News#3/2023: tra sanzione a WhatsApp e novità sui cookie, i mercati digitali sono in fermento

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • ha suscitato reazioni contrastanti la #sanzione di “soli” 5 milioni di euro inflitta dalla DPC irlandese a Meta, questa volta in relazione a #WhatsApp;
  • importanti indicazioni sui #cookie dal survey predisposto dall’EDPB;
  • si apre (forse) una questione sanità vs. algoritmi tra Regione Veneto e Garante;
  • AGCOM regolamenta l’equo compenso online per la pubblicazioni di news giornalistiche.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • grande attenzione ai temi informatici, ISO e di aggiornamento dei numerosi strumenti di compliance disponibili oggi nella newsletter mensile e nei post di Cesare Gallotti, un profilo che seguiamo con grande interesse!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Ghosts (How Can I Move On) – Muse (2022 – Will Of The People)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY & CYBERSECURITY

WHATSAPP – Il Garante irlandese (DPC) ha annunciato di aver inflitto una sanzione (DI appena 5.5 milioni di euro!) a WhatsApp Ireland Limited. A seguito di una segnalazione era infatti emerso che nel 2018 WhatsApp aveva aggiornato i propri Termini di servizio, informando i propri utenti che una loro #accettazione risultava #necessaria per continuare ad usufruire della piattaforma a seguito dell’introduzione del GDPR. Tale accettazione era stata interpretata dalla società come stipula di un #contratto, tale per cui il conseguente trattamento di dati personali degli utenti (che comprendeva anche la fornitura di profilazione per “miglioramenti del servizio”) risultava #legittimo in quanto eseguito in esecuzione di un contratto. Diversamente, il denunciante sosteneva che tale trattamento si dovesse più correttamente basarsi sul #consenso e che, di fatto, WhatsApp aveva obbligato i propri utenti ad acconsentire, pena l’inutilizzabilità del servizio – come per le precedenti sanzioni imposte di recente a carico di Meta. Con il #provvedimento conclusivo del procedimento è stato imposto a WhatsApp, oltre alla sanzione, un termine di sei mesi per rendere conformi alla normativa vigente le proprie operazioni di trattamento.

COOKIE BANNER – Il Comitato Europeo per la protezione dei dati (EDPB) ha di recente reso noto di aver adottato – nel corso della seduta plenaria di gennaio 2023 – una bozza di relazione in merito al lavoro svolto dalla sua Cookie Banner Task Force, istituita in seguito ai (molti) reclami avanzati da NOYB ai vari Garanti europei. In particolare, all’interno della relazione l’EDPB ha specificato che le diverse Autorità europee hanno raggiunto un accordo circa l’interpretazione delle disposizioni applicabili nel caso concreto, e cioè Direttiva 2002/58/CE (c.d. direttiva #ePrivacy) e Regolamento UE 2016/679 (GDPR). Tra gli argomenti trattati all’interno della relazione, (i) i pulsanti di rifiuto, (ii) i colori ingannevoli e il contrasto dei pulsanti, (iii) la classificazione dei cookie essenziali e (iv) le caselle preselezionate.

UE – DIRETTIVE NIS2 e CER – Lo scorso 16 gennaio la Commissione Europea ha annunciato con un proprio comunicato stampa l’entrata in vigore  di due direttive: (i) la Direttiva UE 2022/2557 sulla resilienza delle entità critiche (cd. Direttiva CER) e (ii) la Direttiva UE 2022/2555 recante disposizioni finalizzate a garantire un livello elevato di #cybersicurezza comune in tutti i Paesi dell’Unione (cd. Direttiva NIS2). Con particolare riferimento alla Direttiva CER, questa impone valutazioni volte a individuare i settori “critici” della società e dell’economia – ossia maggiormente esposti a rischi quali attacchi terroristici, pericoli naturali o sabotaggi – e migliorarne la resilienza. Per quanto righuarda la Direttiva NIS2, la Commissione ha reso disponibile sul proprio sito web una scheda illustrativa nonchè una serie di domande e risposte. Gli Stati membri hanno ora 21 mesi a disposizione per adeguarsi alle disposizioni dettate dalle nuove direttive.

WHISTLEBLOWING E DPIA – Un punto importante dello schema di Decreto Legislativo di recepimento della Direttiva UE 2019/1937 riguardante la #segnalazione di illeciti per contrastare fenomeni di #corruzione, sia nelle imprese private che nelle Pubbliche Amministrazioni – che l’11 gennaio scorso ha ricevuto #parerepositivo dall’Autorità Garante – è dedicato al trattamento di dati personali nei procedimenti di whistleblowing. All’art. 13 si chiariscono infatti gli adempimenti necessari per la corretta applicazione della disciplina #privacy, tra i quali, al comma 6, è previsto che gli enti debbano definire il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, “sulla base di una #valutazionediimpatto sulla protezione dei dati”. Tutti gli enti dovranno quindi attivare canali sicuri, soprattutto quando si utilizzano piattaforme online o Internet per fare in modo di garantire ai segnalatori la riservatezza sulla loro identità, necessaria ad assicurare sia il flusso di informazioni sugli illeciti, sia a #proteggere gli stessi #whistleblower da atti ritorsivi e persecutori.

REGIONE VENETO E ALGORITMI IN SANITA’ – Il Garante per la protezione dei dati personali ha recentemente annunciato di aver inviato alla Regione Veneto una richiesta formale al fine di verificare la compatibilità di una #delibera – in virtù della quale sarebbe un #algoritmo, e non più un medico di medicina generale, a scegliere la classe di priorità della prestazione sanitaria richiesta dai pazienti – con la normativa privacy vigente. La questione è particolarmente delicata, non solo perché comporterebbe un trattamento su larga scala di dati sanitari (particolari, e dunque sensibili, ai sensi dell’art. 9 GDPR), ma anche perché dalle prime informazioni in possesso dell’Autorità sembrerebbe che le valutazioni espresse dall’algoritmo non potrebbero in concreto essere #modificate da nessun medico. La Regione Veneto dispone ora di 20 giorni per comunicare all’Autorità tutti gli elementi utili ai fini della valutazione dell’Autorità, tra cui (i) il tipo di algoritmo utilizzato, (ii) la norma giuridica posta alla base del trattamento e (iii) le tipologie di informazioni e di documenti trattati. La Regione, inoltre, dovrà specificare il numero di pazienti coinvolti, le modalità attraverso le quali ha informato gli interessati e gli elementi relativi alla valutazione di impatto (DPIA) effettuata.

CASO MESSINA DENARO –  Il clamoroso arresto del boss mafioso Matteo Messina Denaro  – latitante dal 1993 e catturato lo scorso 16 gennaio a Palermo, in una clinica privata presso la quale si trovava in cura – ha scatenato una pioggia di commenti, reazioni, riflessioni e (prevedibilmente)…infiniti articoli giornalistici. Sul punto è prontamente intervenuto il Garante per la protezione dei dati personali italiani che, in un comunicato diffuso sul proprio sito web, ha ribadito ai media il rispetto del #principio di #essenzialità fissato dalle Regole deontologiche della professione giornalistica. “Anche in casi di vicende di assoluto interesse pubblico” – scrive il Garante – “riguardanti persone che si sono macchiate di crimini orribili, la #pubblicazione integrale di referti, o la diffusione di dettagli particolareggiati presenti nelle cartelle cliniche relative a patologie, non appare giustificata”. 

TASSONOMIA STRUMENTI INFORMATICI – La ACN (Agenzia per la Cybersicurezza Nazionale) ha di recente annunciato la pubblicazione in Gazzetta Ufficiale di una nuova tassonomia degli incidenti informatici che devono essere notificati al fine di rafforzare il cd. Perimetro Nazionale di Cybersicurezza. Nel suo comunicato l’Agenzia pone l’accento sull’art. 1, comma 3-bis del D.L. n.115 dello scorso 9 agosto 2022 (convertito con l. n. 142/2022) il quale impone l’obbligo di notificare all’ACN, nel termine di 72 ore, ogni incidente che (i) interessa beni informatici compresi nel Perimetro Nazionale di Cybersicurezza nonchè (ii) gli incidenti che impattano su reti, sistemi e servizi informativi non contemplati in maniera diretta nel Perimetro. La nuova #categorizzazione degli incidenti informatici entrerà in vigore il prossimo 25 gennaio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

INTERDITTIVA ANTIMAFIA E AGEVOLAZIONI PUBBLICHE – Con la sentenza n. 49124 (disponibile gratuitamente per gli iscritti all’associazione Aodv231) la Corte di Cassazione ha stabilito che il #sequestropreventivo dei fondi ottenuti da una società durante il periodo di emergenza pandemica non può fondarsi sulla #omessadichiarazione circa l’interdittiva antimafia a carico di una società diversa da quella che ottenuto il beneficio, anche se facente parte del medesimo gruppo societario. Oltre a ciò, la Corte chiarisce che – in ogni caso – l’accesso a fondi e contributi è precluso per la società destinataria di una interdittiva antimafia solamente nel momento in cui questa diventa definitiva. 

AUTONOMIA DELLA RESPONSABILITÀ DELL’ENTE –  La Corte di Cassazione è recentemente tornata ad esprimersi in materia di #autonomia della responsabilità dell’ente rispetto a quella propria del soggetto (apicale o sottoposto) autore del reato. Sul presupposto che non può essere condannata una società senza il dovuto approfondimento circa l’incidenza della c.d. colpa di organizzazione ai fini della commissione del fatto di reato, con sentenza n. 570 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) gli Ermellini hanno annullato la condanna di una società. In particolare, in conseguenza di un incidente mortale – verificatosi a causa di una non corretta edificazione di un ponteggio – l’ente era stato #condannato per l’illecito di cui all’art. 25-septies, comma 3 del Decreto 231. Secondo i giudici, tuttavia, i profili di colpa ascrivibili all’amministratore della società in quanto datore di lavoro non possono automaticamente addebitare all’ente, senza le dovute valutazioni e le necessarie prove circa la citata colpa di organizzazione.

INQUINAMENTO E AUTORIZZAZIONE INTEGRATA AMBIENTALE – Con sentenza dello scorso 10 gennaio (n. 398, consultabile gratuitamente per gli iscritti all’associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che il reato di #inquinamento ambientale non si estingue con il rilascio dell’autorizzazione di cui all’art. 29-bis del D. Lgs. 152/2006. Nel pronunciarsi, i giudici di piazza Cavour hanno chiarito che (i) la semplice effettuazione del programma necessario all’ottenimento dell’autorizzazione non è sufficiente a determinare l’estinzione del reato e (ii) il rilascio della certificazione non produce effetti sui reati già commessi.

SISTEMA DI GESTIONE DELLA SICUREZZA – La regolarità del sistema di gestione della sicurezza, secondo quanto previsto dal D. Lgs. 81/2008, non esclude la responsabilità dell’ente per i reati previsti dal Decreto 231. Lo ribadisce la Corte di Cassazione, IV sez. penale, con la sentenza 45131/2022 (disponibile gratuitamente per gli iscritti ad Aodv231).  I giudici di legittimità hanno ritenuto irrilevante la presenza, al momento dell’infortunio sul luogo di lavoro, sia di un #sistema di #gestione della sicurezza che dell’individuazione di tutti i soggetti da esso previsti. Queste misure, infatti, sono funzionali alla prevenzione degli infortuni sul lavoro, ma è il Modello 231 a determinare e rispondere alle necessità di mappare le aree maggiormente a rischio e di disporre i controll opportuni per assicurare l’adempimento degli obblighi in ambito di sicurezza sul lavoro, così da contenere il rischio di commettere reati, violando la normativa antinfortunistica. 

INDICATORE PNRR PER DEBITI COMMERCIALI – Dal 1° gennaio il rispetto dei tempi di pagamento della Pubblica Amministrazione sarà misurato da indicatori funzionali all’erogazione dei fondi del PNRR, con un #parametro elaborato grazie alla riforma sulla “Riduzione dei tempi di pagamento delle PA e del sistema sanitario”, inserita fra quelle abilitanti del Piano, che prevede il rispetto dei tempi di pagamento previsti dalla normativa nazionale ed europea entro il quarto trimestre 2023, con conferma nel 2024.

VENDITA FALSI PRODOTTI DOC – La Cassazione con la sentenza n. 47810/2022 (disponibile gratuitamente per gli iscritti al sito Aodv231) ha respinto un ricorso secondo il quale il sequestro, finalizzato alla confisca per equivalente, non poteva essere supportato dal reato associativo, strumento utile di per sé a commettere reati che, solo potenzialmente, possono portare profitto. I giudici di legittimità hanno così condannato alla misura del #sequestro preventivo delle #quote sociali – per l’illecito amministrativo previsto dalla legge 231/2001 – la cooperativa che vendeva falsi vini DOC.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

EQUO COMPENSO PER PUBBLICAZIONI ONLINE – L’Autorità Garante nelle Comunicazioni (“AGCOM”) ha approvato un regolamento sulla determinazione dell’equo compenso per l’utilizzo online delle pubblicazioni giornalistiche, in base al quale, per la #diffusione online dei #contenuti #giornalistici, le piattaforme dedicate dovranno stipulare specifici contratti con gli editori e determinare quanto della raccolta pubblicitaria proveniente da tale utilizzo debba essere corrisposta a questi ultimi. Lo scopo principale è di incentivare accordi tra editori e prestatori di servizi della società dell’informazione, comprese le imprese di media monitoring e rassegne stampa, ispirandosi alle pratiche commerciali e ai modelli di business adottati dal mercato. 

INTELLIGENZA ARTIFICIALE PER I RETAILER – Sono state lanciate sul mercato alcune tecnologie digitali funzionali ad aiutare i retailer a trasformare i loro processi di controllo degli scaffali in negozio e migliorare i loro siti di e-commerce con esperienze di acquisto online più fluide e naturali per i clienti. In particolare, è disponibile in anteprima a livello globale la nuova #soluzione di #controllo degli #scaffali basata sull’intelligenza artificiale di Google Cloud, che permette di aiutare i retailer a migliorare la disponibilità dei prodotti sugli scaffali, fornire una migliore visibilità sull’aspetto effettivo dei loro scaffali e aiutarli a capire dove sono necessari rifornimenti. L’intelligenza artificiale per il controllo degli scaffali consente ai retailer di risolvere il problema di come identificare prodotti di tutti i tipi, su larga scala, basandosi esclusivamente sul caratteristiche visive e testuali di un prodotto, e tradurre tali dati in insight fruibili.

PROGETTO EURO DIGITALE – Alla sede del Consiglio Economia e finanza a Bruxelles i ministri dell’Economia dell’Unione europea hanno discusso alcune richieste sul progetto allo studio della Banca Centrale Europea (“BCE”) sull’Euro digitale, che dovrebbe integrare il contante ed essere introdotto in un contesto di #digitalizzazione dell’economia. Secondo le aspettative, l’Euro digitale potrebbe garantire l’accesso alla moneta della BCE per gli utenti della zona euro in tempi di maggiore digitalizzazione dei #pagamenti, dovrebbe essere sicuro e resiliente, e garantire un elevato livello di privacy, essendo facile da usare e ampiamente accessibile al pubblico, anche in termini di costi per gli utenti finali.

SANITA’ DIGITALE – Il recente report di CB Insight sulla sanità digitale ha evidenziato le principali criticità riguardanti i “deserti sanitari”, cioè aree geografiche con un accesso limitato alle cure e ai servizi sanitari fondamentali, e i fattori socio-economici che di fatto limitano l’accesso alle cure, come lo scarso accesso a Internet, la scarsa alfabetizzazione sanitaria e un basso livello di istruzione. Il #report identifica i principali obiettivi della sfida tecnologica in sanità, che corrispondono anche alle #quattro #aree a maggior intensità di investimenti: (i) portare i pazienti alle cure, abbassando le barriere di accesso alle cure in ambulatorio; (ii) portare le cure al paziente, aumentando gli strumenti direct-to-consumer e favorendo l’accesso alle cure; (iii) in-store innovations, sfruttando l’hardware che trasforma i retailer in sandbox per i futuri centri di cura e (iv) il potenziamento dei software per l’accesso ai centri di cura.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SPAGNA – L’AEPD, Autorità garante spagnola, ha annunciato lo scorso 17 gennaio di aver approvato il nuovo Codice di condotta relativo al trattamento dei dati per attività pubblicitarie. Il nuovo Codice – che rivede quello inizialmente approvato il 3 novembre 2022 e che entrerà in vigore il prossimo 28 gennaio – si applicherà al trattamento di dati a fine pubblicitario, tra cui (i) comunicazioni commerciali, (ii) utilizzo di cookie per pubblicità comportamentale o profilazione e (iii) promozioni effettuate al fine di raccogliere dati personali a fini pubblicitari. Il Codice prevede inoltre un modulo online come sistema di risoluzione extragiudiziale delle controversie nell’ambito del quale AUTOCONTROL (Associazione per l’auto-regolamento della comunicazione commerciale) opererà in veste di mediatore. Si specifica, inoltre, che qualora i reclami dovessero essere inoltrati direttamente all’AEPD, questa si riserverà il diritto di deferirli al Giurì della pubblicità.

