News #15/2023: chi ha paura dell’AI? EDPB avvia una task force per studiare la situazione 

LE PRINCIPALI NEWS DELLA SETTIMANA

  • task force europea per capire i progressi e i rischi dell’AI, mentre in Italia ci occupiamo di richieste formali di modifica (alcune impossibili o quasi) di ChatGPT e un tavolo di lavoro sulla “age verification” con AGCOM;
  • Meta si prepara a far fronte ad una nuova, pesantissima sanzione – potenzialmente che può includere anche il blocco del trasferimento dati UE-USA, con già paventata sospensione di Facebook e Instagram;
  • la Cassazione interviene sull’annosa questione dei risarcimenti ai clienti dopo episodi di phishing, questa volta dando ragione a Poste Italiane (anche se, va segnalato, oltre tredici anni dopo i fatti);
  • in USA si muovono, sul fronte leggi privacy, anche Lousiana, Tennessee e Indiana.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • partner di Hogan Lovells e voce molto presente nelle conferenze e iniziative internazionali di IAPP, Eduardo Ustaran è il profilo LinkedIn che consigliamo di seguire questa settimana, anche per avere una privilegiata finestra di notizie sul mondo dello “UK GDPR” in costante movimento.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Midnight Mood – Michael Brecker (2001 – Nearness Of You: The Ballad Book)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

CHATGPT / TASK FORCE EUROPEA – Dopo il provvedimento di limitazione provvisoria disposto dal Garante italiano nei confronti di #ChatGPT, i Garanti europei riuniti nell’EDPB hanno deciso di istituire una #taskforce dedicata. L’obiettivo è quello di unire le forze e le competenze al fine di promuovere la cooperazione e lo scambio di informazioni tra le stesse Autorità al fine di garantire l’applicazione e il rispetto del GDPR. Nel frattempo, alcune Autorità – come quella spagnola – hanno parallelamente annunciato l’avvio di indagini di approfondimento in materia: nessuna, però, intervenendo “con urgenza” come il nostro Garante con limitazioni o impedimenti al trattamento.

GARANTE E CHATGPT – Com’è noto, con il provvedimento di limitazione provvisoria adottato dal nostro Garante lo scorso 30 marzo è stato dato a #OpenAI – la società sviluppatrice di #ChatGPT – un termine di 30 giorni per adeguarsi alle prescrizioni imposte dal Garante. Con provvedimento dell’11 aprile il Garante ha stabilito che, qualora entro il 30 aprile la società avrà adottato le necessarie misure concrete atte a garantire la tutela dei diritti degli utenti italiani in materia, la limitazione provvisoria verrà sospesa, venute meno le ragioni d’urgenza che erano alla base del provvedimento. In particolare OpenAI dovrà (i) rendere sul proprio sito web una #informativa trasparente, (ii) selezionare la #base #giuridica del consenso o del legittimo interesse per il trattamento e l’utilizzazione dei dati, (iii) mettere a disposizione degli utenti tutti gli #strumenti utili per garantire l’esercizio dei #diritti sanciti dal GDPR. Scadenze differite – in particolare, entro il 31 maggio o al più tardi 30 settembre – sono fissate per quanto riguarda l’implementazione di un sistema di age verification per la tutela dei minori.

TAVOLO PER TUTELARE I MINORI – Tra AGCOM e Garante è stato aperto un confronto di durata annuale con l’obiettivo di rafforzare la tutela dei minori online, come si legge nel comunicato dello scorso 12 aprile: le due Autorità lavoreranno per creare un codice di condotta e altri strumenti finalizzati anche a sperimentare forme di cooperazione nella tutela degli utenti di servizi digitali, anche attraverso nuove soluzioni di age verification.

META – La Commissione europea per la protezione dei dati personali (EDPB) ha comunicato di aver adottato lo scorso 13 aprile una #decisione #vincolante ex art. 65 GDPR relativa al progetto di decisione del Garante irlandese (DPC) in materia di trasferimenti di dati personali verso gli Stati Uniti effettuati da #Meta e, più in particolare, dal suo servizio #Facebook. La decisione, più in particolare, risolve in collaborazione con altre Autorità garanti europee la questione relativa all’opportunità di irrogare una #sanzione amministrativa e/o disporre un ulteriore ordine di adeguamento del trattamento all’interno della decisione finale del Garante irlandese. Entro un mese dalla notifica della decisione vincolante, la DPC è tenuta ad adottare la sua decisione, dopo di chè sarà poi disponibile anche il testo della decisione vincolante resa dall’EDPB.

UE-USA – Nell’ambito della Commissione per le libertà civili deI Parlamento europeo, una risoluzione adottata dalla maggioranza dei deputati si è dichiarata contraria all’adozione del progetto di decisione di adeguatezza relativo ai trasferimenti internazionali verso gli Stati Uniti (cd. Data Privacy Framework). A renderlo noto è lo stesso Parlamento con comunicato dello scorso 13 aprile all’interno del quale spiega che, secondo i deputati, il progetto – pur rappresentando indubbiamente un miglioramento – non è sufficiente a giustificare l’adozione di una decisione di adeguatezza della Commissione. Inoltre, sebbene il Data Privacy Framework istituisca un tribunale per il riesame finalizzato a decidere sui risarcimenti da erogare ai cittadini europei, resterebbe tuttavia la segretezza delle stesse decisioni del tribunali a minare i diritti del GDPR, in particolare quello di accesso e quello di rettifica dei propri dati personali.

Non è stato fornito nessun testo alternativo per questa immagine

231 & PENALE SOCIETARIO

MANIPOLAZIONE DEL MERCATO – Con la sentenza n. 12340 dello scorso 23 marzo (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che per integrare il reato di cui all’art. 185 TUF,  #manipolazione del #mercato, è sufficiente che dalla diffusione di informazioni false o dalla messa in atto di artifizi possano derivare delle modifiche relative al valore delle azioni, non essendo necessaria una effettiva alterazione dello strumento finanziario. Secondo gli Ermellini “l’alterazione dell’andamento del titolo azionario (…) certamente assume una valenza altamente sintomatica dell’idoneità della condotta illecita [ma ciò non toglie che il delitto di cui all’art. 185 T.U.F. sussista a prescindere da variazioni del valore del titolo azionario, tutelando la fattispecie in questione l’interesse dell’ordinamento giuridico alla corretta formazione del prezzo dello strumento finanziario”. Sulla base di ciò, la Cassazione ha pertanto confermato la condanna di due imprenditori che, attraverso la diffusione della notizia falsa per cui degli investitori fossero interessate all’acquisto del 49,99% delle quote azionarie di una società, avevano generato una alterazione sensibile del titolo azionario di tale società.

