx – società che gestisce una piattaforma sanitaria digitale che offre sconti per diversi servizi sanitari – ha condiviso le informazioni sanitarie dei suoi utenti con piattaforme come Google e Facebook (e, in quest’ultimo caso, ha anche sfruttato le informazioni condivise per indirizzare gli utenti verso campagne pubblicitarie mirate). 
  • CALIFORNIA – Rob Bonta, Procuratore generale della California, ha annunciato di aver avviato una indagine nei confronti delle aziende con app mobili che non rispettano il CCPA (California Consumer Privacy Act 2018). In particolare, l’indagine governativa si concentra su tutte le app “popolari” che (i) presumibilmente non soddisfano le richieste degli utenti di rinuncia o (ii) non prevedono alcun meccanismo che consenta ai consumatori di interrompere la vendita dei propri dati personali.
  • NEW YORK –  è stato presentato al Senato dello Stato di New York il disegno di legge nr. 2998 per un atto di modifica del diritto commerciale generale, in relazione all’istituzione della legge sulla protezione dei consumatori online. La proposta normativa prevede, tra le altre cose, che le reti pubblicitarie debbano pubblicare un avviso chiaro e ben visibile sulla home page del loro sito Web relativamente alla loro politica sulla privacy e sulle pratiche di raccolta e utilizzo dei dati. Inoltre, la bozza di testo legislativo prevede che gli editori di una pagina web dovranno, in ogni contratto con una rete pubblicitaria, pubblicare un avviso chiaro e ben visibile che descriva la raccolta e l’uso delle informazioni da parte della rete pubblicitaria.
Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Denys Nevozhai grazie a Unsplash.