CINA – La China Academy for Information Communications Technology (“CAICT”) ha pubblicato un recente paper sulla legislazione informatica, evidenziando lo sviluppo della legislazione in materia di protezione dei dati personali nel 2022, compresa quella incentrata sui trasferimenti transfrontalieri di dati e sulla regolamentazione delle piattaforme digitali. Il CAICT ha sottolineato anche la necessità di migliorare l’attuale supervisione dei trasferimenti transfrontalieri di dati personali nelle bozze di regolamento, nonché la regolamentazione del trattamento di categorie speciali di dati personali, come i dati relativi ai minori o i dati sanitari, in base alla base giuridica stabilita dalla legge sulla protezione delle informazioni personali (“PIPL”).

DANIMARCA – Datatilsynet, Autorità garante danese, ha annunciato di aver avviato, in seguito alla segnalazione di un privato, un’indagine nei confronti della regione Jutland centrale. Il segnalante – paziente dell’ospedale universitario di Aarhus – aveva infatti denunciato l’uso da parte della struttura sanitaria del social Instagram. In particolare, l’Autorità ha riferito che sull’account social dell’ospedale era possibile ritrovare pubblicate foto dei propri pazienti, tali da rivelare informazioni personali sui pazienti interessati. Per tale ragione Datatilsynet ha inviato all’ospedale una serie di domande sull’utilizzo del social, tra le quali la base giuridica prescelta per il trattamento e i risultati delle valutazioni dei rischi e delle analisi d’impatto compiute.

REGNO UNITO – L’ICO ha recentemente manifestato alcune preoccupazioni riguardo all’utilizzo dell’intelligenza artificiale (“AI”) da parte delle autorità locali, dopo aver condotto un’indagine sullo sviluppo, lo scopo e le funzioni di algoritmi e sistemi utilizzati dalle autorità locali nel processo decisionale in merito al diritto a benefici nel sistema di welfare. L’ICO ha osservato che il coinvolgimento umano deve essere tenuto in considerazione prima che venga presa qualsiasi decisione definitiva sul diritto alle prestazioni, e che qualsiasi decisione deve considerare alcuni passaggi pratici, quali (i) adottare un approccio di protezione dei dati by design e by default; (ii) essere trasparenti su come vengono utilizzati i dati personali; (iii) identificare ogni potenziale rischio per la privacy delle persone, valutando la possibilità di condurre una valutazione dell’impatto sulla protezione dei dati (“DPIA”).

USA:

  • VIRGINIA – E’ stato approvato e aggiunto al Codice della West Virginia un articolo (HB 2460) che mira a fornire una effettiva protezione della privacy online per i minori, e delinea termini che includono informazioni su bambini, operatori, genitori e personali. L’art. HB 2460 stabilisce che gli operatori devono fornire avvisi sul sito Web di quali informazioni vengono raccolte dai bambini, di come l’operatore utilizza tali informazioni e le pratiche di divulgazione dell’operatore per tali informazioni.
  • MASSACHUSETTS – E’ Stata presentata in Massachusetts una proposta di legge sulla protezione dei dati personali, che stabilisce importanti principi in materia di protezione dei dati personali, tra i quali, che le entità interessate dalla normativa non potranno raccogliere, elaborare o trasferire dati personali, a meno che non siano limitati a ciò che è ragionevolmente necessario e proporzionato per scopi specifici. 

SANZIONI:

  • SPAGNA – L’Autorità spagnola per la protezione dei dati personali (AEPD) ha recentemente pubblicato una propria decisione nella quale ha inflitto una sanzione (50 mila euro, poi ridotta a 40 mila) alla società Endesa Energía per violazione dell’art. 32 GDPR. Chiamata ad indagare da un reclamo proposto da un privato, l’AEPD ha infatti scoperto che Endesa Energía aveva ceduto il contratto con il denunciante ad un’altra società, e ciò (i) senza raccogliere il consenso dell’interessato e (ii) senza fornire un SMS certificato idoneo a provare l’accettazione del contratto. L’Autorità ha pertanto constatato una violazione di riservatezza, in quanto la Endesa Energía ha consentito ad una entità terza di accedere ai dati di un proprio cliente senza una valida base giuridica. 
  • NORVEGIA – L’autorità garante norvegese (“Datatilsynet”) ha sanzionato una società di spedizioni e logistica per violazione dell’articolo 32 del GDPR, per aver condotto un’insufficiente valutazione dei rischi e per la mancanza di misure di sicurezza nell’utilizzo dell’applicazione MyPostNord, che utilizzava i numeri di telefono come unico mezzo di autenticazione per accedere al profilo del cliente. L’autorità garante ha affermato che l’utilizzo dei numeri di telefono come unico fattore di autenticazione e verifica avrebbe creato una violazione del principio di riservatezza, soprattutto nel caso in cui i numeri di telefono fossero assegnati a nuovi proprietari ma i profili di servizio della società non venissero aggiornati.
  • POLONIA – L’autorità garante polacca ha sanzionato uno studio legale, Titolare del trattamento, avente attività principale nella consulenza in materia di incidenti stradali. Nel corso di queste attività, il Titolare del trattamento ha interagito con potenziali clienti al fine di valutare la loro situazione giuridica e le possibilità di far valere i loro diritti, ma, prima di interagire con gli interessati, il Titolare ha chiesto verbalmente il consenso al trattamento dei loro dati personali, senza prendere nota e dare, di conseguenza, alcuna dimostrazione all’autorità dell’ottenimento legittimo di tale consenso.
Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Timon Studler grazie a Unsplash.

News #2/2023: Corte di Giustizia, EDPB, giurisprudenza italiana e AGCM, quante decisioni.

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • l’EDPB rende #pubblica la propria decisione che ha “imposto” la sanzione a #Meta;
  • la Corte di Giustizia dell’UE ha pubblicato due #decisioni molto impattanti sulla compliance aziendale, che richiedono una riorganizzazione della gestione delle istanze degli interessati;
  • novità in materia di #accessibilità dei siti web e delle app, direttamente da #AgID;
  • dalla #giurisprudenza 231 arrivano importanti indicazioni in materia di confisca e infortuni sul lavoro;
  • importante sanzione #AGCM a Yoox.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • spunti e approfondimenti, sempre attuali, delle principali novità in materia privacy e data protection sul profilo LinkedIn di data TENET®, che seguiamo attentamente anche noi in Project:IN per non perderci mai una news!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Slow Dancing in a Burning Room – John Mayer (2006 – “Continuum”)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DECISIONE VINCOLANTE EDPB SU META –  Lo scorso 12 gennaio il Comitato europeo per la protezione dei dati personali (EDPB) ha annunciato di aver pubblicato le sue decisioni vincolanti nell’ambito delle controversie promosse dal Garante irlandese contro Meta in relazione ai servizi Instagram Facebook.  Le decisioni, adottate ex art. 65 GDPR, costituiscono il risultato di una serie di indagini e valutazioni condotte dall’EDPB – e recepite dalla DPC irlandese all’interno del suo provvedimento dello scorso 31 dicembre 2022 –  circa la trasparenza e la liceità del trattamento relativo alla pubblicità comportamentale attuata dalle due piattaforme. All’appello manca ora soltanto la decisione vincolante relativa a WhatsApp, che arriverà non appena il Garante irlandese avrà pubblicato la propria decisione a riguardo.

I RICORSI SECONDO LA CGUE… – La Corte di Giustizia dell’Unione europea (CGUE) ha emesso una sentenza in materia di ricorsi amministrativi e civili previsti dal GDPR. La questione aveva preso le mosse da un ricorso amministrativo presentato all’Alta Corte di Budapest da un individuo il quale, avendo preso parte ad una riunione della società NAIH e avendo esercitato il diritto di accesso alle registrazioni della seduta, si era visto consegnare soltanto gli estratti che riproducevano i suoi interventi. Il soggetto, inoltre, aveva contestualmente avviato avverso la decisione della società anche un procedimento in sede civile, basata sul diritto sancito dal GDPR  di proporre ricorso giurisdizionale in caso di violazione dei diritti in esso stabiliti. Interpellata circa la possibilità che uno dei due rimedi abbia prevalenza sull’altro – soprattutto al fine evitare contrasti tra giudicati – la CGUE ha chiarito che il GDPR non prevede alcuna gerarchia tra i rimedi amministrativi e civili, sottolineando che è demandato ai singoli stati membri il compito di garantire che il concorso dei rimedi attribuiti agli interessati non mettano in dubbio l’effettività e la tutela dei loro diritti.

… E L’ESERCIZIO DEI DIRITTI SECONDO LA CGUE – In un’altra importante decisione della scorsa settimana, la Corte ha stabilito che un interessato ha #diritto a conoscere tutti (nessuno escluso!) i destinatari dei propri dati personali, a cui un titolare oggetto di istanza di accesso ha trasferito tali informazioni. Non è sufficiente, secondo la Corte, l’indicazione delle (sole) categorie di destinatari, ma la loro elencazione analitica, salvo che sia tecnicamente impossibile o comunque di un livello di complessità molto alto, ovvero nel caso in cui la richiesta sia manifestamente infondata o eccessiva – casi molto molto rari, è utile chiarirlo subito. In sostanza, sulle istanze di accesso ai dati personali ogni azienda dovrà rivedere profondamente i propri strumenti di analisi e risposta, in tempi brevi.

TIKTOK vs. CNIL – Con il comunicato stampa dello scorso 12 gennaio, l’Autorità francese per la protezione dei dati (CNIL) ha annunciato di aver sanzionato il social network TikTok per 5 milioni di euro in ragione della violazione della ePrivacy Directive e della legge locale francese, ritenendosi direttamente e territorialmente competente a emettere tale sanzione nei confronti di due società con sede in UK e Irlanda di proprietà del colosso cinese, ritenendo non direttamente applicabile il regime di one-stop-shop di cui al GDPR.

PUBBLICAZIONE DI VIDEO DI MINORI – Eva Kaili, ex vicepresidente del Parlamento Europeo nonché una dei protagonisti dello scandalo ormai noto come #Quatargate, ha di recente ricevuto la visita della figlia (minorenne) nel carcere di Haren. La notizia, che ha fatto il giro di tutta l’Europa, è stata corredata dalla stampa online da un video nel quale si vede chiaramente la minore. La questione non è passata inosservata agli occhi del Garante italiano il quale, con un comunicato stampa diffuso lo scorso 9 gennaio, ha definito il video lesivo della personalità e dello sviluppo psico-fisico della bambina in quanto comporta la permanenza di immagini che violano riservatezza e anonimato per un tempo potenzialmente infinito. L’Autorità ha pertanto invitato gli organi di stampa e i social media ad astenersi dal diffondere tali immagini, soprattutto alla luce del fatto che il contenuto non si connette ad alcun interesse pubblico rispetto alla vicenda del Qatargate. A tal fine, il Garante richiama le regole deontologiche connesse alla professione di giornalista e la Carta di Treviso, che impone una tutela rafforzata in caso di soggetti minorenni.

PROTOCOLLO DI INTESA PER LA CYBERSECURITY –  Con il comunicato stampa del 11 gennaio, l’Agenzia Nazionale per la Cybersecurity (“ACN”) ha annunciato la firma del protocollo di intesa sulla sicurezza informatica con la Camera dei dei Deputati, che si inserisce sia in un contesto globale sempre più complesso per la cybersicurezza, sia nel percorso di trasformazione digitale avviato dalla Camera nello svolgimento della sua funzione istituzionale. In particolare, lo scambio efficace di informazioni per il potenziamento dei servizi di gestione e contenimento delle minacce informatiche, la realizzazione di collaborazioni attraverso la definizione di best practice, nonché l’aggiornamento e la formazione del personale, rivestiranno una notevole importanza che permetterà di avviare un confronto qualificato a tutela dell’Istituzione e nell’interesse generale del Paese.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

DATI DALLA GIURISPRUDENZA DEL TRIVENETO – L’Osservatorio 231 del Dipartimento di diritto pubblico, internazionale e comunitario dell’Università degli Studi di Padova ha recentemente pubblicato un documento di sintesi relativo alle categorie di reati-presupposto maggiormente trattati dai tribunali del Triveneto (Trentino – Alto Adige, Veneto e Friuli – Venezia Giulia) nel triennio 2019-2021. In primo luogo, il report segnala una significativa riduzione dei procedimenti 231 nell’area geografica di riferimento nell’anno 2020, dato chiaramente influenzato dalla generalizzata riduzione delle attività imprenditoriali a causa dell’emergenza pandemica. Per quanto riguarda l’analisi delle categorie di reato riscontrate, il 70% degli illeciti sono relativi a reati contro la pubblica amministrazione, ambientali e di omicidio e lesioni colpose derivanti dalla violazione della normativa dettata in materia di salute e sicurezza. In crescita, tuttavia, il trend relativo ai reati tributari.

OPERAZIONI TRANSFRONTALIERE – Lo schema di decreto legislativo di recepimento della Direttiva (UE) 2019/2121, presentato dal Governo il 9 dicembre 2022 e sul quale il Parlamento si dovrà esprimere con un parere entro il 19 gennaio 2023, (i) propone l’armonizzazione delle disposizioni sulle operazioni di trasformazione e scissione transfrontaliera, (ii) modifica la disciplina della fusione societaria. L’obiettivo della normativa è quello di fornire alle società nuove possibilità di crescita economica, di concorrenza effettiva e di produttività, senza rinunciare a garantire elevati livelli di protezione sociale. Inoltre, la normativa punta a facilitare le trasformazioni, fusioni e scissioni transfrontaliere delle aziende dell’Unione europea, al fine di assicurare una maggiore mobilità ed eliminare barriere ingiustificate alla libertà di stabilimento nel mercato unico europeo. A tal fine, si prevede il rilascio di un certificato preliminare come esito della regolare presentazione di progetti di operazioni transfrontaliere. Lo schema impone inoltre sanzioni penali in caso di false o omesse dichiarazioni in relazione alla sussistenza delle condizioni richieste per il rilascio del citato certificato – illecito peraltro inserito, nella proposta del Governo, all’interno del catalogo dei reati-presupposto del Decreto 231 attraverso la modifica dell’art. 25-ter.

CONFISCA DI PREVENZIONE MAFIOSA – La Corte di Cassazione si è recentemente pronunciata, nella sentenza n. 47388/2022 (qui su IusinItinere), sui presupposti applicativi della misure di prevenzione patrimoniale della confisca. Nel caso di specie, la confisca era stata posta in essere nei confronti di un indagato per appartenenza ad un’associazione mafiosa. La Corte ha ritenuto applicabile la misura, nonostante fosse possibile determinare il momento iniziale e finale della pericolosità qualificata, anche su beni acquisiti in periodo successivo a quello di cessazione della condotta permanente. Questo perché sono risultate una serie di evidenze di fatto che hanno provato la diretta derivazione delle acquisizioni patrimoniali dalla provvista nel periodo di compimento dell’attività delittuosa. 

INFORTUNI SUL LAVORO – La Corte di Cassazione è intervenuta recentemente con la sentenza 570/2023 a sottolineare alcuni principi in materia di infortuni sul lavoro e responsabilità 231. La società ricorrente era stata condannata, in primo luogo, per non aver svolto adeguate valutazioni relative ai fornitori, che erano previste, in realtà, dal Modello organizzativo; e secondariamente per non avere predisposto a norma alcune infrastrutture lavorative, nonostante la loro corretta edificazione fosse prevista dalla disciplina aziendale. Le mancanze sono state ritenute imputabili all’Amministratore della società, in qualità di datore di lavoro e in quanto tenuto al rispetto delle norme in materia di sicurezza e prevenzione. I giudici di legittimità, nell’indagine sulla configurabilità dell’illecito per la società, hanno stabilito che le condotte colpose dei soggetti-persone fisiche, presupposto dell’illecito amministrativo, rilevano laddove sia riscontrabile la mancanza o l’inadeguatezza delle cautele predisposte per la prevenzione dei reati previsti dal Decreto 231. È la carenza di tali misure organizzative, in quanto atte a determinare le condizioni di verificazione del reato presupposto, che giustifica il rimprovero e l’imputazione dell’illecito al soggetto collettivo, oltre a sorreggere la costruzione giuridica per cui l’ente risponde dell’illecito per fatto proprio (e non per fatto altrui).

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

YOOX vs. AGCM – Il comunicato stampa emesso da AGCM lo scorso venerdì 13 gennaio ha portato cattive notizie per un importante player del settore eCommerce, YOOX Net-a-Porter Group. L’Autorità Garante ha infatti ravvisato, in un’azione di monitoraggio nel periodo 2019-2022, gravi comportamenti da parte della società consistiti, tra le altre cose, in (i) l’annullamento di ordini online già perfezionati al superamento, da parte del consumatore, di determinate soglie di “reso”, (ii) un comportamento ingannevole riguardo ai prezzi esposti, consistiti – a seconda del periodo – in un aumento del prezzo poi oggetto di sconto (cosicchè di fatto sconto non vi era), oppure in un calcolo dello sconto su un prezzo “medio” presente sul mercato, e non su quello effettivamente praticato dall’eCommerce. Tutto questo, senza alcuna trasparenza verso il consumatore: di conseguenza, la sanzione è stata calcolata in ben 5 milioni di euro, oltre alla necessità (entro 60 giorni) di indicare da parte della società i correttivi che intende introdurre per superare i rilievi mossi.