USA / INDAGINI SUGLI ENTI – Alcune importanti novità in materia di criminalità di impresa sono state annunciate dal Dipartimento di Giustizia americano (DOJ), tra cui l’adozione della nuova versione della “Evaluation Guidance”. La guida raccoglie una serie di indicazioni per gli organi investigativi finalizzate a (i) valutare i sistemi di compliance delle aziende coinvolte in procedimenti penali e (ii) promuovere accordi tra accusa e difesa. In particolare, vengono individuati tre tipi di controllo: (i) accertare che i sistemi di compliance aziendale siano stati ben implementati in ottica di prevenzione di illeciti aziendali, (ii) valutarne l’effettiva attuazione attraverso l’analisi dei fondi impegnati dalla società per perseguire tali obiettivi di compliance e (iii) valutare le comunicazioni, la formazione interna, i rapporti con i terzi e i flussi informativi. Il Dipartimento chiarisce poi nel documento che l’eventuale commissione di un illecito non indica di per sé una mancanza di compliance nel contesto aziendale. La valutazione, infatti, va compiuta innanzitutto ex ante sugli sforzi profusi dalla società per evitare l’illecito, e solo dopo va estesa all’accertamento delle cause e alle azioni compiute per porvi rimedio, anche attraverso l’attivazione del sistema disciplinare.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

CASSAZIONE SU PHISHING – Con la recente sentenza n. 7214/2023 la Corte di Cassazione ha confermato la pronuncia della Corte d’Appello di Palermo, che aveva rigettato la domanda risarcitoria proposta da un cliente di Poste Italiane a seguito di una truffa online. Il cliente, infatti, avrebbe agito in modo imprudente e negligente, consegnando le proprie credenziali di accesso al conto corrente a un truffatore online, che avrebbe disposto illegittimamente un bonifico di 6.000 euro. L’intermediario Poste Italiane, invece, è stato esonerato dal risarcimento del danno, perché aveva adottato tutte le misure di sicurezza del caso, e aveva adeguatamente informato i clienti della necessità di avere cura delle proprie credenziali per evitare truffe. Il testo della sentenza è disponibile su richiesta.

TWITTER – Twitter Inc non esiste più. Stando a un documento depositato lo scorso 4 aprile presso un tribunale federale della California, la società fa ora parte di X Corp – società di social media di proprietà dello stesso Elon #Musk. L’idea del magnate sudafricano pare essere quella di modificare l’essenza del social in modo da renderla “qualcosa di più”, qualcosa di simile alla cinese #WeChat: uno strumento, cioè, che sia in un’unica soluzione un social, un servizio di messaggistica e uno strumento di pagamento. Tale mossa potrebbe essere stata pensata dal patron di Tesla per rientrare dalle perdite registrate nei mesi successivi all’acquisto del social, il cui valore attuale si attesta alla metà di quello posseduto in fase di acquisto (20 miliardi, a fronte dei 44 pagati).

WHATSAPP – Anche #WhatsApp si sta trasformando. L’idea di Mark Zuckerberg – CEO di #Meta – è infatti quella di renderla una piattaforma idonea per l’e-Commerce e per retail in generale attraverso l’implementazione di funzionalità di pagamento in app. Per il momento la funzionalità è già attiva in Brasile, in via sperimentale e in relazione ai soli account Business. Anche Mark, come Elon, pare aver subito il fascino del modello #WeChat.

SPUNTE BLU PER LINKEDIN – Come i principali social al mondo hanno impostato da tempo, anche LinkedIn ha deciso di avviare le spunte blu sul sito. A differenza di Facebook, Instagram e Twitter però, la rete professionale di proprietà Microsoft non chiederà alcun pagamento per ottenere il badge, che sarà invece associato, per gli utenti che lo chiederanno, al proprio datore di lavoro. Una sorta di riconoscimento per appurare che il professionista è realmente chi afferma di essere sul network. In particolare, LinkedIn evidenzierà le verifiche con un segno di spunta sui profili. La verifica tramite e-mail aziendale è già disponibile per tutti gli utenti di LinkedIn, a condizione che lavorino presso una delle oltre 4.000 aziende supportate. La verifica di Microsoft tramite il sistema “Entra” verrà invece lanciata alla fine di aprile per 2 milioni di membri e poi estesa a tutti gli altri. 

CULTURA DIGITALE – Nuovi fondi per sostenere le imprese digitali attive nel settore della cultura sono stati destinati attraverso il Pnrr per la transizione digitale e verde della filiera: con un avviso pubblico, infatti, il Governo ha dichiarato che gli interventi saranno finalizzati: (i) alla realizzazione di attività, progetti o prodotti improntati sul #ecodesign e sulla #sostenibilità, anche finalizzati alla sensibilizzazione del pubblico verso tematiche ambientali; (ii) all’ideazione di strumenti e soluzioni per la realizzazione di #eventi, attività e servizi culturali a #basso #impatto #ambientale; (iii) alla realizzazione di azioni di pianificazione strategica, organizzativa ed operativa per la redazione e attuazione di piani di sviluppo di governance e di misurazione degli impatti ambientali; (iv) alla realizzazione di prodotti #culturali con una forte componente educativa e didattica finalizzati alla sensibilizzazione del rispetto dell’ambiente; (v) alla realizzazione di attività di sviluppo e prototipazione sperimentale, finalizzate all’ecodesign dei prodotti e al recupero, #riuso#riciclo di prodotti.

TECNOLOGIE IMMERSIVE E FORMAZIONE – L’Università Luiss Guido Carli di Roma è stata scelta da #Meta nell’ambito di un progetto europeo che mira ad analizzare l’impatto delle tecnologie immersive sull’educazione, attraverso test sul campo e iniziative sperimentali. Cinque le istituzioni accademiche selezionate oltre ad una serie di esperti e think-tank – tra cui l’università di Glasgow, l’Esade di Barcellona, il France Immersive Learning e il Straightlabs in Germania. L’iniziativa fa seguito ad una recente ricerca condotta dalla Xr Association e dalla International Society for technology in education, da cui è emerso che un’ampia percentuale degli insegnanti considera l’extended reality uno stimolo alla curiosità e al coinvolgimento degli #studenti in classe.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

KENYA – L’Ufficio della Commissione per la protezione dei dati kenyota (ODPC) ha annunciato tramite un tweet la propria decisione di emettere un avviso di sanzione di 5 milioni di KES (pari a circa 33 mila 800 euro) contro Regus Kenya per non aver dato esito non solo ai reclami dell’interessato denunciante, ma anche alle relative richieste sollevate dall’Autorità. Le doglianza del denunciante, più in particolare, riguardavano il frequente (e fastidioso) spam di comunicazioni automatizzate inoltrate dalla società nonostante le plurime richieste di interrompere tale pratica.

GUYANA – Pubblicato il 16 aprile un draft della legge locale in materia privacy, aperto per commenti sino al 3 maggio 2023. In un post di Bartlett Morgan l’approfondimento, particolarmente interessante perchè fornisce anche una overview della situazione nell’area, chiarendo l’ispirazione al GDPR.

USA (LOUISIANA) – Lo scorso 10 aprile è stato presentato e letto per la prima volta in Senato il disegno di legge n.199 in materia di protezione dei dati dei consumatori. Il disegno di legge prevede, in particolare, istituisce obblighi per le società titolari e responsabili del trattamento stabilite in Louisiana e per le società che producono prodotti o forniscono servizi destinati ai consumatori dello Stato.

USA (INDIANA) – Il Senato dell’Indiana ha approvato un testo di legge (già contenente i rilievi della camera dei deputati) in materia di dati personali, che si pone nel solco della legge della Virginia. Per un approfondimento sulle particolarità della legislazione locale, consigliamo questo post.

USA (TENNESSEE) – Il terzo stato di questa settimana a intervenire in ambito privacy si sta occupando, in particolare, di trasparenza e uso dei dati genetici: si possono seguire gli sviluppi del testo legislativo qui.

SPAGNA – L’Autorità garante spagnola (AEPD) ha pubblicato lo scorso 10 aprile un blog sul proprio sito web dal titolo “AI: Systems vs Processing, Means vs Purposes”. Nel blog l’Autorità chiarisce che l’intelligenza artificiale può essere utilizzata dai titolari del trattamento per operazioni sui dati personali nell’ambito di più ampi trattamenti di dati personali, e che lo scopo del trattamento non sempre coincide con i suoi mezzi. In particolare, l’AEPD sottolinea che è compito del titolare stabilire se l’uso dell’intelligenza artificiale implica una decisione automatizzata o se, sempre a fronte dell’uso dell’AI, è previsto l’intervento di un umano al fine di adottare la decisione finale. In sintesi, nell’opinione dell’Autorità le decisioni automatizzate non sono connesse e discendenti dall’uso in sé dell’intelligenza artificiale bensì da una chiara scelta del titolare.

FRANCIA – La Direzione generale per le imprese (“DGE”) della Francia ha aperto una consultazione pubblica sugli universi immersivi virtuali. Le parti interessate, tra cui cittadini, aziende e ricercatori, sono invitate a presentare commenti fino al 2 maggio sulle aspettative relative a tecnologie come la realtà virtuale e aumentata, la realtà blockchain e i software di creazione 3D. La DGE ha dichiarato che si profila una transizione digitale immersiva, e la consultazione pubblica consentirà alle parti interessate di “esprimersi sulle loro aspettative di fronte a questa novità, al fine di progettare una strategia francese in grado di anticipare questa transizione.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di SpaceX grazie a Unsplash.

News #11/2023: in Europa si discute di AI, Facebook Pixel e DPO, mentre in Iowa arriva la privacy

LE PRINCIPALI NEWS DELLA SETTIMANA

  • l’EDPB avvia una “task force” sul ruolo dei DPO
  • il Pixel di Facebook (Meta) è “illegale” come Google Analytics
  • l’AI ACT avanza insieme al Data Act: altre leggi in arrivo
  • META contro SIAE: una battaglia dolorosa
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Continuando con il filone degli esperti stranieri che si occupano di data protection, questa settimana consigliamo il follow ad un profilo “misterioso”, Mr. George M, che propone sempre spunti molto interessanti soprattutto in materia di compliance organizzativa.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Heard It Through The Grapevine – Marvin Gaye (1967)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

EDPB – Il 15 marzo, il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato la propria azione coordinata con la quale, al fine di valutare se i Data Protection Officer (“DPO”) detengono effettivamente, all’interno delle rispettive organizzazioni, una posizione con le caratteristiche richieste dagli articoli 37-39 del GDPR e le risorse necessarie per svolgere i propri compiti, inviterà le Autorità europee per la protezione dei dati a (i) inviare questionari ai DPO per un esercizio di accertamento dei fatti o per identificare se è giustificata un’indagine formale e (ii) avviare indagini formali. Inoltre, l’EDPB ha sottolineato che i risultati dell’iniziativa saranno analizzati in modo coordinato, e che le Autorità di protezione dei dati decideranno in merito a possibili ulteriori azioni locali di vigilanza e applicazione della normativa sulla protezione dei dati.

PIXEL META – L’Autorità austriaca per la protezione dei dati personali (DBS) ha di recente stabilito che il #pixel di tracciamento di Meta Platforms Inc viola non solo il GDPR ma anche quanto stabilito dalla Corte di Giustizia dell’Unione europea (CGUE) nella storica sentenza Schrems II. La decisione della DBS – resa pubblica proprio da NOYB, l’associazione di Max Schrems – scaturisce infatti dalle 101 denunce presentate dall’associazione contro Google Analytics, reggendosi sui medesimi presupposti: l’inevitabile trasferimento internazionale dei dati extra SEE, in particolare verso gli Stati Uniti.

NEWSLETTER GARANTE –  Pubblicata il 15 marzo l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata una società di servizi di messaggistica per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti; (ii) la sanzione ad un’azienda che, dopo l’interruzione della collaborazione con il dipendente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società; (iii) la firma di nuovi protocolli di intesa per contrastare revenge porn e cyberbullismo, con l’attenzione ad organizzare eventi che coinvolgano esperti di settore in materia di fenomeni sul web che riguardano i minori.

DATA ACT e AI ACT – Lo scorso 14 marzo nel corso di una votazione plenaria al Parlamento europeo è stata adottata la versione definitiva del #DataAct, la proposta legislativa che – come più volte specificato –  mira a (i) rimuovere tutti gli ostacoli alla libera circolazione dei dati industriali e (ii) regolare i diritti e gli obblighi delle parti coinvolte nella condivisione dei dati prodotti dal cd. Internet of Things (IoT). L’adozione di tale versione, che apre ai negoziati con la Commissione e il Consiglio,  rappresenta un passo molto importante in vista di una sua approvazione. Nella stessa giornata, Dragos Tudorache e Brando Benifei – i correlatori del Parlamento europeo – hanno condiviso una prima bozza di AI Act, nella quale vengono proposti alcuni obblighi specifici per i fornitori di cd. #GPAI, ossia sistemi di intelligenza artificiale per l’uso generale, come – ad esempio – ChatGPT). Per spunti di riflessione sul tema dell’Intelligenza Artificiale, segnaliamo anche questo interessantissimo articolo di Paolo Benanti.