ACCESSIBILITA’ DEI SITI WEB E DELLE APP – Nei giorni scorsi AgID (“Agenzia per l’Italia digitale”) ha pubblicato una circolare con i chiarimenti interpretativi sull’estensione da parte del DL 76/2020 di alcuni vincoli già in essere per le Pubbliche Amministrazioni dal 2004, in merito a specifici strumenti per consentire l’utilizzo di siti web e applicazioni mobile anche a soggetti con disabilità. Sono interessati da tale provvedimento i soggetti che offrono servizi al pubblico e che hanno conseguito un fatturato medio, negli ultimi tre anni di attività, superiore a 500 milioni di euro, con l’obiettivo di consentire la più ampia inclusione delle persone con disabilità verso servizi essenziali o comunque di largo accesso.

USO DEI SOCIAL – Interessante report annuale di MGP & Partners sull’utilizzo dei social network, disponibile seguendo questo link: per i brand, tra le altre cose, emerge come di grande importanza la capacità di #ascoltare con più attenzione le esigenze dei consumatori, in un mondo iper connesso e dove anche l’opinione del singolo, ormai, conta.

TWITTER – L’ondata di licenziamenti che ha segnato le #BigTech nel corso dello scorso 2022 pare non essersi fermata. A far parlare di sé è ancora una volta #Twitter, che comincia il nuovo anno con il licenziamento di circa 12 dipendenti del team di moderazione dei contenuti impiegati nelle sedi di Singapore e Dublino. In particolare, pare che i dipendenti coinvolti nel taglio avessero il compito di agire per il contrasto della disinformazione online. 

TIKTOK – Il nuovo set normativo europeo in materia di dati personali comincia a mostrare la sua forza oltre i confini dell’Unione. Lo scorso 10 gennaio, l’amministratore delegato di TiTok (Shou Zi Chew) è stato attenzionato – nel corso di una giornata fitta di incontri con alcuni dei commissari europei – del fatto che la società deve tornare a guadagnarsi la fiducia dell’Unione. Tra i vari argomenti trattati, di particolare importanza (i) la sicurezza dei minori, (ii) la trasparenza dei contenuti politici a pagamento e (iii) la conformità, appunto, con la nuova normativa europea in materia di privacy, in particolare con il Digital Services Act e il Digital Markets Act.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA/1 – La Federal Communications Commission (“FCC”) ha annunciato la propria bozza di regolamento che aggiornerà i requisiti di segnalazione delle violazioni dei dati relativi alle reti proprietarie dei clienti (“CPNI”). In particolare, la FCC ha spiegato che intende allineare le sue regole con i recenti sviluppi delle leggi federali e statali sulla violazione dei dati, vigenti in altri settori. In particolare, la normativa proposta mira a (i) rimuovere l’attuale periodo di attesa obbligatorio di sette giorni lavorativi per la notifica ai clienti di una violazione, (ii) a richiedere la notifica al consumatore da parte dei vettori di violazioni involontarie e (iii) a imporre la notifica di tutte le violazioni segnalabili al FCC, il Federal Bureau of Investigation (“FBI”) e i servizi segreti statunitensi.

USA/2 – La Federal Trade Commission (“FTC”) ha di recente annunciato di aver emesso un ordine contro la società Drizly LLC per violazione del Federal Trade Commission Act. In particolare, sono emerse importanti falle nel sistema di sicurezza della società che hanno comportato la violazione di dati personali di circa 2,5 milioni di consumatori. Secondo quanto riferito dalla FTC, sebbene fosse già stata avvisata negli scorsi anni della vulnerabilità dei propri sistemi, la società non aveva di fatto provveduto ad adottare misure idonee a garantire un’adeguata protezione dei dati. Nell’ordine emesso dall’Autorità viene richiesto a Drizly, tra le altre cose, di (i) attuare un programma di sicurezza delle informazioni e stabilire garanzie di sicurezza, (ii) dichiarare sul proprio sito web le categorie di informazioni che raccoglie e i motivi per cui tale raccolta è necessaria e (iii) distruggere tutti i dati raccolti senza necessità, nonché astenersi dal raccogliere in futuro dati e informazioni non necessari per gli scopi prefissati in apposito programma di conservazione.

REGNO UNITO/1 – Il Center for Data Ethics and Innovation (“CDEI”) ha aggiornato l’Algorithmic Transparency Recording Standard, a seguito di una fase pilota in tutto il settore pubblico. Il CDEI ha affermato che lo standard aiuterà le organizzazioni del settore pubblico a fornire informazioni chiare sugli strumenti algoritmici che utilizzano, e sul motivo per cui li utilizzano, dato che la trasparenza in questo settore richiede apertura su come gli strumenti algoritmici supportano il processo decisionale, e sulle decisioni assistite da algoritmi in un formato completo, aperto, comprensibile, facilmente accessibile e gratuito.

REGNO UNITO/2 – Lo scorso 10 gennaio la FCA (Financial Conduct Authority) ha annunciato di aver emesso un avviso con il quale ha sanzionato la Guaranty Trust Bank (UK) per importanti lacune in materia di antiriciclaggio nel periodo compreso tra l’ottobre 2014 e il luglio 2019. Secondo l’Autorità, nel lasso temporale preso a riferimento, la Guaranty Trust Bank non ha adeguatamente compiuto valutazioni in merito al rischio dei clienti, non valutando e/o documentando, in particolare, i rischi connessi ad attività di riciclaggio. Per tali motivi, la banca è stata raggiunta da una sanzione di ben 7,6 milioni di sterline.

SLOVENIA – La legge sulla protezione dei dati personali (“ZVOP-2”) è stata pubblicata nella Gazzetta ufficiale, dopo essere stata adottata dall’Assemblea nazionale della Repubblica di Slovenia il 15 dicembre 2022. In particolare, la ZVOP-2, che recepisce il GDPR nella legislazione locale, entrerà in vigore il 26 gennaio 2023, sostituendo così l’attuale legge sulla protezione dei dati personali del 2004.

WASHINGTON D.C. – Il Procuratore Generale (“AG”) ha annunciato un accordo di $ 9.500.000 con Google LLC per dirimere la controversia sorta in seguito alle pratiche di tracciamento della posizione di Google, che si era impegnata in pratiche ingannevoli, tra le quali una serie di attività che avrebbero ripetutamente spinto gli utenti ad abilitare la posizione in determinate app, per la ragione che i prodotti non avrebbero funzionato correttamente se la posizione non fosse stata abilitata. L’accordo stabilisce anche che, entro 180 giorni dalla data di entrata in vigore, Google dovrà predisporre un report che dimostri il proprio rispetto dell’accordo. 

GIAPPONE –  il ministero dell’Interno e delle comunicazioni giapponese (“MIC”) ha aperto una consultazione pubblica, che durerà fino al 30 gennaio 2023, sulla bozza di orientamento sui danni causati da un attacco informatico, sottolineando che, con l’aumentare della minaccia di attacchi informatici, sarà vantaggioso sia per l’organizzazione lesa che per la collettività condividere le informazioni sugli attacchi informatici, per chiarire l’intera portata degli eventuali danni e rafforzare le contromisure da adottare.

INDIA – Il Ministero dell’elettronica e dell’informatica indiano (MeitY) ha di recente reso pubbliche le bozze di modifica delle linee guida in materia di giochi online (“Linee guida per gli intermediari e codice etico dei media digitali 2021”, cd. Regolamento IT) e ne ha contestualmente avviato una consultazione pubblica. Le ragioni delle modifiche vanno ricercate nella necessità che (i) i giochi online siano offerti in conformità alle leggi indiane e (ii) che gli utenti siano tutelati dai potenziali danni. Tra le novità proposte figura, tra le altre cose, anche la previsione che un intermediario di giochi online osservi, nell’adempimento dei propri doveri, la due diligence richiesta dal Regolamento IT – che impone, tra le altre cose, di compiere ogni sforzo ragionevole per evitare che i propri utenti agiscano in maniera non conforme alla legge indiana, anche in materia di gioco d’azzardo.

SPAGNA – L’autorità spagnola per la protezione dei dati (“AEPD”) ha annunciato, il 10 gennaio 2023, che oltre 100.000 Data Protection Officers (“DPOs”) sono registrati nel registro pubblico previsto sia per il settore pubblico che per quello privato, per i settori in cui la nomina è obbligatoria. Inoltre, l’AEPD ha specificato che il registro è a disposizione dei cittadini per accedere ai dati di contatto degli DPO, per ottenere informazioni sul trattamento dei propri dati personali, esercitare i propri diritti o presentare un reclamo. 

GERMANIA – L’Ufficio federale dei cartelli (Bundeskartellamt) ha reso noto di aver inviato ad Alphabet Inc., Google Ireland Ltd. e Google Germany GmbH la propria valutazione circa le condizioni di trattamento dei dati operate da Google. Nella valutazione il Bundeskartellamt ha evidenziato che gli utenti di Google dispongono solo di un minimo margine di scelta in merito all’accettazione dell’ampio trattamento di dati effettuato da Google. Al momento l’Autorità ha basato la propria valutazione esclusivamente sulla normativa tedesca dettata in materia di concorrenza, tuttavia appare più che verosimile che in futuro si applicherà, in casi simili, la nuova normativa europea del Digital Markets Act (DMA).

BELGIO – L’Autorità belga per la protezione dei dati ha aggiornato e comunicato la propria decisione nei confronti del’Interactive Advertising Bureau (“IAB”), in cui ha stabilito di aver imposto allo stesso una sanzione di € 250.000 per violazioni del GDPR. L’autorità belga ha confermato il piano di azione del IAB volto a rendere il trattamento dei dati personali nel contesto del Transparency and Consent Framework conforme alle disposizioni del GDPR.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Matt Duncan grazie a Unsplash.

News#1/2023: la super-sanzione a Meta “vieta”​ l’uso del contratto come base per fare targeted advNews#

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • #Meta sanzionata dall’Autorità irlandese, a rischio il suo #modello di #business;
  • anche #Apple (dopo Microsoft) ha problemi con il CNIL, ma sulla Direttiva #ePrivacy;
  • il primo gennaio scorso è entrato in vigore, in California, il #CPRA;
  • una società cancellata può comunque essere condannata secondo il #dlgs231;
  • le altre news dal #mondo includono: gli Stati di #NewYork e del #Kentucky che si attivano per approvare una legge privacy locale, Croazia e Finlandia elevano sanzioni importanti in ambito GDPR, mentre il District of Columbia si accorda con #Google per chiudere un’indagine sul tracciamento della localizzazione degli utenti senza consenso.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • non potevamo che cominciare con IAPP, il più rilevante network mondiale dei professionisti privacy, che tra l’altro ha pubblicato un interessante report sui “fatti” del 2022 e l’orizzonte che ci attende nel 2023, qui.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Don’t Stop Believin’ – Journey (1981 – 4:11 in loop)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

META SANZIONATA (ANCORA, E PESANTEMENTE) – La DPC – Irish Data Protection Commission – ha adottato, il 4 gennaio scorso, la decisione finale su Meta che tanto ha fatto discutere (e di cui avevamo già accennato per il suo percorso complesso). Fortemente richiesta dall’EDPB, e in particolare da diverse altre Autorità di controllo europee, questa decisione di fatto interferisce con il modello di business di Facebook/Instagram, incentrato su una profilazione pubblicitaria (targeted ads) basata giuridicamente sul contratto di iscrizione al social network, secondo Meta sufficiente a giustificare tale attività. I 390 milioni di sanzione, invece, derivano dal generale assunto – ormai molto chiaro – per cui senza un trasparente, libero e informato consenso non sia possibile effettuare, secondo le Autorità europee in materia, attività di adv online. Con questa sanzione, il totale delle violazioni privacy a carico di Meta (a partire dal 2021) arriva all’esorbitante ammontare di più di 900 milioni di euro. Vedremo adesso come e dove (non certo “se”) Meta opporrà la decisione, e in che modo la DPC sarà fedele a quanto deciso, dato che il testo del provvedimento è stato ampiamente “guidato” da altre Aurorità, mentre la commissione irlandese in precedenza aveva apertamente avallato la posizione di Meta; tra l’altro, proprio la DPC ha dichiarato di volersi opporre ad alcune parti della linea guida impostale dall’EDPB nella propria decisione vincolante.

APPLE vs. CNIL – L’Autorità francese per la protezione dei dati personali (CNIL) ha recentemente reso nota la propria decisione (solo in lingua francese) di infliggere una sanzione ad Apple Distribution International Ltd. A seguito di un reclamo, infatti la CNIL ha avuto modo di appurare che Apple presentava pubblicità personalizzata agli utenti dei sistemi operativi iOS e MacOS, e ciò per impostazione predefinita. In particolare, dalle indagini dell’Autorità è emerso che l’utente intenzionato a modificare tali impostazioni, avrebbe dovuto seguire una più o meno articolata trafila di azioni per modificare le impostazioni relative alla pubblicità personalizzata. Per tale ragione, la CNIL ha sanzionato per la cifra di ben 8 milioni di euro.

AZIENDE E RICERCA SCIENTIFICA – Il Future of Privacy Forum ha pubblicato un report sui programmi di condivisione dei dati tra aziende e istituti di ricerca intitolato “The Playbook: Data Sharing for Research”, un report che raccomanda le best practice per l’implementazione dei programmi di ricerca, comprese le fasi di gestione e condivisione dei dati. Il report illustra l’importanza e i vantaggi di disporre di protocolli adeguati per creare processi di condivisione dei dati sicuri e semplici, hanno dichiarato i responsabili del progetto per la condivisione dei dati e l’etica. Il report affronta in particolare i passaggi fondamentali per la gestione, la condivisione e l’esecuzione dei programmi tra aziende e ricercatori, quali la creazione di un sistema di condivisione dei dati che faccia progredire positivamente la ricerca scientifica, che richiede una migliore comprensione dei rischi esistenti, delle opportunità di affrontare le sfide e delle diverse parti interessate coinvolte nelle decisioni di condivisione dei dati.

CYBERSECURITY NEL SETTORE ASSICURATIVO – Esperti del settore assicurativo in tema di cyber security hanno di recente avvertito che gli attacchi informatici su larga scala sono una preoccupazione crescente tra i dirigenti del settore: si rischia di fatto che divengano non assicurabili, come riporta il Financial Times, perché esiste un limite all’ammontare delle perdite che il settore privato può assorbire dagli attacchi cyber. Si esortano allora i governi a istituire schemi pubblici e privati per gestire rischi informatici “sistemici” che non possono essere nè quantificati nè assicurati preventivamente.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CONDANNA 231 DI SOCIETA’ ESTINTA – La cancellazione di una società dal Registro delle imprese non impedisce la condanna dell’ente per un illecito 231. Lo ha deciso il giudice per le indagini preliminari del Tribunale di Milano, con la sentenza 2993/2022, nella quale si legge che l’estinzione dell’ente, successiva all’addebito emanato ai sensi del Decreto 231, lascia impregiudicata la possibilità di una pronuncia di condanna. Sulle modalità di esecuzione della condanna spetterà al Pubblico Ministero decidere come procedere, avendo raggiunto le parti un accordo sull’applicazione della pena.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

MERCATO UNICO E DIGITALIZZAZIONE – In occasione dei 30 anni dalla creazione del mercato unico europeo, che ha preso avvio il 1 gennaio 1993, la Commissione europea ha pubblicato il paper “European Single Market is turning 30”, che analizza, con riguardo allo sviluppo digitale e con particolare riferimento al mercato unico dei servizi, i principali obiettivi raggiunti e quelli ancora da raggiungere nel mercato digitale grazie all’integrazione europea, che ha funzionato da motore per la crescita e la competitività, sostenendo il potere economico dell’Unione europea a livello globale. Il paper sottolinea inoltre che, anche sulla base delle proposte Fit For 55 e Digital Decade, l’Unione sta mettendo in atto un quadro normativo per sostenere le transizioni verdi e digitali dell’Europa.

LICENZIAMENTI AMAZON – Dopo Twitter e Facebook tocca anche ad Amazon. Sono circa 18 mila i licenziamenti previsti in tutto il mondo per il colosso di logistica guidato da Jeff Bezos. E’ molto probabilmente dal prossimo 18 gennaio che i lavoratori interessati cominceranno ad essere contattati dall’azienda, che intanto parla dell’operazione come l’esito di una “pianificazione annuale difficile”.  Non ci sono attualmente notizie ufficiali in merito ai settori che verranno maggiormente colpiti, né riguardo alla percentuale di lavoratori europei coinvolti. D’altronde, la stessa notizia dei licenziamenti è stata il frutto di una fuga di notizie. Ancora una volta,  non ci resta che aspettare, con la certezza però che anche il nuovo anno avrà i suoi riflettori puntati sul mondo delle #BigTech.