BILANCIAMENTO NEL DIRITTO ALL’OBLIO – Con la sentenza n. 6806 la Suprema Corte di Cassazione si è recentemente pronunciata in materia di diritto all’oblio. I Giudici hanno in particolare stabilito che il gestore di un sito web non è tenuto a provvedere alla deindicizzazione e/o alla cancellazione di informazioni non più dotate dei caratteri di “ verità, continenza e attualità”  in assenza di una legittima ed esplicita richiesta da parte dell’interessato. Concordando con la ricostruzione del giudice di prime cure – secondo cui “la tutela del diritto all’oblio non comporta automaticamente in capo ad una testata giornalistica l’obbligo di rimozione o deindicizzazione della notizia, dal momento che il diritto del soggetto a non vedere rappresentata una versione di sé non più corrispondente alla realtà presuppone una valutazione di non attualità della notizia che non è possibile compiere se non dopo un’espressa richiesta dell’interessato” –  gli Ermellini hanno specificato che sarebbe in ogni caso oltremodo gravoso per il gestore di un archivio digitale l’onere di controllare periodicamente il superamento o la inattualità dei contenuti pubblicati. Grazie ad Agostino Imperatore per la segnalazione: nel suo post trovate il testo della sentenza.

Non è stato fornito nessun testo alternativo per questa immagine

231

DECRETO WHISTLEBLOWING – Lo scorso 9 marzo è stato approvato dal Consiglio dei Ministri il Decreto Legislativo di recepimento della Direttiva 2019/1937 (cd. Direttiva #Whistleblowing). Il Decreto – che entrerà in vigore il prossimo 15 luglio – andrà a disciplinare la protezione dei cd. “whistleblowers”, ossia i soggetti che segnalano la violazione di norme interne o europee di cui siano venuti a conoscenza in ragione della loro posizione lavorativa, pubblica o privata. Sul punto è intervenuta anche l’ANAC (Autorità Nazionale Anticorruzione, investita dal Decreto del ruolo di valutare le segnalazioni e le eventuali sanzioni amministrative da irrogare), attraverso un comunicato stampa dello scorso 10 marzo che illustra le principali novità introdotte.

SICUREZZA SUL LAVORO – Con la sentenza n. 8476 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha affrontato la questione del rapporto tra delega in materia di sicurezza sul lavoro prevista dall’art. 16 del D. Lgs. 81/08 e la delega gestoria affidata dal Consiglio di Amministrazione, di cui all’art. 2381 c.c. Chiamati a decidere sulla responsabilità di un amministratore delegato in relazione ad un incidente occorso ad un lavoratore – responsabilità, più in particolare, basata sull’assunto che la delega alla sicurezza sul lavoro conferita ad altro membro del CdA non fosse accompagnata dal potere di spesa e che, pertanto, non fosse “liberatoria” –  gli Ermellini hanno precisato che “la delega di funzioni prevista dall’art. 16 del D. Lgs. n. 81/08 presuppone un trasferimento di poteri e correlati obblighi dal datore di lavoro verso altre figure non qualificabili come tali e che non lo diventano per effetto della delega. La delega di gestione, anche quando non abbia ad oggetto la sicurezza sul lavoro, invece, in caso di strutture complesse, consente di concentrare i poteri decisionali e di spesa connessi alla funzione datoriale, che fa capo ad una pluralità di soggetti (ovvero i membri del CdA) su alcuni di essi”. I Supremi Giudici di legittimità hanno pertanto accolto il ricorso della difesa, imponendo al giudice di rinvio un approfondimento circa contenuto della delega conferita.  https://www.aodv231.it/novita/sicurezza-sul-lavoro-e-deleghe/

RIFORMA CARTABIA E COORDINAMENTO CON LA 231 – Con una recente ordinanza (consultabile gratuitamente per gli iscritti all’Associazione Aodv231), il Giudice per le indagini preliminari (GUP) di Milano ha stabilito che la nuova regola di giudizio introdotta dalla Riforma Cartabia non si applica ai processi a carico degli enti. Secondo il GUP, infatti, a fronte della modifica dell’art. 425, comma 3, per cui il giudice pronuncia sentenza di non luogo a procedere anche quando gli elementi acquisiti non consentono di formulare una ragionevole previsione di #condanna,  “il disposto dell’art. 61 D. Lgs. 231/2001 non ha subito alcuna modificazione, sicchè statuisce ancora che il giudice pronuncia sentenza di non luogo a procedere (oltre che in ipotesi specificamente enucleate con riferimento alle peculiarità del processo nei confronti dell’ente), quando gli elementi acquisiti risultano insufficienti, contraddittori o comunque non idonei a sostenere in giudizio la responsabilità dell’ente”.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

META E SIAE –  Meta ha comunicato tramite un proprio portavoce di non aver raggiunto un accordo con la Siae (“Società Italiana Autori ed Editori”) per il rinnovo della licenza sul diritto d’autore, scaduto l’anno scorso. Di conseguenza, nelle prossime 48 ore un team dedicato della piattaforma provvederà a rimuovere tutti i contenuti, video e reels recanti tracce del repertorio Siae – che rappresentano una grandissima quantità. Più che ad una questione di soldi, il mancato raggiungimento dell’accordo è stato dovuto a una sensibile differenza nell’approccio tra le due parti in causa. Dal punto di vista della Siae, infatti, non c’è stata sufficiente trasparenza nella trattativa da parte della piattaforma di Zuckerberg: Siae avrebbe infatti chiesto a Meta di quantificare i ricavi provenienti dai contenuti con «colonna sonora» tutelata da Siae, per meglio stabilire la somma necessaria a compensare autori ed editori italiani. Meta, però, non fornisce verticalizzazioni nazionali sul proprio giro d’affari. Da qui uno scontro frontale che ha portato la multinazionale alla decisione di far saltare il dialogo.

OCSE – L’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) ha recentemente pubblicato un rapporto dal titolo “Advancing accountability in AI – Governing and management risk throughout the lifecycle for trustworthy AI”. Il documento illustra come gli approcci di gestione del rischio possono permettere l’attuazione dei principi dettati dall’OCSE in materia di intelligenza artificiale, e ciò durante l’intero ciclo di vita del sistema di AI. All’interno del rapporto l’Organizzazione presenta inoltre importanti ricerche e risultati in merito alle responsabilità e ai rischi connessi ai sistemi di intelligenza artificiale, provvedendo a fornire altresì una panoramica di come i quadri di gestione del rischio e dei cicli di vita del sistema di intelligenza artificiale possono essere integrati al fine di promuovere una AI affidabile.  

REPORT ENISA – L’Agenzia dell’Unione europea per la sicurezza informatica (“ENISA”) ha annunciato la pubblicazione di due rapporti su eSIM ed Edge computing in 5G. In particolare, il primo mira a fornire una panoramica della tecnologia utilizzata, valutare le sfide per la sicurezza e proporre misure di mitigazione del rischio. Le sfide alla sicurezza includono lo scambio di eSIM, l’esaurimento della memoria, gli attacchi di memoria sottodimensionati e l’accesso illegale a informazioni sensibili da parte dei criminali informatici. Inoltre, per quanto riguarda il fog e l’edge computing nel 5G, l’ENISA ha spiegato che la tecnologia fornisce servizi di elaborazione, dati di archiviazione e applicazioni agli utenti finali, pur essendo ospitata all’edge della rete. Il report fornisce una panoramica delle tecnologie fog and edge in termini di 5G, in relazione alla loro architettura, attributi e aspetti di sicurezza.

PIRATERIA DIGITALE – Le commissioni parlamentari Cultura e Trasporti e Telecomunicazioni hanno deliberato favorevolmente sull’esame, da parte dell’assemblea legislativa, della proposta di legge contro la pirateria digitale, che sarà esaminata in Aula il 20 marzo. Saranno previste #sanzioni per oltre 15mila euro per chi detiene abusivamente opere coperte dal diritto d’autore. Più poteri saranno conferiti ad #Agcom, con l’obiettivo di fermare la riproduzione di contenuti illeciti entro poco tempo dalla notifica. Agcom che potrà intervenire con urgenza per ordinare ai prestatori di servizi, compresi i prestatori di accesso alla rete, di disabilitare l’accesso a contenuti illeciti. Lo stesso ordine potrà essere dato anche ai motori di ricerca e ai fornitori di servizi della società dell’informazione, coinvolti a qualsiasi titolo nell’accessibilità del sito web o dei servizi illegali.

GAZZETTA UFFICIALE – Pubblicato nell’edizione dello scorso 18 marzo il Decreto Legislativo di attuazione e recepimento della Direttiva 2019/2161 che prevede una migliore armonizzazione delle norme a protezione dei #diritti dei #consumatori, di cui avevamo già dato conto nelle edizioni precedenti. Nella medesima edizione è stato pubblicato anche un Decreto Legge (d’urgenza) in materia di strumenti finanziari digitali, che riguarda l’emissione e la loro circolazione, oltre che alcune norme di organizzazione.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA / IOWA – Dopo l’ok del Senato locale, è stato definitivamente approvato dalla Camera (con voto unanime!) il disegno di legge in materia di protezione dei dati dei consumatori dello Stato dell’Iowa. In caso di approvazione finale da parte del Governo dello Stato, il documento andrebbe a costituire la sesta normativa completa in materia di privacy degli Stati Uniti. Da una comparazione con le altre normative US si evince tuttavia che la bozza, oltre a fissare in 90 giorni il termine per fornire un feedback alle richieste degli interessati, non contiene (i) una definizione di dati sensibili, (ii) la previsione del diritto del consumatore alla correzione dei propri dati, nè (iii) la previsione di valutazioni d’impatto sui diritti e le libertà dei consumatori (DPIA). 

COSTA RICA – il disegno di legge n. 23097 sulla protezione dei dati personali è stato presentato all’assemblea legislativa del Costa Rica. La proposta mira a vietare il trattamento di dati personali (“particolari”, come definiti dalla normativa europea) che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche e l’appartenenza sindacale, nonché il trattamento di dati genetici, biometrici, relativi alla salute o alla vita sessuale. Vengono introdotti i principali diritti degli interessati, quali il diritto di accesso, rettifica, cancellazione e portabilità dei dati, nonché il diritto di rinunciare al trattamento. Sono anche definiti i principi del trattamento dei dati, tra i quali, accuratezza, legittimità, equità, trasparenza, proporzionalità, responsabilità, sicurezza e riservatezza. 

AUSTRALIA – L’Ufficio dell’Australian Information Commissioner (“OAIC”) ha pubblicato un comunicato stampa in cui ha accolto con favore la decisione dell’Alta Corte australiana di revocare il permesso speciale di Facebook Inc. di appellarsi all’Alta Corte, consentendo il rinvio del procedimento al Tribunale federale. In particolare, l’OAIC ha evidenziato che il procedimento in questione mira ad irrogare sanzioni civili nei confronti di Facebook Ireland e Facebook Inc. per lo scandalo Cambridge Analytica, che ora proseguirà davanti alla Corte Federale. A questo proposito, l’OAIC ha osservato di aver avviato un procedimento contro Facebook, con sede negli Stati Uniti, il 9 marzo 2020, sostenendo che la piattaforma di social media abbia commesso gravi e ripetute interferenze in violazione della legge australiana sulla privacy.

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) ha annunciato la pubblicazione di una nuova guida (“Privacy in the product design lifecycle”) per aiutare i progettisti, i product manager e gli ingegneri dei software a integrare la protezione dei dati nei loro prodotti e servizi fin dall’inizio. Inoltre, la guida affronta le principali considerazioni sulla privacy per ogni fase della progettazione del prodotto. L’ICO ha osservato che la guida, scritta insieme a diversi tecnici di lavoro, offre maggiore certezza su ciò che le organizzazioni potrebbero fare per affrontare i problemi di privacy nel ciclo di vita del prodotto.

REGNO UNITO/2 – L’Information Commissioner’s Office (“ICO”) ha pubblicato un comunicato stampa per annunciare un aggiornamento della propria guida su AI e Data Protection, a seguito dei rilievi e commenti ricevuti dall’industria del settore e dagli esperti in materia privacy.

NORVEGIA – L’autorità norvegese per la protezione dei dati (“Datatilsynet”) ha pubblicato un post sul proprio sito contenente un estratto del discorso tenuto al Parlamento europeo e incentrato sull’intelligenza artificiale. In particolare, il post sul blog sottolinea che, sebbene molte delle tecnologie di intelligenza artificiale abbiano un impatto positivo, dovrebbero essere gestite con cura, poiché a volte possono avere conseguenze negative di vasta portata, in particolare per i diritti e le libertà fondamentali delle persone. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Austin Goode grazie a Unsplash.

News #6/2023: il chatbot Replika bloccato dal Garante italiano per gravi rischi verso i minori

Settimana n. 6/2023 – dal 6 al 12 febbraio 2023 

Ecco a voi la nostra #Newsletter in edizione #2023 che raccoglie le più interessanti novità degli ultimi sette giorni in ambito Privacy, 231 e Mercati Digitali, oltre a uno sguardo sulle news dal mondo.

Grazie Not Boring Privacy!