SALDI ONLINE E TRUFFE – In occasione dei tanto attesi saldi invernali Aicel (Associazione Italiana per il Commercio Elettronico) mette in guardia i consumatori dalle possibili #truffe che potrebbero caratterizzare il loro acquisto online. L’e-commerce, infatti, è particolarmente insidioso a fronte delle innumerevoli modalità escogitate dai malintenzionati per ingannare il consumatore. Un esempio di truffa diffusissimo online è la creazione di siti “copia”- quelli cioè che copiano esattamente il sito originale, non consentendo al consumatore di intuire che le operazioni di pagamento stanno avvenendo su un sito terzo. Tra i suggerimenti proposti da Aicel per difendersi (i) diffidare da affari “particolarmente vantaggiosi, (uu) accertarsi che i siti non siano segnalati dalle competenti autorità garanti – ad esempio AGCM – , (iii) verificare che sul sito siano presenti le informative relative alla privacy e ai cookie. 

LICENZE POSTALI DIGITALI – E’ stato attivato il nuovo portale “Licenze postali” per il rilascio e la gestione delle licenze e delle autorizzazioni postali. Il ministero per le Imprese e Made in Italy, nel rendere nota l’attivazione del sistema, ha precisato che l’iniziativa ha consentito di automatizzare molte attività e di rendere il processo completamente digitale, nell’ottica di una semplificazione delle procedure della pubblica amministrazione a vantaggio di cittadini e imprese. Attraverso il portale gli utenti avranno a disposizione un’area riservata dedicata alle richieste di rilascio di titoli abilitativi, rinnovi, cessioni e subentri per licenze e autorizzazioni postali attive. I pagamenti saranno gestiti interamente dal servizio PagoPA.

SANITA’ DIGITALE – Il nuovo progetto firmato da Cineca e dall’Associazione Scientifica per la Sanità Digitale punta a formare il personale sanitario su tematiche come robotica, telemedicina, mobile application e business intelligence, con l’obiettivo di più efficiente ed efficace la Sanità. Il progetto si colloca nell’ambito delle attuali linee programmatiche del ministero della Salute, perseguite anche a livello internazionale, in cui la telemedicina e le tecnologie digitali rappresentano il fattore chiave per supportare l’interazione dei diversi professionisti sanitari.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

NEW YORK – New York promuove la propria legge sulla privacy (“New York Privacy Bill”) per (i) indurre le aziende a rivelare i loro metodi di identificazione dei dati personali, (ii) adottare speciali misure di salvaguardia per la condivisione dei dati e (iii) consentire ai consumatori di ottenere i riferimenti degli Enti con cui vengono condivise le loro informazioni. In particolare, nell’atto è riportato che la pubblicità mirata e la vendita di dati personali non sono considerate finalità di trattamento necessarie per fornire servizi o beni richiesti da un consumatori. New York adotta la formulazione di de-identificazione del CPRA e una terminologia familiare al GDPR, comprendente i concetti di Titolari e Responsabili del trattamento e i principi di minimizzazione dei dati e limitazione della conservazione.

KENTUCKY – Nell’Assemblea generale del Kentucky dello scorso 3 gennaio è stato presentato dal Senatore W. Westerfield un disegno di legge relativo alla protezione dei dati personali dei consumatori. In particolare, le disposizioni introdotte nel disegno di legge stabiliscono, tra le altre cose, i diritti dei consumatori e la loro possibilità di appellarsi al titolare del trattamento per il soddisfacimento delle proprie richieste. La bozza prevede inoltre che l’autorità esclusivamente competente a far applicare la legge sia il Procuratore Generale dello Stato, con la sola eccezione della facoltà, concessa al consumatore, di esercitare il diritto di azione privata. In base a tale diritto, il consumatore ha la possibilità di richiedere un provvedimento ingiuntivo per violazioni specifiche nel caso in cui il titolare del trattamento non abbia provveduto a porvi rimedio nel termine di 30 giorni dalla ricezione di un avviso dal parte del Procuratore Generale. Se approvato, il disegno di legge entrerà in vigore il 1 gennaio 2025.

CROAZIA – L’Autorità croata per la protezione dei dati personali ha ritenuto che un Titolare del trattamento avesse installato un sistema di videosorveglianza che riprendeva lo spazio pubblico senza una base giuridica adeguata ai sensi dell’art. 6(1) del GDPR, e ha ingiunto al Titolare in questione di regolare l’angolo delle telecamere entro quindici giorni in modo da non prendere nell’inquadratura lo spazio pubblico e le persone che vi accedono, con l’obbligo di fornire adeguate informazioni nonappena l’infrazione venga rettificata.

FINLANDIA – L’Autorità finlandese per la protezione dei dati ha irrogato una sanzione di 230.000 euro a una società di navigazione che ha posto in essere diverse violazioni nel trattamento dei dati sanitari dei dipendenti, tra le quali una mancanza dell’attuazione corretta dei principi di trasparenza, accuratezza, diritto all’informazione, diritto di accesso e protezione dei dati by design, di cui al GDPR.

ISLANDA – L’Autorità garante islandese ha respinto il ricorso di un interessato che chiedeva la cancellazione del proprio database genealogico, in possesso di un Titolare del trattamento. L’Autorità, in particolare, ha deciso che il trattamento da parte del Titolare del trattamento era giustificato ai sensi dell’articolo 6(1)(f) del GDPR, e che il Titolare aveva il diritto di rifiutare la richiesta di cancellazione in quanto il trattamento era giustificato per motivi di pubblico interesse, nello specifico per ragioni di ricerca storico-scientifica e per ragioni statistiche.

SPAGNA – L’Autorità spagnola per la protezione dei dati personali (“AEPD”) ha irrogato una multa di 30.000 euro a un operatore di telecomunicazioni locale per aver attivato una carta SIM senza verificare prudentemente l’identità dell’abbonato, il quale aveva invece fornito in modo fraudolento al Titolare del trattamento i propri dati personali. 

CALIFORNIA – Entrato in vigore il 1 gennaio 2023 il California Privacy Rights Act (“CPRA”), che introduce modifiche al California Consumer Privacy Act (“CCPA”) che impongono alle aziende nuovi requisiti per i consumatori, tra i quali l’ottenimento del consenso prima della raccolta dei dati in determinati casi, e prevede anche una più stringente limitazione dell’utilizzo dei dati personali.

VIRGINIA – Entrato in vigore il 1 gennaio 2023 anche il Virginia Consumer Data Protection Act (“CDPA”), che prevede ulteriori diritti per i consumatori, tra i quali il diritto di accesso, di cancellazione e di opt-out, stabilendo obblighi per i Titolari del trattamento e per i Responsabili che trattano dati personali. Da notare particolarmente che il procuratore generale della Virginia avrà l’autorità esclusiva di applicare le disposizioni del CDPA, e potrà avviare azioni e chiedere ingiunzioni per impedirne ogni violazione con sanzioni civili fino a 7.500 dollari. 

COREA DEL SUD – L’Autorità locale per la protezione dei dati personali (“Personal Information Protection Commission” o “PIPC”) ha pubblicato le linee guida per l’interpretazione degli standard del Personal Information Protection Act (“PIPA”), con lo scopo di migliorare la comprensione delle regole in materia di protezione dei dati personali nel settore pubblico e di rispondere alle questioni e agli interrogativi su argomenti di questo settore. In particolare, per ciascuna domanda le linee guida descrivono la base giuridica da considerare e forniscono un breve parere del PIPC sul tema. 

DISTRICT OF COLUMBIA – Karl A. Racine, Procuratore Generale del Distretto di Columbia (meglio conosciuto come Washington D.C.), ha recentemente annunciato il raggiungimento di un importante accordo con Google LLC finalizzato a risolvere le accuse secondo le quali il colosso informatico avrebbe ottenuto i dati di localizzazione relativi agli utenti dei suoi servizi attraverso comportamenti ingannevoli. Le indagini, avviate nel 2018 dopo la pubblicazione di un articolo da parte dell’Associated Press,  hanno consentito al Procuratore Generale di appurare che Google otteneva realmente i dati di localizzazione attraverso comportamenti ingannevoli, come ad esempio l’uso di dark pattern. Alla luce di tali evidenze, il Procuratore Generale ha pertanto provveduto a denunciare le plurime violazioni del Consumer Protection Procedures Act commesse da Google. Proprio per risolvere tali accuse è stato previsto l’accordo, del valore di ben 9,5 milioni di dollari. Oltre al pagamento di tale importantissima cifra, è stato imposto a Google, tra le altre cose, di (i) informare chiaramente gli utenti circa la raccolta e il tracciamento dei dati relativi alla posizione, (ii) mantenere disponibile ed aggiornata una pagina contenente la politica di Google in materia di dati di posizione e (iii) limitare la diffusione dei dati degli utenti. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Elias Ehmann grazie a Unsplash.

News #50: la Commissione UE ritiene “adeguati”​ gli USA per il data transfer, ora tocca all’EDPB (e a NOYB); nuovi protocolli rilevanti su 231

Immagine di copertina di Tessa Rampersad grazie a Unsplash.

SEZIONE SPECIALE: USA-UE DATA TRANSFER

BOZZA DECISIONE DI ADEGUATEZZA UE-USA –  Lo scorso 13 dicembre la Commissione europea ha pubblicato la bozza di decisione di adeguatezza che, ex art.46 GDPR, consentirà – qualora approvata – un trasferimento di dati sicuro tra Europa e Stati Uniti. In particolare la bozza, nel recepire le preoccupazioni sollevate dalla Corte di Giustizia nella sentenza #SchremsII, poggia su una seria valutazione del quadro normativo statunitense, incluso l’ordine esecutivo di Biden e i regolamenti che istituiscono un tribunale per la protezione dei dati. Contestualmente alla bozza, la Commissione ha altresì rilasciato una pagina dedicata alle Q&A (domande e risposte più frequenti). Il progetto di decisione è stato ora inoltrato all’EDPB e successivamente verrà sottoposto al vaglio di un comitato composto da rappresentanti dei vari stati membri. Dopo tali passaggi, inclusa la verifica del Parlamento europeo, il documento tornerà alla Commissione alla quale spetterà procedere (eventualmente) alla sua adozione.

IL COMMENTO DI NOYB – Pubblicata la bozza di decisione di adeguatezza, il commento di #NOYB non è tardato ad arrivare. Nella stessa giornata del 13 dicembre, infatti, None Of Your Business (l’organizzazione no profit di Max Schrems, promotore dinanzi alla CGUE delle cause concluse con le famose sentenze Schrems I e Schrems II) ha rilasciato una prima valutazione sul documento segnalando che le modifiche (e, di conseguenza, le  garanzie) introdotte nell’ordinamento giuridico statunitense dall’Executive Order di Biden sono in realtà insufficienti. Rimandando l’attenta valutazione della bozza ai giorni successivi, NOYB ha formulato un pronostico negativo circa le sorti della decisione, laddove portata al cospetto della CGUE.

ACCORDO OCSE SULL’ACCESSO DEL GOVERNO AI DATI PERSONALI – Il 14 dicembre l’Organizzazione per la Cooperazione e lo Sviluppo Economico ha annunciato l’adozione della dichiarazione sull’accesso del governo ai dati personali detenuti da entità del settore privato, alla quale hanno aderito 38 paesi, insieme all’Unione europea. L’accordo chiarisce in che modo le forze dell’ordine e la sicurezza nazionale possono accedere ai dati personali nell’ambito degli ordinamenti giuridici esistenti. Rifiutando qualsiasi approccio da parte dei governi per accedere ai dati personali che sono in contrasto con i valori democratici e lo stato di diritto, la dichiarazione stabilisce una serie di principi in base ai quali i governi possono accedere ai dati personali detenuti dalle organizzazioni. La dichiarazione ha anche notevoli risvolti applicativi concreti, tra i quali il caso in cui nelle TIA (“Transfer Impact Assessment”) si è tenuti a verificare la presenza nell’ordinamento dello Stato di destinazione di norme chiare, che costituiscano garanzie in uno stato democratico almeno equivalenti, sostanzialmente, a quelle dell’Unione europea.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DIRETTIVA PNR – Lo scorso 15 dicembre l’EDPB (European Data Protection Board) ha annunciato di aver adottato una dichiarazione in merito ad una sentenza (C-817/19) pronunciata dalla CGUE in materia di uso dei codici di prenotazione (#PNR) per finalità di prevenzione, accertamento e azione penale nei confronti di terrorismo e di altri reati gravi. L’EDP ha spiegato che, secondo l’interpretazione della Corte, la Direttiva 2016/681 (cd. #DirettivaPNR) prevede importanti specificazioni in relazione al trattamento di dati personali, quali ad esempo (i) l’applicazione del sistema PNR ai soli reati di terrorismo e agli altri reati gravi che hanno, in concreto, un legame con l’uso di aerei e (ii) l’applicazione non indiscriminata del periodo di conservazione di 5 anni ai dati dei passeggeri. Partendo da tale premessa, l’EDPB ha rilevato che la gran parte dei trattamenti effettuati dagli Stati Membri alla luce della Direttiva PNR non è conforme all’interpretazione della Corte europea,provvedendo pertanto a raccomandare l’adozione di tutti i necessari provvedimenti al fine di un allineamento.

VIOLAZIONE RISERVATEZZA – Il Garante per la protezione dei dati personali ha di recente irrogato una sanzione all’Istituto per lo Studio, la Prevenzione e la Rete Oncologica (ISPRO) per violazione di dati personali sanitari (dunque, un #databreach). Dal reclamo proposto da un paziente è infatti emerso che l’Azienda Ospedaliero-Universitaria Careggi di Firenze – nominata responsabile del trattamento da ISPRO – aveva per errore inoltrato via e-mail il referto medico di un altro paziente. Tale comunicazione, essendo priva di idonea base giuridica, era stata pertanto effettuata in violazione del GDPR. Nel comminare la sanzione (7mila euro) il Garante ha inoltre colto l’occasione per ribadire la necessità che i dati sanitari – data la loro particolare delicatezza e “sensibilità” – siano trattati con le adeguate tutele.

CONSULTAZIONE PUBBLICA/DMA – Il Digital Markets Act (DMA) conferisce alla Commissione europea il potere di adottare atti che stabiliscono disposizioni dettagliate per alcune delle questioni indicate all’art. 46. Lo scorso 9 dicembre la Commissione ha pertanto aperto una consultazione pubblica al fine di stabilire con maggiore precisione gli aspetti pratici inerenti a (i) la forma e il contenuto delle notifiche e/o comunicazioni da inoltrare su richiesta della Commissione, (ii) l’avvio di un procedimento ai sensi del DMA, (iii) l’esercizio del diritto ad essere ascoltati e ai termini di divulgazione ex art. 34. e, più in generale, (iv) ai termini previsti dall’atto. Sarà possibile inoltrare le proprie osservazioni fino al prossimo 6 gennaio, accendendo a questo link.

CITTADINANZA A PUNTI E DIALOGO SULL’AI – E’ stata vietata l’intelligenza artificiale pensata per istituire una “cittadinanza a punti”, attraverso sistemi di valutazione delle persone che vivono in un Paese in base al loro comportamento sociale, alle loro scelte in vari contesti e alle caratteristiche personali. Ora che il Consiglio europeo ha adottato la sua posizione comune, concordata dai 27 Stati membri, relativa alla normativa sull’intelligenza artificiale, il prossimo obiettivo è quello di assicurare che i sistemi di intelligenza artificiale presenti sul mercato dell’Unione europea, e utilizzati dalle persone, rispettino appieno la normativa vigente in materia di diritti fondamentali. Per sfruttare il potenziale dell’Intelligenza Artificiale bisognerà implementare politiche coordinate a livello internazionale e individuare pratiche comuni, ed è proprio con questo spirito che si terrà il 14 e il 15 dicembre a Gran Canaria la relativa riunione ministeriale del Comitato per la politica dell’economia digitale.

REPORT ENISA SU CYBERSICUREZZA NELLA SANITA’ – L’Agenzia dell’Unione europea per la cybersicurezza (“ENISA”) ha pubblicato, il 13 dicembre un report sulla resilienza del settore sanitario europeo, con lo scopo di identificare potenziali sfide e di suggerire raccomandazioni. Il report illustra che, durante il 2022, l’allocazione di budget e risorse per promuovere la costituzione di team di sicurezza informatica all’interno delle organizzazioni sanitarie è stato fondamentale per garantire la resilienza della sicurezza informatica, fondamentale nel settore sanitario, e che anche i test regolari a livello locale sono emersi come una buona prassi di sicurezza.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

PROTOCOLLO 231 (POTENZA) –  La Procura Generale della Repubblica presso la Corte d’Appello di Potenza ha adottato un Protocollo organizzativo e di coordinamento in tema di indagini sui reati 231, con il quale ha pubblicato delle linee guida applicative del Decreto 231, al fine di meglio coordinare le indagini nel settore della responsabilità da reato degli enti. La Procura Generale ha integrato il Protocollo con una Relazione illustrativa, allo scopo di (i) soddisfare la necessità di approfondire alcune questioni che investono Decreto 231 e i dubbi interpretativi che lo riguardano e (ii) far fronte all’esigenza derivante dall’estensione della portata normativa di alcuni reati 231 anche ai casi di sovvenzioni pubbliche a danno dello Stato, di altri enti pubblici o dell’Unione europea, ricomprendendo così le risorse del PNRR. 