Non è stato fornito nessun testo alternativo per questa immagine

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • il Garante italiano sospende il funzionamento di un chatbot (Replika) che aveva, tra le altre cose, assunto atteggiamenti aggressivi e pericolosi in diversi casi, mettendo a rischio i minori;
  • la Corte di Giustizia UE ha precisato ulteriormente la propria posizione in merito all’indipendenza del DPO;
  • interessanti spunti sul Modello 231 dalla GdF;
  • è iniziata la battaglia sull’Intelligenza Artificiale, tra Google e Microsoft.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana il consiglio è di seguire Odia Kagan, Chair of GDPR Compliance di Fox Rotschild LLP e grande comunicatrice con un occhio di attenzione sulla legislazione privacy di tutto il mondo, e fonte in particolare di numerosi spunti sulla situazione USA dal punto di vista interno, con importanti norme in discussione sia a livello statale che federale.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Skyfall (James Bond Theme) – Adele (2012)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

REPLIKA – Il Garante per la protezione dei dati personali ha recentemente deciso di bloccare #Replika, la chatbox in grado di creare un “amico virtuale” mediante l’uso della #intelligenzaartificiale. Alla base della decisione si trovano le concrete preoccupazioni del Garante circa i rischi che l’uso di tale strumento presenta, soprattutto per gli utenti minori d’età. Tra le criticità evidenziate, la mancata predisposizione di un meccanismo in grado di verificare l’età dell’utente e  l’assenza di qualsiasi tipo di garanzia in ordine alla protezione dei soggetti fragili – evidenziata anche in diverse recensioni degli utenti sui principali “app store” – di fronte a risposte inopportune. Alla luce di tali evidenze, i trattamenti effettuati da Replika sono risultati non conformi al GDPR, e pertanto illeciti. Alla società sviluppatrice dell’app è stato dunque imposto di #interrompere ogni trattamento relativo ai dati personali degli utenti italiani, nonché di comunicare nel termine di 20 giorni le misure intraprese per attuare le prescrizioni del Garante. Il rischio è quello di vedersi sanzionata per un massimo di 20 milioni di euro o fino al 4% del fatturato globale annuo.

SENTENZA CGUE – La Corte di giustizia dell’Unione europea ha emesso una sentenza (Caso C-453/21) relativa alla figura del #DPO, incentrata sull’articolo 38 del GDPR, nella quale ha stabilito che chi ricopre il ruolo dev’essere in grado di svolgere i propri compiti e mansioni in modo #indipendente, e non può essere incaricati di funzioni che porterebbero a determinare gli obiettivi e i metodi di trattamento dei dati personali da parte del Titolare del trattamento o di Responsabili. Non è insomma escluso che il DPO possa svolgere anche un altro ruolo, oltre a quello di supporto e verifica della #compliance aziendale, ma tale diversa attività non può in nessun caso confliggere con la prima.

PARLAMENTO EUROPEO SU DSA E DMA – Il Parlamento europeo ha accolto con favore una proposta di norme complementari alla Legge sui servizi digitali (“DSA”) e alla Legge sui mercati digitali (“DMA”) che riguarda la pubblicità politica online. Nel comunicato stampa l’istituzione sostiene che il trattamento di dati particolari per pratiche pubblicitarie come il microtargeting può danneggiare i diritti democratici degli individui. Le norme tradizionali possono essere inefficaci, poiché spesso sono difficili da applicare quando vengono applicate online, dove le nuove tecnologie e i nuovi strumenti creano opportunità per influenzare e indirizzare gli elettori. Le istituzioni mirano a raggiungere un accordo sulla proposta con i Paesi dell’Unione europea prima delle elezioni europee del 2024.

CYBER ATTACCO? – Lo scorso 5 febbraio migliaia di server in tutto il mondo sembrano essere stati interessati da un attacco #hacker di tipo #ransomware tra cui anche alcuni italiani. Secondo le informazioni attualmente in circolazione pare che l’attacco non abbia intaccato la sicurezza del nostro Paese, benché l’Agenzia per la Cybersicurezza Nazionale (ACN) lo avesse classificato ad “alto rischio”. In ogni caso il Governo, anche alla luce del vasto numero di attacchi subiti nel corso dello scorso anno, sembra stia lavorando su un Dpcm per agevolare la collaborazione tra le Regioni e l’ACN per lo sviluppo di attività di prevenzione.

GESTIONE DEL RISCHIO AI – L’International Standards Organization (“ISO”) ha pubblicato, il 6 febbraio 2023, la guida ISO/IEC 23894:2023 sulla gestione del rischio di intelligenza artificiale (“AI”). In particolare, la guida assiste gli enti che sviluppano, implementano o utilizzano sistemi di intelligenza artificiale per gestire i rischi correlati a tali sistemi. La guida, corredata anche di tre allegati, è suddivisa in tre parti: la prima che descrive i principi alla base della gestione del rischio, la seconda relativa a un quadro di gestione del rischio; e la terza, sui processi di gestione del rischio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

ESCLUSIONE DAGLI APPALTI – Lo scorso 5 gennaio è stato trasmesso al Senato dal  Consiglio dei Ministri il testo il testo dello schema di decreto legislativo di modifica del “Codice dei contratti pubblici”. Tra le novità proposte dal decreto – attualmente oggetto di analisi da parte delle commissioni parlamentari – gli articoli 95 e 98 prevedono la possibilità che un ente venga #escluso dalla partecipazione ad una gara pubblica anche in caso di mera contestazione contestazione di uno dei reati presupposto previsti dal Decreto 231 idonei a legittimarne l’esclusione, e ciò a prescindere dalla effettiva applicazione di una specifica sanzione interdittiva. Lo schema di decreto prevede, tuttavia, anche un #meccanismo per evitare l’esclusione dell’ente, e cioè l’adozione e l’attuazione di un Modello di organizzazione, gestione e controllo idoneo a prevenire la commissione di reati o illeciti. Con un documento di commento alla bozza di decreto – scaricabile gratuitamente per gli iscritti all’Associazione Aodv231 – l’Unione delle Camere Penali Italiane e la stessa Associazione Aodv231 si sono espresse in maniera critica su alcuni passaggi del testo normativo. In particolare, sottolineando la presenza di rinvii alla Riforma Cartabia (ormai superata) e alla previsione di esclusione dalla gara anche in caso di mera contestazione di un illecito amministrativo, gli autori chiedono una revisione dell’intera disciplina.