PROTOCOLLI REATI SUL LAVORO (NAZIONALE) – Dall’intesa raggiunta tra Ispettorato Nazionale del Lavoro e Procura Generale presso la Corte di Cassazione sono stati emanati due nuovi #Protocolli (nn. 474 e 483) che conferiscono – con specifico riferimento alla responsabilità degli enti – particolari compiti e deleghe agli ispettori al fine di indagare sulla commissione di determinati reati. Più in particolare, i nuovi protocolli attribuiscono agli ispettori funzioni di veri e propri “agenti di polizia” in riferimento a particolari tipologie di reati, come infortuni gravi o mortali, caporalato, mobbing e molestie.

PROTOCOLLO ANTI-COVID (NAZIONALE) –  Il Ministero del Lavoro e le Parti Sociali hanno recentemente reso nota la loro decisione di non apportare alcuna revisione al “Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2/COVID-19 negli ambienti di lavoro”, il cd. #ProtocolloAntiCovid, che di fatto rimane dunque in vigore. La scelta concreta circa il protrarre o meno l’applicazione del Protocollo è pertanto rimessa ai singoli datori di lavoro (che fino al prossimo 31 dicembre dovranno comunque rispettare le Linee Guida e le regole dettate in materia di uso dei dispositivi di protezione delle vie respiratorie nelle strutture sanitarie, socio-sanitarie e socio-assistenziali).

GERMANIA E WHISTLEBLOWING – Il Parlamento tedesco (“Bundestag”) ha annunciato l’adozione del progetto di legge c.d. Whistleblowing Protection Act (in tedesco c.d. (“HinSchG”), con alcuni emendamenti, che comprendono (i) l’estensione dell’ambito di applicazione del progetto HinSchG alle segnalazioni di dichiarazioni di funzionari pubblici che costituiscono una violazione del dovere di lealtà alla Costituzione tedesca; e (ii) il trattamento delle segnalazioni anonime, il cui trattamento diventa obbligatorio, anziché facoltativo, per gli uffici segnalanti.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TWITTER SOSPENDE I GIORNALISTI (E NON SOLO) – Negli ultimi giorni la piattaforma da poche settimane di proprietà di Elon Musk ha sospeso gli accounti di diversi importanti giornalisti USA, alcuni dei quali sono stati in passato molto critici nei confronti dell’attuale – vulcanico e lunatico, quantomeno – “CEO ad interim”. Allo stesso modo, la nuova era “libera e aggressiva” di Twitter sta vedendo la sospensione di molti account sgraditi, come quello (denominato “ElonJet”) che forniva dati in tempo reale sulla posizione dell’aereo privato di Musk, e come quelli che implementano link diretti ad altre piattaforme social, tra cui Mastodon che pare essere un approdo molto diffuso per i transfughi di Twitter. In molti non vedono l’ora della prossima puntata della #Muskeide.

DICHIARAZIONE EUROPEA PER IL DECENNIO DIGITALE – Le istituzioni dell’Unione europea hanno reso in data 15 dicembre una dichiarazione per una trasformazione digitale inclusiva, equa, sicura e sostenibile che metta le persone al centro, con l’obiettivo di preservare i valori fondamentali dell’Unione europea nel mondo digitale e online. La dichiarazione – che illustra l’impegno dell’Unione europea a favore di una trasformazione digitale sicura, sostenibile e sicura che ponga le persone al centro, in linea con i valori fondamentali e i diritti fondamentali dell’Unione europea – costituirà un punto di riferimento per i responsabili politici, le imprese e altri attori pertinenti nello sviluppo e nella diffusione di nuove tecnologie. 

CRIPTOVALUTE E SEGNALAZIONI UIF – Sono sempre più numerosi gli utenti c.d. Virtual asset service provider (“VASP”) che intercettano e segnalano alla Unità di Informazione Finanziaria (“UIF”) presso la Banca d’Italia, una serie di flussi finanziari in criptovalute che si inseriscono in uno schema volto a frodare il fisco. Il meccanismo prevede la cessione di finti crediti fiscali, i cui proventi sono impiegati per acquisti di criptovalute. La UIF ha predisposto nel mese di dicembre una newsletter dedicata al tema. Le informazioni nella disponibilità degli operatori offrono così delle prospettive per l’analisi finanziaria e la lotta alla frode fiscale mediante strumenti digitali. 

TELEPASS NEL METAVERSO – La società Telepass, dedicata al pagamento del pedaggio autostradale, è entrata nella virtualità del Metaverso, creando un collegamento tra il modo di muoversi della vita reale e le opportunità offerte dal nuovo mondo virtuale. L’azienda si è impegnata a creare un ecosistema di servizi per una mobilità sicura e sostenibile, e si è proiettata nel futuro lanciando per prima in Italia gli NFT ispirati al mondo della mobilità. Il lancio è previsto a partire dal 12 dicembre 2022. e la particolarità è che chi possiede tali NFT, associando il proprio contratto Telepass, potrà accedere a scontistiche dedicate e usufruibili attraverso l’app Telepass. Laddove l’utente non associ il contratto Telepass, sarà comunque proprietario dell’NFT Telepass e potrà decidere anche successivamente e liberamente di attivare il contratto con Telepass per accedere al Club di Membership.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

AUSTRALIA – La Australian Competition and Consumer Commission (ACCC) ha annunciato che la Corte locale federale ha rigettato il proprio ricorso contro Google LLC, che non ha posto in essere un comportamento ingannevole quando ha segnalato l’avvenuta modifica alla propria privacy policy attraverso una notifica sugli schermi dei consumatori. Mentre per la ACCC tale notifica era fuorviante in quanto non consentiva ai consumatori di “accettare” (selezionando il relativo comando sulla notifica) in maniera informata e consapevole le modifiche apportate, la Corte ha invece ritenuto adeguato il comportamento di Google, che (i) ha apportato le modifiche solo dietro espresso consenso e (ii) non ha ridotto i diritti degli interessati. 

POLONIA – UODO, autorità garante locale, ha recentemente annunciato di aver approvato il “Codice di condotta sulla protezione dei dati personali nelle piccole strutture mediche”. Scopo del documento è garantire la protezione dei dati personali dei pazienti e di tutti gli altri soggetti delle strutture sanitarie.

USA – L’Agenzia americana per la sicurezza informatica e delle infrastrutture (CISA) ha pubblicato sulle proprie pagine un’infografica in materia di #phishing al fine di mettere in guardia persone fisiche e organizzazioni da possibili attacchi di truffa informatica. L’infografica riassume i principali metodi con cui i cyber-malintenzionati “buttano l’esca”e suggerisce azioni concrete per prevenire tali attacchi. 

SPAGNA/1 – L’AEPD, Garante spagnolo, ha sanzionato la società Orange Espagne S.A.U. per violazione del GDPR. A seguito del reclamo proposto da un individuo – i cui dati personali erano stati inseriti all’interno di sistemi di informazioni creditizie come conseguenza del mancato pagamento di servizi che, in realtà, l’individuo non aveva mai sottoscritto – l’Autorità ha infatti scoperto che il contratto era stato fraudolentemente concluso a nome dell’interessato da un soggetto terzo. La sanzione di 70 mila euro deriva dal fatto che la società non è stata in grado di fornire adeguata prova (i) di aver lecitamente stipulato il contratto col ricorrente, (ii) di aver ottenuto consenso alla raccolta e al trattamento dei relativi dati personali e (iii) di aver trattato i dati alla luce di una valida base giuridica.

SPAGNA/2 – L’AEPD ha di recente sanzionato anche Vodafone Espana. Un cliente ha infatti segnalato all’Autorità che un duplicato della propria SIM era stato fornito, senza consenso, ad un soggetto terzo (il quale aveva in tal modo ottenuto l’accesso a Google nonché ai dati bancari del ricorrente, effettuando altresì diverse operazioni fraudolente tramite l’online banking). A seguito delle indagini compiute dall’Autorità è emerso che Vodafone non aveva adottato le adeguate (e necessarie) misure precauzionali per scongiurare la duplicazione di una SIM in mancanza del consenso dell’interessato.

PORTOGALLO – La Comissão Nacional de Proteção de Dados (CNPD, Autorità garante portoghese) ha annunciato di aver sanzionato per 4,3 milioni di euro l’Istituto Nazionale di Statistica per violazione di molteplici disposizioni del GDPR. Dalle indagini effettuate dal CNPD è emerso che durante il censimento relativo all’anno 2021 l’Istituto non abbia chiaramente comunicato agli interessati che la risposta a determinate domande – così come il conferimento dei dati relativi alla salute e alle preferenze religiose- aveva natura facoltativa. Tale omissione ha, di fatto, impedito una consapevole e valida formazione della volontà dei cittadini. Tra le altre violazioni riscontrate, l’aver effettuato trasferimenti internazionali di dati verso gli USA in spregio a quanto stabilito dalla CGUE nella sentenza Schrems II e il non aver effettuato una DPIA prima di iniziare le operazioni di trattamento. Se non l’Istituto Nazionale non provvederà a impugnare giudizialmente il provvedimento, la (elevata) sanzione dovrà essere pagata nel termine di 10 giorni da quando la decisione sarà esecutiva.

SLOVENIA – L’uso di #droni dotati di telecamere o altri sistemi di acquisizione e/o elaborazione dei dati può comportare la violazione delle disposizioni dettate in materia di privacy. Per tale ragione il Commissario per l’informazione sloveno ha recentemente pubblicato una infografica (disponibile solo in sloveno) contenente informazioni utili ai fini del rispetto della normativa vigente in materia di protezione dei dati personali in caso di utilizzo di tali strumenti.

BELGIO – Alcune società del settore dei media e della comunicazione hanno raggiunto un accordo con il Garante belga sull’ammontare delle sanzioni irrogate – come in un patteggiamento – senza riconoscimento della loro responsabilità. La tecnica adottata prevede due fasce di sanzioni e i rispettivi massimi edittali, e ha consentito ai Titolari del trattamento di dialogare con l’Autorità Garante per giungere ad un accordo sulla sanzione. L’episodio belga mette sotto i riflettori la diversità del trattamento sanzionatorio tra Stati membri diversi, e costituisce uno spunto di riflessione per le istituzioni europee sulla disarmonia esistente fra gli Stati nell’applicazione del GDPR. 

QUEBEC – La Commissione del Quebec sull’Accesso all’Informazione (“CAI”) ha pubblicato, il 13 dicembre 2022, un report sulla protezione dei minori nell’ambiente digitale, raccomandando una maggiore attenzione e consapevolezza. In particolare, il rapporto esamina i rischi per i minori e i principi internazionali associati alla protezione dei loro dati personali. Inoltre, il rapporto sottolinea l’importanza di ridurre al minimo i rischi in questo settore e discute come rafforzare la protezione delle informazioni personali dei minori. 

UK E DUBAI – Il Governo britannico e Il Centro finanziario internazionale di Dubai (“DIFC”) hanno rilasciato il 15 dicembre una dichiarazione congiunta in cui si impegnano a facilitare maggiormente i flussi e i trasferimenti di dati personali. Le parti considerano questo nuovo accordo come un solido “ponte” per i dati, che apporterà benefici all’economia attraverso un utilizzo affidabile dei dati tra le frontiere. Il Regno Unito e il DIFC hanno concordato, in particolare, sull’importanza della cooperazione normativa esistente e futura come mezzo per migliorare gli obiettivi sulla protezione e la circolazione dei dati personali.

NORVEGIA – L’Autorità norvegese per la protezione dei dati (Datatilsynet) ha annunciato di aver condotto un’ispezione presso l’ufficio del governatore delle Svalbard, avviata in primavera, riguardo il trattamento dei dati personali per le richieste di visto e l’uso del sistema informativo sui visti. Durante l’ispezione sono state scoperte significative distorsioni rispetto all’ elaborazione e al controllo interno; pertanto l’Autorità norvegese ha dato all’ufficio del governatore un termine fino al 31 gennaio 2023 per chiarire e documentare la divisione delle responsabilità tra il governatore e la Direzione dell’Immigrazione per il trattamento dei dati personali nel sistema informativo dei visti.

News #49: la Corte di Giustizia UE dà torto a WhatsApp; maxi-sanzione italiana a Clubhouse; dal Governo novità su whistleblowing e concorrenza

Immagine di copertina di Clint Patterson grazie a Unsplash.

PRIVACY

WHATSAPP vs EDPB – La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata nella causa “WhatsApp Ireland v. EDPB”, promossa dalla società per vedere annullata una decisione vincolante (e, di conseguenza, la sanzione ricevuta). Il 28 luglio 2021, infatti, l’EDPB aveva adottato una decisione vincolante in virtù della quale la DPC aveva multato la WhatsApp per ben 225 milioni di euro. La sentenza – la prima mai pronunciata dalla Corte su una domanda di annullamento di una decisione vincolante – respinge le pretese di WhatsApp in quanto il (i) ricorso è stato proposto contro un provvedimento che, ex art. 263 del TFUE, non è impugnabile e (ii) WhatsApp non è direttamente interessata dalla decisione contestata. La CGUE, al contempo, conferma che una tale questione può essere sollevata dinanzi ad un tribunale nazionale a seguito della relativa presa di posizione della Data protetion authority locale. Spetterà quindi ad un tribunale irlandese verificare la legittimità della decisione resa a livello nazionale – in conseguenza del “One Stop Shop” previsto dal GDPR – e, se necessario, presentare una domanda di pronuncia pregiudiziale alla CGUE.

CLUBHOUSE – In seguito ad una istruttoria avviata d’ufficio nei confronti di #ClubHouse – social network di chat audio formata da “stanze”, talvolta “su invito” – il Garante per la protezione dei dati personali ha recentemente sanzionato (per ben 2 milioni di euro) la società Alpha Exploration Co., gestore della piattaforma. Alla base della decisione la scoperta da parte dell’Autorità di numerose #violazioni del GDPR, normativa alla quale Alpha Exploration Co. asseriva di non essere soggetta in virtù del suo essere statunitense ed in mancanza di stabilimento nel territorio dell’UE. Oltre alla #sanzione (che tiene conto della gravità delle violazioni e del numero – vastissimo – di interessati coinvolti: 16 milioni globali e circa 90 mila in Italia) il Garante ha anche prescritto una serie di #misure quali, tra le altre, l’identificazione di idonee basi giuridiche per le proprie attività di trattamento e la nomina di un rappresentante in uno Stato UE, con conseguenza indicazione del relativo indirizzo e-mail. Alla società è stato ora concesso un termine di 30 giorni per dare esecuzione alle prescrizioni del Garante.

DIRITTO ALL’OBLIO – La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata in materia di diritto all’ #oblio. Attraverso una interpretazione dell’art. 17 GDPR la Corte ha stabilito che il diritto a richiedere la deindicizzazione di informazioni false o inesatte sul proprio conto è legittima anche quando il richiedente non abbia a disposizione una “prova forte” come lo è una sentenza – che rimane tuttavia necessaria nei casi di inesattezza non manifesta – purchè (chiaramente) fornisca informazioni esatte e puntuali al fine di suffragare la propria richiesta.

COMPARAZIONE PRIVACY FRA PAESI ASIATICI – Il Future of Privacy Forum (“FPF”) e l’Asian Business Law Institute (“ABLI”) hanno pubblicato il report “Balancing organizational accountability and privacy self-management in Asia-Pacific”, che mette a confronto i requisiti per il trattamento dei dati personali in diverse giurisdizioni della zona Asia-Pacifico. Il report analizza, in prospettiva comparata, le basi giuridiche per il trattamento dei dati personali nei diversi ordinamenti della zona. Tra le osservazioni del report, si nota il progressivo abbandono della base giuridica del consenso, a favore di alternative che promuovano la responsabilizzazione delle organizzazioni che trattano dati personali.

TUTELA DEGLI INTERESSATI – Il Garante per la protezione dei dati personali ha recentemente pubblicato una scheda informativa che illustra le caratteristiche e le modalità di utilizzo di segnalazioni e reclami  ( cioè degli strumenti posti dal GDPR nelle mani dei soggetti interessati per assicurare una loro adeguata protezione). 

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231 E PENALE

WHISTLEBLOWING – Lo scorso 9 dicembre è stata annunciata l’approvazione, da parte del Consiglio dei Ministri, del decreto legislativo necessario per l’attuazione delle direttiva UE 2019/1937 (cd. Direttiva #Whistleblowing). Il decreto permetterà finalmente all’Italia – uno dei pochi Paesi membri rimasti fino a questo momento “indietro” – di adeguarsi alla nuova normativa europea dettata in materia di protezione di tutti quei soggetti segnalatori di minacce o pregiudizi al pubblico interesse di cui siano venuti a conoscenza in ragione e nell’ambito della propria attività professionale.

COLPA DI ORGANIZZAZIONE – La Corte di Cassazione si è recentemente pronunciata in materia di #sicurezza e infortuni sul luogo di lavoro. Con la sentenza n. 45131 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) i giudici hanno specificato alcuni aspetti della cd. #colpadiorganizzazione, chiarendo che per tale deve intende il rimprovero che può essere mosso nei confronti di una società per non aver ottemperato agli #obblighi che impongono l’adozione di tutte le #cautele necessarie affinché non si realizzi la commissione dei reati previsti dalla normativa 231. Gli Ermellini hanno inoltre sottolineato la necessità che tali cautele vengano opportunamente #documentate – insieme ai rischi e alle misure idonee per contrastarli – in apposito documento.

NE BIS IN IDEM – La Procura di Milano ha recentemente #archiviato un procedimento penale avviato a carico di una società indagata per il reato 231 di dichiarazione fraudolenta in quanto la questione era già definita per ravvedimento operoso in sede tributaria. Infatti, rifacendosi alla giurisprudenza europea e nazionale in materia di #nebisinidem, i pubblici ministeri – pur in mancanza nel corpo del Decreto 231 di una norma che impone di tenere in considerazione sanzioni eventualmente già irrogate – hanno convenuto che la prosecuzione del procedimento avrebbe portato la società ad essere, di fatto, destinataria di una sanzione #sproporzionata.

LA RESPONSABILITA’ DI CONTROLLARE IL CONSULENTE – La Corte di Cassazione con l’ordinanza n. 35612/2022 ha accolto un ricorso dell’Agenzia delle Entrate e ha chiarito un importante punto in tema di sanzioni amministrative tributarie: il contribuente non è considerato esente dalla responsabilità di presentazione regolare delle dichiarazioni fiscali a meno che l’inadempimento al pagamento di un tributo sia imputabile esclusivamente ad un soggetto terzo (di solito, l’intermediario a cui è attribuito l’incarico di provvedere ai pagamenti, di gestire la contabilità ed effettuare le dichiarazioni fiscali). infatti, ai fini dell’esclusione della responsabilità per difetto dell’elemento soggettivo, grava proprio sul contribuente la prova dell’assenza assoluta di colpa, ed egli deve dimostrare di versare in stato di ignoranza incolpevole e non superabile con l’ordinaria diligenza, e non si può ritenere esente da responsabilità il contribuente che non abbia vigilato sul professionista al quale erano affidate le incombenze fiscali.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

PROTEZIONE DEI CONSUMATORI – Il Consiglio dei Ministri di giovedì 1° dicembre 2022 ha approvato il Decreto Legislativo riguardante la modernizzazione delle norme europee sulla protezione dei consumatori. Nello specifico, il Decreto Legislativo di attuazione della direttiva (UE) 2019/2161 del Parlamento europeo e del Consiglio del 27 novembre 2019, che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del Parlamento europeo e del Consiglio, si pone l’obiettivo di una migliore applicazione e una modernizzazione delle norme dell’Unione relative alla protezione dei consumatori, ampliando la #tutela dei #consumatori nel caso di contratti con clausole vessatorie, di condotte commerciali scorrette, di concorrenza sleale o di comunicazioni commerciali non veritiere con conseguente modifica della disciplina delle sanzioni pecuniarie amministrative. Tra le #novità: (i) è previsto che gli annunci di riduzione del prezzo dovranno indicare quello praticato nei 30 giorni precedenti; (ii) sarà elevato da 5 a 10 milioni il limite massimo edittale relativo alla sanzione irrogabile dall’Autorità garante della concorrenza e del mercato (“AGCM”) in caso di pratica commerciale scorretta; (iii) sarà consentito al consumatore di adire il giudice ordinario in caso di pratiche commerciali sleali; (iv) verrà prevista la sanzione da 5.000 euro a 10 milioni per violazioni in materia di clausole vessatorie.

ACCORDO AMAZON / ANTITRUST UE – Il Financial Times riporta che si sarebbe raggiunto un accordo tra il colosso dell’eCommerce e l’autorità UE in merito ad alcune delle più redditizie pratiche commerciali poste in essere da Amazon: la principale, la c.d. “buy box” che comportano un importante aumento dei ricavi e delle vendite, ma sfavoriscono la concorrenza con meccanismi come il “lock-in” dei clienti Prime alla logistica di Amazon, a discapito dei venditori indipendenti. L’annuncio ufficiale dell’intesa è previsto, si riferisce, entro il 20 dicembre prossimo, e costituirà una prima base di confronto rispetto alla normativa del Digital Markets Act di recente approvazione.

SANZIONE AGCM – L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha sanzionato Vinted, società operante nel settore della vendita online di articoli – principalmente di abbigliamento – di seconda mano, per pratiche commerciali scorrette legate alla pubblicità ingannevole. Oggetto della contestazione sono stati infatti dei claim quali, ad esempio “vendita senza commissioni”, o ancora,  “zero commissioni, zero limiti”, i quali – secondo l’AGCM – celavano una serie di costi addebitati in realtà agli utenti per ogni transazione, che rendevano il servizio sostanzialmente non gratuito, come invece pareva dagli spot pubblicitari.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

FRANCIA – Il CNIL (Garante francese) ha richiesto commenti pubblici sul progetto di Raccomandazioni sulle Modalità di attuazione dei dispositivi di monitoraggio a distanza per gli esami online. A fronte della tendenza sempre in crescita di attività didattiche online – e, in particolare, di esami –  il CNIL ha sottolineato l’importanza e la necessità a che la privacy degli studenti non venga compressa in maniera sproporzionata. L’implementazione di sistemi di monitoraggio a distanza, infatti, risulta particolarmente invasiva e pertanto si richiede l’assunzione, da parte dell’istituto, della responsabilità del relativo trattamento di dat personali. Ulteriori raccomandazioni riguardano la scelta della corretta base giuridica 

MOZAMBICO – E’ stata pubblicata una proposta di legge sulla Cybersecurity con gli obiettivi di (i) garantire la sicurezza di cittadini e istituzioni e (ii) assicurare la protezione dei sistemi informatici e delle infrastrutture fondamentali del cyberspazio. Se la proposta diventerà legge, essa fonderà il Consiglio Nazionale per la Cybersicurezza in Mozambico, un organismo centrale e responsabile del coordinamento delle politiche, delle strategie e delle linee guida sul tema, di concerto con il Ministro dell’informazione e della comunicazione tecnologica. La proposta di legge è attualmente in fase di consultazione pubblica. 

BRASILE – E’ stato approvato dal Senato del Brasile il nuovo progetto di quadro normativo sull’intelligenza artificiale (“IA”) da parte della Commissione di giuristi istituita per il tema. Il progetto si fonda su tre pilastri centrali: (i) la garanzia dei diritti delle persone interessate dal sistema, (ii) la classificazione del livello di rischio e la previsione di misure di governance rivolte ad aziende che gestiscono sistemi di IA. 

CINA – Il Comitato Tecnico nazionale per la standardizzazione della sicurezza delle informazioni (“TC260”) ha richiesto una consultazione pubblica, aperta fino al 30 gennaio 2023, sulla proposta di legge relativa alla sicurezza delle reti Internet delle aziende. In particolare, il TC260 ha evidenziato che la bozza dello standard è una parte di una serie, pensata per garantire (i) la sicurezza dei dati, (ii) la sicurezza della rete e (iii) i requisiti tecnici di protezione dei dati. La proposta delinea i processi dei requisiti di sicurezza dei dati di Internet delle industrie, compresa la sicurezza dei dati e i requisiti di protezione della sicurezza. 

ARGENTINA – L’autorità argentina per la protezione dei dati personali (“AAIP”) ha pubblicato una risoluzione che classifica e stabilisce quali sono le violazioni minori, gravi e molto gravi nell’ambito dell’applicazione della legge locale sulla protezione dei dati personali. Il principale parametro di classificazione è la gradualità delle sanzioni. Tra le violazioni più gravi sono comprese: (i) dichiarare dati falsi all’atto dell’iscrizione all’Anagrafe Nazionale; (ii) trattare i dati personali senza un’adeguata base giuridica; (iii) raccogliere dati personali senza conferire agli interessati un’informativa adeguata; (iv) raccogliere ed elaborare dati particolari senza la dovuta anonimizzazione; (v) trasferire dati personali in paesi senza livelli adeguati di protezione.

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) ha annunciato un nuovo hub relativo al marketing diretto, destinato alle organizzazioni che vogliono pianificare e fornire campagne di marketing efficaci rispettose della privacy dei soggetti interessati e della normativa applicabile in materia. L’Hub specifica cosa dovranno fare le organizzazioni per adeguarsi alla legge, e fornisce raccomandazioni di buone pratiche per farlo. Tra le indicazioni: (i) l’identificazione delle pratiche di marketing diretto; (ii) la pianificazione attraverso un approccio di protezione dei dati by Design e fin dall’inizio; (iii) raccolta di informazioni per il marketing diretto in modo equo e chiaro, spiegando alle persone come verranno utilizzate le loro informazioni; (iv) rispetto delle preferenze delle persone, incluso il diritto assoluto di opporsi o rinunciare al marketing diretto in qualsiasi momento.

SVIZZERA – Il Centro nazionale per la sicurezza informatica (“NCSC”) diventerà un nuovo ufficio federale situato all’interno del Dipartimento federale della difesa, della protezione della popolazione e dello sport (“DDPS”). Il Consiglio federale svizzero ha infatti incaricato il DDPS di definire le strutture del nuovo ufficio federale entro la fine di marzo 2023. L’NCSC ha sottolineato che continuerà ad assumere i compiti fondamentali in materia di cybersecurity, che comprendono (i) il sostegno alle imprese e al pubblico in generale nella gestione degli incidenti informatici, (ii) la creazione di un ufficio nazionale di segnalazione e di un punto di contatto, (iii) la diffusione di informazioni e avvisi sulle minacce informatiche e sulle misure di protezione, (iv) la sensibilizzazione del pubblico in generale e la protezione dell’Amministrazione federale. 

ROMANIA – L’ANSPDCP (Autorità garante rumena) ha recentemente pubblicato delle linee guida indirizzate agli enti pubblici in materia di uso legittimo della #videosorveglianza negli spazi pubblici. L’Autorità, in particolare, ha sottolineato che anche gli enti pubblici, in qualità di titolari del trattamento, devono assicurare un trattamento di dati sicuro, adeguato e limitato a quanto effettivamente necessario per il perseguimento delle finalità individuate. In accordo con una sua precedente decisione (n.174/2018) l’Autorità ha poi ricordato la necessità di effettuare una DPIA quando si vuole porre in essere un trattamento di dati su larga scala mediante tecnologie, come appunto quella del #riconoscimentofacciale.

L’Organismo di Vigilanza come supervisore del whistleblowing

La questione che si propone nell’articolo è se l’Organismo di Vigilanza possa essere la figura più adeguata a ricevere e gestire le segnalazioni relative a illeciti commessi dai soggetti di cui all’art. 5 co. 1 del Decreto 231, o a violazioni del Modello di organizzazione e gestione di una società (“whistleblowing”).

La questione è aperta e dibattuta, anche e soprattutto a causa della lunga vicenda relativa al recepimento nell’ordinamento italiano della Direttiva UE 2019/1937 (“Direttiva whistleblowing”), che impone agli Stati membri dell’Unione europea di conformarsi entro il 17 dicembre 2021 – termine che l’Italia non ha ancora rispettato, nonostante la prossima scadenza del 10 dicembre 2022 della legge di delegazione europea (Legge n. 127 del 4 agosto 2022).

L’assenza di poteri gestori dell’Organismo di Vigilanza

L’Organismo di Vigilanza, per il ruolo che svolge e le caratteristiche che gli sono attribuite dalla legge, è autonomo, indipendente e ha l’onere di vigilare sul funzionamento, sul rispetto e sull’aggiornamento del Modello di organizzazione e gestione della società.

Dal punto di vista della struttura della società, la dottrina ha nel tempo riportato che l’Organismo di Vigilanza non costituisce un organo della società, e non ha una funzione di garanzia degli interessi collettivi, o di terzi soggetti; esso è piuttosto un suo “ufficio”, la cui presenza costituisce una modalità organizzativa interna.

Il Decreto 231, inoltre, non attribuisce all’Organismo di Vigilanza poteri di intervento impeditivi nei confronti di comportamenti irregolari o illeciti, né poteri disciplinari e sanzionatori diretti, che richiederebbero un’autorità e una signoria sui comportamenti altrui all’interno e all’esterno della società.

La presenza in azienda di membri dell’Organismo di Vigilanza non risulta funzionale ad una gestione dell’ente e non consente ai componenti di intromettersi nelle scelte dell’imprenditore circa le modalità di conduzione dell’impresa.

Anche il Garante Privacy ha segnalato, nel suo parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231 del 12 maggio 2020, che l’Organismo di Vigilanza, pur avendo funzioni di controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, e non ha obbligo di denuncia all’autorità giudiziaria in relazione agli illeciti di cui viene a conoscenza a causa e nell’esercizio delle sue funzioni.

Per la giurisprudenza di legittimità (Cass. Pen. Sez. VI n. 23401 del 11/11/2021) l’Organismo di vigilanza non può avere connotazioni di tipo gestorio, che ne minerebbero l’autonomia, ma ad esso spettano compiti di controllo sistemico continuativo sulle regole cautelari predisposte e sul loro rispetto nell’ambito del modello organizzativo di cui la società si è dotata.

Il whistleblowing non deve essere gestito, ma controllato dall’Organismo di Vigilanza

Il comma 2-bis dell’art. 6 del Decreto 231 prevede che i Modelli di Organizzazione e Gestione devono prevedere uno o più canali che consentano ai soggetti in posizioni apicali e a coloro che sono sottoposti alla loro direzione e controllo di presentare, a tutela dell’integrità della società, segnalazioni circostanziate di condotte illecite o di violazioni del Modello di organizzazione e gestione.

Il Decreto 231 non reca alcuna indicazione circa i destinatari delle segnalazioni, né individua i gestori dei canali previsti dal Decreto stesso.

Non spetta quindi ex lege all’Organismo di Vigilanza la gestione delle segnalazioni in questione, ed è anche rimessa alla discrezionalità della Società la scelta di individuare in un soggetto diverso il destinatario di tali segnalazioni, che avrà il compito di istruirle e adottare ogni provvedimento conseguente.

Il fatto che l’Organismo di Vigilanza non debba necessariamente essere il gestore del whistleblowing, però, non significa che esso possa rimanere estraneo alle segnalazioni e al loro seguito: l’Organismo di Vigilanza deve comunque vigilare sulle segnalazioni, in quanto parte necessaria del Modello di organizzazione e gestione.

_______________________________________________

Immagine di copertina di John Peters grazie a Unsplash

News #47: importante sanzione AGCM per chiamate indesiderate; diritto all’oblio valido in tutto il mondo; arrivano i regolamenti DORA e CHIPS

Immagine di copertina di Ash Edmonds grazie a Unsplash

MERCATI DIGITALI

AGCM vs ENEL ENERGIA – L’Autorità Garante della Concorrenza e del Mercato (AGCM) ha recentemente annunciato di aver sanzionato Enel Energia e le sue agenzie partner per un totale di oltre 5 milioni di euro. Il provvedimento si ricollega alla constatata natura ingannevole delle pratiche commerciali operate nella vendita di servizi energetici effettuate mediante servizi di segreteria telefonica automatizzata al fine di indurre i consumatori –  anche quelli che non avevano prestato un preventivo consenso alla telefonate di marketing – a stipulare contratti con la società. Più in particolare, la voce pre-registrata avrebbe diffuso false notizie circa la data prevista per la cessazione del cd. #mercatotutelato (fissata al 10 gennaio 2024 ma spacciata come “imminente”).  La natura ingannevole e l’insistenza delle telefonate hanno permesso all’Autorità di qualificare le pratiche commerciali come #aggressive e #scorrette.