EFFICACIA MODELLO – La Guardia di finanza, nell’edizione 2023 di “Telefisco”, ha fornito utili indicazioni al fine di stabilire quali sono i criteri che, in sede di controllo, permettono di accertare la effettiva idoneità del Modello di organizzazione, gestione e controllo adottato da una società. Tra i criteri citati rilevano, in particolare, (i) una corretta regolamentazione della formazione del personale, (ii) la puntuale mappatura delle aree aziendali maggiormente esposte ai rischi di commissione dei reati 231 e (iii) la costituzione di un effettivo Organismo di Vigilanza.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

VOTO ELETTRONICO – È stata resa pubblica oggi alle ore 12 la nuova versione di Eligo, “Eligo Next”, l’innovativa piattaforma del #voto elettronico (e-voting) e online (i-voting). La nuova versione offre maggiore sicurezza e riservatezza dei dati. Eligo Next supporta infatti la crittografia end to end, e qualunque informazione che transita dai browser degli utenti è cifrata con crittografia asimmetrica, rendendo pressoché impossibile intercettare e decifrare le preferenze di voto espresse. Il sistema memorizza tutti i dati di voto e di scrutinio, applicando un ulteriore livello di sicurezza che rende i dati accessibili solo all’utente e a nessun altro. La nuova versione, Eligo Next, è stata sviluppata dopo numerose ricerche volte ad affrontare le sfide della democrazia digitale. Tra i vantaggi: (i) creare e gestire qualsiasi tipo di assemblea deliberativa ed elettiva online, in presenza o in forma ibrida, nel totale rispetto della sicurezza e legalità del voto; (ii) Incoraggiare la partecipazione e l’inclusività, grazie alla flessibilità delle modalità di voto; (iii) minimizzare l’errore umano con scrutini automatici, impedendo la possibilità di schede nulle o contestabili. (iv) attivare un’iniziativa sostenibile grazie all’azzeramento del cartaceo.

L’AI SECONDO GOOGLE… – Dopo il clamoroso successo mediatico ottenuto da #ChatGPT anche Google ha provato sviluppare la sua propria chatbot basata sull’intelligenza artificiale: #Bard. Il risultato, tuttavia, non è stato quello sperato. Durante la presentazione della “creatura”i dirigenti di Google non sono infatti riusciti a convincere gli investitori, che hanno di conseguenza bocciato il progetto, tra l’altro alla luce di alcuni disguidi – anche piuttosto divertenti – durante la presentazione. Come conseguenza del sostanziale fallimento dell’evento, Alphabet – holding del gruppo di cui Google è parte – ha perso valore a Wall Street per oltre l’8%. 

.. E l’AI SECONDO MICROSOFT – La società di Seattle ha annunciato il rilascio per la prossima settimana di una nuova versione del motore di ricerca #Bing che integra l’Intelligenza Artificiale di OpenAI; anche una versione “speciale” di Teams, che include una IA a supporto delle call per appunti e memo, è in corso di testing. Il CEO Satya Nadella ha affermato, in proposito, di voler “sfidare” proprio Google su questo terreno, in cui Microsoft ha investito moltissimo di recente, unendosi in “matrimonio digitale” con OpenAI.

DICHIARAZIONE EUROPEA SUI DIRITTI E PRINCIPI DIGITALI – Il 15 dicembre 2022, il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione europea hanno adottato la Dichiarazione europea sui diritti e i principi digitali, la cui bozza è stata presentata dalla Commissione europea alla fine di gennaio. La dichiarazione esprime e rappresenta l’impegno dell’Unione europea per una trasformazione digitale sicura e sostenibile, che metta al centro le persone, in linea con i valori e i diritti fondamentali dell’Unione europea. Essa promuove la solidarietà e l’inclusione, la libertà di scelta, la partecipazione allo spazio pubblico digitale, la sicurezza, la protezione e l’empowerment digitale, nonché la sostenibilità. Il suo obiettivo è anche quello di sottolineare che i diritti e le libertà devono essere rispettati sia online che offline. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA

  • SEC – La Securities and Exchange Commission ha di recente reso noto di aver inflitto una sanzione di ben 35 milioni di dollari alla società Activision Blizzard Inc per violazione delle norme dettate dall’Exchange Act. La società, più in particolare, è stata sanzionata per non aver mantenuto adeguati controlli sulla divulgazione relativi a denunce di cattiva condotta sul posto di lavoro e per violazione della regola di protezione degli informatori.
  • MINNESOTA – E’ stato presentato un disegno di legge relativo alla privacy dei dati dei consumatori, che stabilisce obblighi per gli enti che trattano dati personali dei consumatori e impone che i dati personali relativi ai consumatori non possano essere venduti o diffusi, a meno che il consumatore non ne abbia ricevuto comunicazione espressa e gli sia stata data la possibilità di esercitare il diritto di recesso.
  • TEXAS – anche nello stato della stella solitaria è stato introdotto un atto legislativo, ancora in discussione, a protezione dei diritti dei cittadini consumatori con imposizioni similari a quelli di altri stati (tra cui: privacy notice, diritti di accesso e rettifica, conduzione di DPIA e cancellazione dei dati non più necessari).

SPAGNA – Lo scorso 8 febbraio l’AEPD, Autorità garante spagnola, ha pubblicato un post relativo alla frequenza con cui i titolari del trattamento dovrebbero aggiornare le misure di sicurezza implementate a protezione dei dati personali. Nel suo post l’Autorità ha spiegato che, tra le altre cose, ogni modifica relativa alle categorie di dati trattati, alle finalità del trattamento o all’incidenza del trattamento sui diritti e le libertà degli interessati impone una revisione delle misure di sicurezza adottate.

BELGIO – L’autorità di protezione dei dati personali del Belgio ha ordinato a un Titolare del trattamento di ottemperare a una richiesta di accesso ai dati da parte di un interessato, ai sensi dell’art. 58(2) del GDPR. L’intervento dell’autorità si è reso necessario a causa del mancato adempimento da parte del Titolare, che ha affermato di non aver ricevuto l’istanza dell’interessato a causa di problemi tecnici con la sua casella e-mail.

FINLANDIA – Una scuola dell’infanzia è stata sanzionata dall’autorità garante finlandese per violazione degli articoli 5, 12 e 13 del GDPR, dopo aver diffuso alcune istruzioni ai genitori sulle modifiche all’apprendimento e all’insegnamento in seguito alla pandemia. L’autorità garante ha rilevato che non era stato chiarito se la restituzione del modulo fosse obbligatoria, e non erano state fornite informazioni che specificassero la base giuridica per il trattamento dei dati personali. 

GERMANIA – La Corte Suprema tedesca ha confermato le decisioni dei precedenti gradi di giudizio, e ha stabilito che un medico – soggetto interessato del trattamento – non avesse il diritto di cancellazione nei confronti di un sito web di comparazione e recensione che aveva pubblicato un profilo su di lui. Il trattamento era legittimo ai sensi dell’articolo 6(1)(f) del GDPR, in quanto il diritto commerciale del Titolare del trattamento e la libertà di espressione del pubblico erano di maggiore rilevanza rispetto al diritto dell’interessato alla protezione dei dati.  