TWITTER/1 – Ancora una settimana interessante per quanto riguarda la “nuova era Musk” di #Twitter.  All’esito di un sondaggio condotto sulla piattaforma, #DonaldTrump –  espulso dal social nel gennaio 2021, a seguito dei suoi tweet a sostegno dell’attacco a Capitol Hill –  è stato riammesso. Per dare il “bentornato” all’ex @potus – account ufficiale del “President of the United States” – #Musk ha deciso di pubblicare (senza permesso) una tavola di  #MiloManara,  ironizzando sulle capacità di Trump di non cadere nella “tentazione” di usare il social. La reazione del fumettista italiano non è tardata  ad arrivare: l’artista ha affermato sulle proprie pagine social (scrivendo, provocatoriamente, anche in inglese) l’intenzione di far causa a Musk per 44 miliardi così da poter comprare a sua volta Twitter.;

TWITTER/2 – Dopo l’ondata di licenziamenti che ha colpito oltre la metà dei dipendenti della società, Twitter procede ad una assunzione che fa (altrettanto) notizia. Per i prossimi tre mesi, infatti, lavorerà alle funzionalità della piattaforma George “geohot” Hotz, hacker famosissimo a livello mondiale anche per aver collaborato con le big Google e Facebook. Nel frattempo si segnala che il lancio dell’iniziativa “premium” (prevista per il 29 novembre) è stata nuovamente rinviata, stavolta a data da destinarsi.

META SOSPENDE “GALACTICA” – Meta ha sospeso “Galactica”, piattaforma AI language-based descritta come in grado di memorizzare, combinare e ragionare sulla conoscenza scientifica, riassumendo articoli, risolvendo equazioni ed eseguendo una serie di altri compiti. Scienziati ed accademici hanno presto rilevato, invece, che l’intelligenza artificiale genera una grande disinformazione, anche attraverso la citazione di autori di articoli scientifici che non esistono. Secondo gli esperti del Max Planck Institute of Intelligent Systems, Galactica avrebbe creato false citazioni attribuendole a ricercatori del mondo reale. Inoltre la piattaforma distingue fake news da evidenze scientifiche, tanto da risultare pericolosa nella diffusione di contenuti di vario tipo.

DORA (DIGITAL OPERATIONAL RESILIENCE ACT) – Il Parlamento europeo ha approvato il contenuto del Regolamento “DORA” (Digital Operational Resilience Act), riguardante la resilienza operativa digitale per il settore finanziario. Lo spirito del regolamento è promuovere la resilienza operativa, costruire modelli operativi solidi ed efficaci per offrire tutele ai consumatori e costruire una solida struttura del settore finanziario, innovato profondamente da digitalizzazione e sistemi informatici, attraverso intermediari che offrono i loro servizi online.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY & CYBERSECURITY

IL DIRITTO ALL’OBLIO VALE IN TUTTO IL MONDO – Con una recentissima pronuncia (ordinanza n. 34658, pubblicata lo scorso 24 novembre) la Suprema Corte di Cassazione si è pronunciata in materia di #dirittoalloblio. Accogliendo il ricorso proposto dal #Garante contro #Google (relativo alla diffusione, da parte del colosso di Mountain View, di informazioni inerenti ad una vicenda giudiziaria di natura penale – conclusasi con l’archiviazione – che ha coinvolto un manager italiano), gli Ermellini hanno stabilito che il diritto a non veder diffuse informazioni pregiudizievoli sul proprio conto deve essere esteso a tutte le piattaforme della società, anche quelle extraeuropee (il manager, infatti, risulta residente a Dubai). La decisione sconfessa dunque la ricostruzione fatta dal Tribunale di Milano, che aveva sostenuto la non extraterritorialità della legge italiana e dei provvedimenti della Garante per la protezione dei dati personali. A fondamento delle proprie ragioni, i giudici di piazza Cavour hanno richiamato la sentenza “Cnil” (resa dalla Corte di Giustizia dell’Unione il 24 settembre 2019) secondo la quale le autorità giudiziarie e di controllo devono in questi casi (i) procedere, innanzitutto, ad un bilanciamento tra #dirittodicronaca e diritto degli interessati a veder tutelata la propria sfera privata e (ii) richiedere ai gestori dei motori di ricerca di effettuare una #deindicizzazione dei contenuti su tutte le sue versioni. Lo standard valutativo per effettuare il bilanciamento – aggiunge in chiusura la Cassazione – deve essere quello proprio del diritto europeo o interno.

CENTRI UE PER LA SICUREZZA INFORMATICA – Come annunciato nella strategia europea del 2020 per la cybersicurezza, la Commissione europea e il Centro europeo di competenza sulla cybersicurezza (“ECCC”) hanno pubblicato un invito a selezionare gli enti che ospiteranno e gestiranno le piattaforme transfrontaliere per il rilevamento delle minacce informatiche negli Stati membri. All’interno degli organismi  collaboreranno enti pubblici competenti di diversi Stati membri insieme a soggetti privati. I centri operativi per la sicurezza transfrontaliera acquisteranno e utilizzeranno strumenti e servizi di individuazione delle minacce informatiche.

INFORMATIVE PRIVACY E INCLUSIVITA’ –  Il Gruppo di Lavoro per l’agevolazione dell’esercizio dei diritti dell’interessato di Federprivacy ha condotto una ricerca su un campione di 400 siti web in lingua italiana di settori diversi, verificando il livello di accessibilità delle informazioni presenti agli utenti con disabilità o limitazioni di altra natura. Nonostante la maggioranza dei siti esaminati abbia aggiornato la propria informativa, i risultati dal punto di vista dell’inclusività possono essere ampiamente migliorati, anche alla luce della recente strategia europea per le garanzie dei diritti umani delle persone svantaggiate, che dovrebbero comunque vedere rispettati i loro diritti sulla privacy. A questo fine, il Gruppo di Lavoro di Federprivacy ha preparato un vademecum per supportare gli enti pubblici e privati a redigere informative accessibili e inclusive.

CHIPS ACT – Gli Stati membri dell’UE hanno raggiunto un accordo, guidati dalla presidenza ceca nella sede del Consiglio, sulla legge europea sui semiconduttori (“Chips Act”). L’apposizione del sigillo da parte del Consiglio dell’Unione europea è fissata per il prossimo 1 dicembre, mentre è prevista per il prossimo anno l’approvazione del testo definitivo, a seguito di dibattito nel Parlamento europeo. Il Chips Act ha l’obiettivo di (i) rilanciare un settore ad alta innovazione dell’industria dell’Unione europea e (ii) allentare la dipendenza dai fornitori di semiconduttori di Stati Uniti e Asia, rendendo la catena di approvvigionamento più affidabile e resistente agli shock.

GUIDA ICO SUI TRASFERIMENTI INTERNAZIONALI – L’Information Commissioner’s Office (“ICO”) del Regno Unito ha pubblicato una guida sui trasferimenti internazionali (“TRA”, cioè “Transfer Risk Assessment”) che include uno strumento di sei domande utili per effettuare una valutazione sui trasferimenti internazionali. Le domande riguardano (i) le circostanze specifiche del trasferimento, (ii) il livello di rischio per i soggetti interessati in base ai dati personali trasferiti, (iii) la ragionevolezza e la proporzionalità del trattamento, (iv) rischi di violazione dei diritti umani (v) l’azionabilità del meccanismo di cui all’art. 46 UK GDPR (“garanzie adeguate”), (vi) dati con rischio significativo.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CONTRASTO ALLA PROPAGANDA NAZIFASCISTA – Lo scorso ottobre sono state presentate in Parlamento due proposte di legge volte a emendare l’art. 604-bis c.p. ( rubricato “Propaganda e istigazione a delinquere per motivi di discriminazione razziale etnica e religiosa”) anche al fine di un suo inserimento nel novero dei reati-presupposto previsti dal #Decreto231. L’intento del legislatore sarebbe quello di includere all’interno della fattispecie la propaganda dell’ideologia nazifascista. La nuova fattispecie andrebbe dunque ad inserirsi nel già esistente articolo 25-terdecies (che attualmente trova il proprio fondamento esclusivamente nella legge n.654/1975, relativa alla eliminazione di tutte le forme di #discriminazionerazziale).

NOMINA DIFENSORE DELL’ENTE – I modelli di organizzazione, gestione e controllo (#MOGC) devono prevedere indicazioni specifiche per la nomina del difensore della società per tutti quei casi – chiaramente da scongiurare – in cui il rappresentante legale risulti indagato per uno dei reati-presupposto previsti dalla normativa #231. È quanto stabilito dalla Suprema Corte di Cassazione (con sentenza n. 35387, consultabile gratuitamente per gli iscritti all’associazione AODV231) al fine di assicurare alla società una difesa svincolata dal rischio di eventuali #conflittodiinteresse rispetto alle indagini a carico del rappresentante legale.

SUPERBONUS – Con sentenza n. 42012 (consultabile gratuitamente per gli iscritti all’associazione Aodv) la Corte di Cassazione ha affrontato la questione della rilevanza, dal punto di vista della responsabilità 231, dello sconto in fattura o cessione del credito nell’ambito delle ristrutturazioni agevolate dal #superbonus #110%. In particolare, secondo i giudici di piazza Cavour, la fatturazione in acconto di lavori non ancora eseguiti (o completati soltanto parzialmente) integra il reato di emissione di fatture per operazioni inesistenti: i crediti di imposta – idonei all’utilizzo a fini fiscali – sarebbero nella realtà assolutamente inesistenti.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

ROMANIA – L’Autorità nazionale di vigilanza per il trattamento dei dati personali rumena (“ANSPDCP”) ha sanzionato per 20.000 euro una banca locale per un incidente di sicurezza, che ha comportato la divulgazione e l’accesso ai dati personali dei clienti della banca senza previa autorizzazione. Nella decisione si legge, in particolare, che la banca non aveva posto in essere misure tecniche e organizzative adeguate per garantire la sicurezza dei diritti e delle libertà delle persone fisiche.

USA/1 – Un gruppo di Procuratori Generali di vari stati U.S.A. (tra gli altri, quelli di California e Massachusetts) ha di recente inviato una lettera ad #Apple per esprimere le proprie raccomandazioni (e preoccupazioni) affinché questa si metta in moto per garantire che le app terze presenti sull’ App Store agiscano nel rispetto degli standard privacy necessari per assicurare un adeguato livello di garanzia per i diritti degli interessati interessati (soprattutto quando in gioco c’è la raccolta di dati inerenti alla salute riproduttiva). In particolare, i Procuratori Generali hanno intimato ad Apple di chiedere agli sviluppatori delle varie app di garantire l’adozione di misure di tutela, tra cui l’eliminazione dei dati non necessari per l’utilizzo dell’app.

USA/2 – Il “National Do Not Call Registry” (anche “DNC Registry”) è lo strumento che – al pari del nostro Registro delle Opposizioni – consente ai consumatori statunitensi di inserire il proprio numero di telefono all’interno di una lista di contatti che non gradisce ricevere telefonate di #marketing. Una volta in lista, ogni telefonata molesta può essere segnalata direttamente alla Federal Trade Commission (FTC). Lo scorso 21 novembre la FTC – come ogni anno, da 14 anni – ha rilasciato il “National Do Not Call Registry Data Book”, documento che fornisce un resoconto dei reclami promossi dai consumatori iscritti al DNC Registry contro le chiamate di telemarketing ricevute nel corso dell’anno. Secondo i risultati condivisi, nel corso del 2022 sarebbero stati oltre 3 milioni i reclami presentati e oltre 2,5 milioni i consumatori di nuova iscrizione. 

ESTONIA – L’Autorità garante estone ha gestito tre reclami riguardanti lo stesso Titolare del trattamento, contestando loro di non aver risposto adeguatamente alle richieste del soggetto interessato e affermando che la richiesta di un documento d’identità a fini di verifica è accettabile se sussiste un ragionevole dubbio sull’identità dell’interessato. L’Autorità garante ha posto l’attenzione sul fatto che, ai sensi dell’articolo 5, paragrafo 1, lettera a), del GDPR , i dati devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato, e ai soggetti interessati non devono essere fornite informazioni fuorvianti in merito al trattamento dei dati. Ne parla anche GDPRHub, qui.

GERMANIA – Il Tribunale del lavoro di Heilbronn ha dichiarato invalida la risoluzione del contratto di lavoro di un DPO senza preavviso, a causa delle tutele garantite dalla legge tedesca sulla protezione dei dati (Bundesdatenschutzgesetz, “BDSG”) e della mancanza di prove di una concreta violazione dei doveri del DPO. Il tribunale ha dichiarato nullo il licenziamento del DPO, in quanto non sono stati riscontrati motivi ragionevoli per giustificare il licenziamento. La giustificazione della risoluzione del rapporto di lavoro si basava esclusivamente sull’incapacità del DPO di adempiere alle proprie responsabilità, in contrasto con la BDSG, che richiede una concreta violazione dei doveri del DPO, della quale deve essere data prova.

UK E COREA DEL SUD – Il Dipartimento per il digitale, la cultura i media e lo sport (DCMS) del Regno Unito ha recentemente annunciato di aver preso la decisione di stipulare un accordo di adeguatezza (il primo da “solista”, dopo l’uscita dall’UE) per il trasferimento dei dati personali con la Corea del Sud, ai sensi dell’art. 45 dell’UK GDPR. La decisione è stata presa a seguito di un iter di valutazione, al termine del quale è stato possibile affermare che – in virtù di una solida normativa in materia di privacy – la Corea offre adeguate tutele ai dati personali dei cittadini britannici. Sulla decisione è intervenuto anche l’ICO (Autorità garante locale) con un parere nel quale – oltre a concordare con la decisione – suggerisce, tra le altre cose, di tenere monitorate eventuali modifiche alla normativa sud coreana in materia (modifiche che potrebbero, eventualmente, impattare sulla sopravvivenza della decisione di adeguatezza).

HONG KONG – L’Office of the Privacy Commissioner for Personal Data (PCPD) ha annunciato di aver arrestato un uomo sospettato del reato di #doxxing, e cioè per aver divulgato – con intenzioni malevole – dati personali senza il consenso dell’interessato. Dalle indagini sarebbe emerso che l’uomo – un 48enne cinese, agente di approvvigionamento di lavori part-time che aveva organizzato per la vittima diversi lavori – aveva divulgato, in seguito ad una controversia, dati personali della vittima su una app di messaggistica istantanea. La divulgazione dei dati (tra i quali il nome, il numero di telefono e una copia del documento di identità) era stata inoltre accompagnata da un messaggio in cui l’imputato affermava che il soggetto in questione non sarebbe mai più stato assunto. Attualmente le indagini sono ancora in corso, ma all’imputato è stata intanto concessa la libertà su cauzione.

GERMANIA (BASSA SASSONIA) – Dopo aver ricevuto numerose segnalazioni circa l’uso di #GoogleFonts, la LfD Niedersachsachsen (Autorità garante della Bassa Sassonia) ha recentemente invitato gli operatori dei siti web a progettarli in maniera conforme alle norme dettate in materia di protezione dei dati personali. L’origine delle segnalazioni è da rinvenirsi in una sentenza (LG München I – 3 O 17493/20) resa lo scorso 20 gennaio dal tribunale regionale di Monaco, con la quale veniva riconosciuto alla parte attrice – promotrice di una causa contro un gestore di siti web –  un risarcimento del danno per utilizzo di Google Fonts in violazione delle disposizioni a tutela dei dati personali. L’integrazione di tali Fonts, infatti, può avvenire in due modi: (i) integrandoli online – con la conseguenza, però, di un automatico trasferimento dei dati degli utenti verso gli U.S.A. – o (ii) scaricandoli e memorizzandoli localmente sul server dell’utente del sito web – soluzione consigliata dall’Autorità garante in quanto maggiormente tutelante per gli interessati. 

Sistema 231 e commissione di reati colposi: quale compatibilità?

La Corte di Cassazione nella sentenza n. 39615/2022 ha annullato la sentenza della Corte d’Appello di Bologna relativa alla condanna di una società per il reato di lesioni colpose patite da un dipendente della società stessa, a seguito della violazione di norme poste a tutela della sicurezza sul lavoro.

Nelle motivazioni della sentenza i giudici di legittimità operano una ricostruzione relativa all’applicabilità del D. Lgs. 231/2001 (“Decreto 231”) ai reati colposi, che in questo articolo si ripropone.

Contesto normativo

Il modello repressivo previsto dal Decreto 231 è un “modello chiuso“, perché solamente la commissione dei reati previsti dalla Sezione III del Capo I del Decreto 231 fonda la responsabilità dell’ente (“Omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro”).

In origine, i delitti colposi di omicidio e lesioni personali sul lavoro non facevano parte dell’elenco dei reati 231. Poi, l’art. 9 co. 1 della Legge n. 123/2007 ha inserito nel Decreto 231 l’art. 25-septies, ulteriormente modificato, nell’attuale configurazione, dall’art. 31 del D. Lgs. 81/2008.

In questo modo, lo schema di responsabilità degli enti è stato esteso anche alla commissione dei delitti colposi contro la vita e l’incolumità personale.

L’interesse e il vantaggio nei reati colposi

Con riferimento ai reati colposi nel Decreto 231, affinché l’interesse per l’ente sussista, è necessaria la violazione di norme antinfortunistiche, perché è proprio da tale violazione che la persona fisica ritiene di poter trarre un beneficio economico per l’ente, cioè un risparmio di spesa.

La sussistenza di tale consapevole violazione potrà apparire più evidente nei casi di colpa “cosciente”, o con previsione dell’evento, nei quali la volontà dell’agente non è diretta verso l’evento e, pur avendo concretamente presente la connessione causale fra la violazione delle norme cautelari e l’evento illecito, l’agente si astiene dall’agire doveroso per trascuratezza, insipienza, imperizia o irragionevolezza.

L’agente ripone la propria fiducia nella non verificazione dell’evento, ma è pienamente consapevole della violazione delle regole cautelari, e potrebbe porre in essere la violazione allo scopo, come spesso accade, di ottenere un risparmio di spesa.

Il vantaggio è invece un criterio oggettivo, legato all’effettiva realizzazione di un profitto in capo all’ente quale conseguenza della commissione del reato, e deve essere analizzato a posteriori.

Esso viene rapportato alle specifiche contestazioni mosse alla persona fisica, salvaguardando il principio di colpevolezza, ma allo stesso tempo permette che venga colpito anche l’ente, che ha approfittato e tratto guadagno della violazione cautelare, da una sanzione.

Quanto alla consistenza del vantaggio, deve trattarsi in un importo non irrisorio, il cui concreto apprezzamento è rimesso alla valutazione del giudice di merito.

Il criterio del risparmio dell’ente

La questione che dottrina e giurisprudenza si sono posti è come sia possibile che sussista la responsabilità dell’ente in presenza di morte o lesioni colpose causate dalle persone fisiche previste dal Decreto 231, se il criterio oggettivo indispensabile per ritenere tale responsabilità è quello della commissione nell’interesse o a vantaggio dell’ente.

I reati colposi causalmente orientati, cioè fondati sulla mancata volontà dell’evento lesivo, sembrerebbero inconciliabili con l’idea di interesse o vantaggio dell’ente, dato che nessun interesse o vantaggio può essere perseguito da una persona fisica che si renda autrice di un delitto colposo, in cui l’evento non soltanto è involontario, ma è anche in contrasto, per sua stessa natura, con qualsiasi interesse per l’ente.

Tuttavia, ritenere che i delitti colposi siano inconciliabili con l’art. 5 del Decreto 231 significherebbe abrogare di fatto l’art. 25-septies.

La giurisprudenza ha elaborato, quindi, un criterio di compatibilità che ha permesso di ritenere operativo l’articolo: è il criterio per cui, nei delitti colposi, l’interesse o il vantaggio per l’ente non deve riferirsi alla commissione dell’evento del reato, ma deve riguardare unicamente la condotta.

Un interesse per l’ente può essere ottenuto dalla violazione delle norme antinfortunistiche solamente al momento della condotta e al netto dell’evento, sotto forma di risparmio di spesa o di accelerazione o massimizzazione della produzione.

______________________________________

Immagine di copertina di Ibrahim Rifath grazie a Unsplash

L’ADEGUATEZZA DELLA GOVERNANCE AI RISCHI DI SOSTENIBILITÀ

Questo articolo descrive il legame fra gli aspetti legati alla governance degli indicatori di sostenibilità – Environmental, Social and corporate Governance (“ESG”) – e il Codice della Crisi d’Impresa e dell’Insolvenza (“CCII”), aggiornato dal D. Lgs. n. 83 del 17 giugno 2022.

I due aspetti saranno analizzati prima singolarmente e poi in rapporto tra di loro.

Sostenibilità

Con l’acronimo ESG sono descritti alcuni elementi di valutazione, utilizzati soprattutto nel settore finanziario, utili al fine di giudicare la sostenibilità degli investimenti.

Fanno riferimento all’impatto ambientale (“Environmental”) parametri come le emissioni di anidride carbonica, l’efficienza nell’utilizzare risorse naturali, l’attenzione al cambiamento climatico, alla sicurezza alimentare, e molto altro.

Nell’aspetto sociale (“Social”) rientrano il rispetto dei diritti umani e delle condizioni di lavoro, oltre all’attenzione alle politiche di diversità in ogni loro declinazione.

La terza lettera della sigla contiene in sé due parole, probabile preludio di una doppia complessità: “corporate Governance”. In questa espressione rientrano, ad esempio, la presenza di consiglieri indipendenti, una struttura di gestione solida, la qualità delle relazioni con il personale, il rispetto degli obblighi fiscali.

Rischio di impresa

Il CCII mette al centro del sistema aziendale di prevenzione della crisi l’adeguatezza, da un lato, degli assetti societari e, dall’altro, delle misure di rilevazione tempestiva della crisi.

Il CCII ha recentemente modificato l’art. 2086 del codice civile italiano, nella parte sulla gestione dell’impresa, e ha introdotto nella disposizione un secondo comma che pone in capo all’imprenditore, che operi in forma collettiva o societaria, il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alla dimensione dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale.

Con assetto organizzativo si intende un impianto incentrato sulla concreta allocazione e sull’effettiva attuabilità del potere decisionale in azienda; con assetto amministrativo si intendono le procedure per garantire che le attività aziendali, in tutte le loro fasi, siano svolte in modo corretto e ordinato; l’assetto contabile rileva i fatti economici di gestione dell’azienda.

La relazione fra Governance e rischio di credito

Un’impresa dotata di assetti che possano essere considerati “adeguati” dovrebbe essere in grado di rilevare i fattori di rischio aziendali, e di valutare l’impatto di singoli eventi sull’equilibrio economico e finanziario.

Su questo equilibrio possono influire grandemente i rischi di sostenibilità, che il Regolamento (UE) n. 1088/2019 – “SFDR”, cioè Sustainable Finance Disclosure Regulation – definisce come eventi o condizioni di tipo ambientale, sociale o di governance che, se si verificassero, provocherebbero un significativo impatto negativo, effettivo o potenziale, sul valore dell’investimento eseguito da diversi attori finanziari nelle società.

Un rischio di sostenibilità non gestito può compromettere il merito creditizio di un’azienda, avere una ricaduta sulla gestione della leva finanziaria, influire sui rapporti con le banche e impattare, in mancanza di presidi di governance adeguati, l’equilibrio economico e finanziario.

Il binomio prevenzione dei rischi di sostenibilità e governance torna in esame anche nell’ambito degli obblighi di reporting dettati dalla normativa 231, dato che il Modello 231 è associato anche alla gestione di questi temi, e impone il monitoraggio dei rischi e delle condotte aziendali che possono avere impatti sui fattori ambientali, sociali e di governance, compresi i profili di corruzione attiva e passiva.

___________________________________________

Immagine di copertina di Andrew Wise grazie a Unsplash

News #40: arriva un nuovo accordo USA-UE sui dati (parte speciale!); norme sul whistleblowing; il TAR annulla la sanzione AGCM ad Amazon e Apple 

Immagine di copertina di Justin Luebke grazie a Unsplash.

SPECIALE DATA TRANSFER USA-UE

Per quanto sia ormai cosa nota – che si trascina da tempo senza particolari novità utili – la questione del “trasferimento di dati” tra UE e USA e le sue ricadute sull’utilizzo dei servizi forniti dalle società americane è giunta questa settimana ad un importante punto di #svolta.

Abbiamo quindi preparato un breve focus delle risorse ad oggi disponibili, per capire meglio cosa sta accadendo: seguiranno approfondimenti specifici man mano che la “novità” sarà commentata dagli attori in campo – incluso, e certo non ultimo, Max #Schrems, che ha già manifestato dubbi sul “passo in avanti” compiuto dall’amministrazione Biden e che #vigilerà con occhio attento sulle “svolte” della legislazione in materia di data protection.

Il nuovo E.O. di Biden

Il 7 ottobre il Presidente USA ha firmato un “Executive Order” (E.O.) finalizzato a consentire l’implementazione del nuovo EU-US Data Privacy Framework (“DPF”): in un fact sheet la Casa Bianca ha pubblicato i contenuti cardine di questa importante decisione, che mira a consentire all’Unione Europea (e nello specifico alla Commissione) di pronunciarsi nuovamente sulla #adeguatezza degli Stati Uniti d’America rispetto al libero flusso di dati personali sulle sponde dell’atlantico. L’annullamento del precedente Privacy Shield nel 2020, infatti – ad opera della sentenza #SchremsII – aveva reso complesso, e a tratti impossibile (vedi vicenda Google Analytics), utilizzare strumenti forniti da soggetti americani o comunque collegati a società USA-based.

Q&A pubblicato dalla Commissione UE

Al di qua dell’oceano, l’Unione Europea non si è fatta trovare impreparata. Lo stesso giorno la Commissione UE ha pubblicato una pagina di domande & risposte in cui dettaglia perchè, dopo l’annuncio congiunto del 25 marzo scorso, questo E.O. è un passo nella direzione di un nuovo accordo. In particolare:

  • sono previste salvaguardie di legittimità verso l’accesso ai dati personali da parte delle agenzie federali USA, con limiti legati alla necessità e proporzione di tutela di reali e legittimi interessi pubblici;
  • è previsto un meccanismo giudiziale di diversi livelli, a tutela di lamentele e situazioni limite (o in violazione della normativa), che include una corte dotata di poteri.

Cosa succede ora?

Al momento, nulla di significativo per l’uso di #GoogleAnalytics o di altri tool a matrice USA: come chiarisce anche il fact sheet della Commissione UE, al momento deve essere valutata l’adeguatezza dell’E.O. di Biden per arrivare ad una nuova decisione sui flussi di dati personali USA-UE, oltre che un nuovo “schema di certificazione” emesso dal Dipartimento del Commercio USA che stabilisca i requisiti per le società USA.

Certamente, l’uso delle clausole contrattuali tipo (“SCC”) e degli altri meccanismi già in vigore resta valido, e andrà rivalutato alla luce della situazione aggiornata: ci si chiede se può considerarsi ora meno rischioso il trasferimento di dati verso gli USA, dopo che l’E.O. ha superato (almeno in parte) i dubbi riguardanti il FISA 702 e l’E.O. 12333 al centro della sentenza Schrems II di annullamento del Privacy Shield.

Commenti a caldo

Non sono mancate le reazioni a questo importante annuncio: forse la più rilevante – e facile da prevedere – è stata quella di Max Schrems che, con la sua no-profit “NOYB” (None Of Your Business) ha pubblicato un primo articolo di revisione in cui propende per la non sufficienza di questo E.O. rispetto alle necessità poste dal diritto UE per una decisione di adeguatezza che sia solida ed effettiva. Segnaliamo anche una revisione “strutturata” del testo dell’E.O. sempre prodotta da NOYB, molto interessante.

A quando la decisione di adeguatezza?

Probabilmente non prima di alcuni mesi, dato che è necessario il parere – non vincolante – dell’EDPB (garanti europei riuniti) e dei singoli Stati Membri: NOYB ipotizza la primavera 2023, mentre l’annuncio di marzo poneva il prossimo autunno come la deadline sperata.

  • PRIVACY & CYBERSECURITY

MESE EUROPEO DELLA CYBERSECURITY – La ricorrenza rappresenta un’occasione per affinare la percezione dei #rischi connessi agli attacchi informatici, migliorando gli strumenti per difendersi. Gli esperti sottolineano ormai costantemente l’importanza di disporre di #backup dei propri dispositivi (“business continuity”, “disaster recovery”), e la sicurezza delle credenziali di autenticazione usate; ancora, il mese della cybersecurity è un buon momento per dare un’occhiata a #report come il Rapporto Clusit 2022, che mostra come phishing e ransomware siano fra le tecniche più utilizzate per gli attacchi.

CORTE DI GIUSTIZIA E DANNI PRIVACY NON MATERIALI – E’ stata di recente pubblicata l’opinione dell’Avvocato Generale della CGUE riguardo al caso (austriaco) C-300/21 di valutazione dell’automatismo, o meno, dei danni immateriali generati da una violazione del GDPR, di cui all’art. 82. In estrema sintesi, il parere propende per un diniego di ogni automatismo e una necessità di provare in concreto un effettivo danno per la persona, evitando qualunque presunzione o impostazione predefinita che superi il caso di volta in volta all’attenzione del giudice.

  • 231

WHISTLEBLOWING – Il prossimo 10 dicembre è una #data da tenere a mente per la compliance 231: il Governo sarà tenuto entro quel termine a rivedere la normativa in materia di #whistleblowing per adeguarla a quanto previsto dalla Direttiva UE 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell’Unione. Tra le novità che il Governo potrebbe introdurre nel recepire la normativa europea è compresa la #estensione dell’ambito applicativo del whistleblowing ad altri settori, quali la protezione dei dati personali, la sicurezza informatica e la sicurezza dei prodotti e dei trasporti.

  • MERCATI DIGITALI

TAR DEL LAZIO ANNULLA SANZIONE ANTITRUST  Con la sentenza n. 12507/2022 il TAR del Lazio (Sezione Prima) ha annullato le sanzioni comminate ad Amazon e ad Apple dall’Autorità Garante della Concorrenza e del Mercato (“AGCM”). All’esito del procedimento I842 (“VENDITA PRODOTTI APPLE E BEATS SU AMAZON MARKETPLACE”), le società avevano ricevuto, rispettivamente, sanzioni per 114.681.657 Euro e 58.592.754 Euro, per aver stipulato un’intesa ritenuta anticoncorrenziale e contestata in violazione dell’art. 101 TFUE. L’intesa era volta a riservare la vendita di prodotti Apple/Beats (prodotti Apple), tramite il #marketplace di Amazon agli Apple Premium Resellers, e riguardava una clausola del contratto stipulato tra Apple e Amazon nel 2018 che aveva l’obiettivo di contrastare la contraffazione presente nel marketplace online e, in particolare, in quello di Amazon. Le #censure proposte dalle ricorrenti – (1) tardività dell’avvio del procedimento; (2) violazione del contraddittorio in relazione alle informazioni rilevanti per la sua difesa; (3) irragionevolezza del termine a difesa – sono state accolte dal TAR del Lazio, che ha annullato i provvedimenti sanzionatori dell’AGCM.

DOCUMENTO CONTRO LA CONTRAFFAZIONE ONLINE – In occasione della settimana Anticontraffazione 2022, il 4 ottobre il Ministero dello Sviluppo economico ha presentato un documento programmatico condiviso, oltre che con società quali Amazon, Alibaba, Ebay, Meta, Google Italy, Yoox, Tik Tok, anche con il Movimento italiano genitori (“MOIGE”) e con l’Associazione per la tutela della proprietà intellettuale INDICAM. La finalità del programma è quella di tutelare i consumatori e le imprese dalla #contraffazione sul mercato online, notevolmente cresciuta durante il periodo Covid.

OPEN TERMS ARCHIVE  Un software gratuito e open source realizzato dal team dell’Ufficio dell’Ambasciatore francese per gli affari digitali. Il suo codice sorgente può essere liberamente riutilizzato e costruito, a condizione che i miglioramenti siano resi disponibili alla comunità alle stesse condizioni. Il suo funzionamento prevede che i #testilegali di un servizio online vengano riportati e poi tracciati da parte di collaboratori volontari che, più volte al giorno, li scaricano e archiviano e, quando sono individuati cambiamenti, li registrano e li espongono.

TWITTER-MUSK SAGA – Continuiamo con gli aggiornamenti sulla vicenda: il processo al momento è stato #sospeso per tre settimane, durante le quali saranno svolti dei negoziati volti a trovare un accordo transattivo e a consentire di concludere l’acquisto di Twitter da parte del magnate sudafricano. Entro il prossimo 28 ottobre sapremo di più.

  • NEWS DAL MONDO

UK – Annunciato dal nuovo Segretario di Stato per il Digitale, la Cultura i Media e lo Sport un “nuovo approccio” al trattamento dei dati che vorrebbe prendere una direzione divergente rispetto al GDPR e alla normativa attualmente in vigore, lo “UK GDPR”. #Preoccupante, a detta di molti commentatori, che in una fase così complessa a livello internazionale si decida di modificare nuovamente il framework operativo per un paese così importante, mettendo in pericolo anche la decisione di adeguatezza (provvisoria) emessa dalla Commissione UE.

USA  Il 4 ottobre 2022 la Casa Bianca ha un dato avvio a un progetto per una Carta dei diritti dell’intelligenza artificiale, che ruota intorno a #cinque #principi per la progettazione, l’uso e l’implementazione di sistemi automatizzati volti a proteggere il pubblico americano: (i) Sistemi sicuri ed efficaci; (ii) Protezioni contro la discriminazione algoritmica; (iii) Privacy dei dati; (iv) Avviso e spiegazione; (v) Alternative umane, considerazione e ripiego.

ARIZONA  Google LLC e il Procuratore Generale dell’Arizona hanno raggiunto un #accordo per 85 milioni di dollari a conclusione del processo per pratiche ingannevoli e sleali nei confronti degli utenti. Google LLC raccoglieva, senza consenso, i loro dati sulla posizione personale monitorando gli smartphone, anche quando i consumatori avevano disabilitato la cronologia delle posizioni.

INDIA – Sarà la sessione invernale del parlamento locale a valutare la #nuovanormativa (revisionata) in materia di data protection: lo ha annunciato il governo alla Suprema Corte indiana.