ROMANIA – L’autorità garante rumena ha multato uno studio dentistico che aveva pubblicato i dati personali di un paziente in un blog medico senza il relativo consenso. Lo studio dentistico, inoltre, non ha informato l’autorità per la protezione dei dati personali entro 72 ore dal momento in cui era stato informato della violazione dei dati, in violazione di quanto previsto dall’articolo 33 del GDPR.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di nikko grazie a Unsplash.

I dati (personali) dei defunti: quale privacy?

Cosa accade ai nostri dati quando non ci siamo più?

Quali sono i diritti legati ai contenuti di persone decedute?

Il Regolamento europeo sulla Protezione dei Dati Personali (“GDPR” o “Regolamento”) si applica anche alle persone decedute?

Normativa applicabile

Il Considerando n. 27 del GDPR esclude l’applicazione del Regolamento ai dati delle persone decedute; ma è presente una clausola di salvaguardia, subito dopo, che prevede la facoltà, per gli Stati membri dell’Unione europea, di emanare norme per regolare il trattamento di questi dati personali.

In Italia è l’art. 2-terdecies del D. Lgs. 196/2003, aggiornato dal D. Lgs 101/2018 (“Nuovo Codice Privacy”) a prevedere che i diritti spettanti agli interessati ai sensi degli artt. 15-22 GDPR (cioè l’accesso, la cancellazione, le limitazioni al trattamento, la portabilità dei dati – da qui in avanti “i diritti dell’interessato”) che si riferiscono ai dati personali riguardanti le persone decedute, possono essere esercitati (i) da chi ha un interesse proprio, o (ii)  agisce a tutela dell’interessato, (iii) in qualità di suo mandatario, o (iv) per ragioni familiari meritevoli di protezione.

L’esercizio di questi diritti non è ammesso, oltre che nei casi previsti dalla legge, quando l’interessato ne ha espressamente fatto divieto con dichiarazione scritta presentata o comunicata al Titolare del trattamento.

La volontà di vietare l’esercizio dei diritti dell’interessato deve risultare in modo non equivoco e deve essere specifica, libera e informata, e può riguardare anche solo l’esercizio di alcuni dei diritti dell’interessato.

In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio, da parte dei terzi, dei diritti patrimoniali che derivano dalla morte dell’interessato, e non può impedire loro di difendere in giudizio i propri interessi.

Giurisprudenza

Fino a qui si è risposto ad alcune delle domande iniziali.

Ma sembra ora interessante, per vedere effettivamente cosa accade ai dati personali dopo il decesso di una persona, raccontare anche una recente sentenza sul tema.

Il 10 febbraio 2021, il Tribunale di Milano, in via cautelare, ha ordinato ad Apple Italia S.r.l. di fornire al figlio – ricorrente – i dati di una persona deceduta – il padre. Il Tribunale di Milano ha ritenuto illegittima la pretesa di Apple, fondata su norme americane in materia di sicurezza, che negava tale accesso.

Infatti, l’art. 2-terdecies del Nuovo Codice Privacy demanda alla persona la scelta, in vita, di lasciare o meno agli eredi la facoltà di accedere ai propri dati, e, in assenza di un espresso divieto, attribuisce agli eredi, o a chi agisce per “ragioni familiari meritevoli di protezione” l’esercizio dei diritti del defunto.

Il giudice di Milano ha ritenuto esistente anche un legittimo interesse da parte dei genitori, che prevale sulla sicurezza dei clienti opposta da Apple.

Qui il link diretto alla Sentenza.

Massime del Garante Privacy

Sembra infine utile concludere con qualche pillola sul tema, che è trasversale a diverse materie, dell’Autorità Garante per la Protezione dei Dati Personali italiana:

  • In tema di contratti bancari estinti dopo la morte di una persona, il relativo erede ha il diritto di accedere a tutti i dati personali concernenti il “de cuius”, ivi comprese le informazioni attinenti a pregressi rapporti obbligatori di cui egli sia stato contitolare- Garante 3 aprile 2002, in Bollettino n. 27, pag. 20 [doc. web n. 1065256]; e ancora l´erede ha diritto di conoscere tutti i dati personali riferiti al suo dante causa e detenuti da un istituto di credito. – Garante 10 dicembre 2003 [doc. web n. 1053648].
  • In tema di assicurazioni, il Titolare del trattamento è tenuto ad estrarre dagli atti e dai documenti detenuti – ivi comprese le polizze eventualmente sottoscritte – tutte le informazioni personali relative al defunto, mettendole a disposizione, in modo intelligibile, dell’erede, con esclusione dei dati relativi ai terzi beneficiari della polizza assicurativa Garante 31 marzo 2003 [doc. web n. 1053796].
  • In tema di atti giudiziari, il discendente del defunto ha pieno titolo ad accedere ai dati personali del “de cuius” a prescindere dalla concreta posizione attualmente rivestita in ambito successorio, senza che l’esercizio di tale diritto possa essere condizionato alla prova della qualità di chiamato all´eredità o all´esibizione di particolari documenti, quale la procura notarile rilasciata dagli eventuali altri eredi – Garante 19 novembre 2003 [doc. web n. 1152385].

____________________________________________

Immagine di copertina di David Menidrey grazie a Unsplash

La Corte di Giustizia UE sui contenuti online provenienti da altri siti Web

In tutti i casi di “incorporazione” (o “transclusion” per utilizzare il termine adottato dalla CGUE) all’interno della propria pagina internet di una risorsa – ovvero, di un contenuto – proveniente da un altro sito web l’elemento incorporato appare nella pagina internet, senza rimandare al sito di provenienza.

Le ragioni alla base dell’uso di questa incorporazione possono essere molteplici: la necessità di presentare all’utente funzioni di altre piattaforme o la fornitura di altri tipi di servizi, come la riproduzione di musica, la pubblicazione post di social media, ecc.

Un altro motivo, ancora, può essere legato agli aggiornamenti contenuti all’interno di un sito o alla necessità di porre immagini provenienti da altre fonti all’interno della propria pagina.

Queste situazioni hanno sfumature diverse tra loro a livello tecnico-informatico, ma possono essere osservate sotto lo stesso punto di vista normativo e giurisprudenziale.

La giurisprudenza della Corte di Giustizia dell’Unione europea

La Corte di Giustizia, Sez. II, nella sentenza del 7 agosto 2018 n. 161 ha previsto che la messa in rete di un contenuto all’interno di un sito internet, precedentemente pubblicato su un altro sito internet, si qualifica come messa a disposizione e perciò come atto di comunicazione al pubblico.

Per questa ragione, la diffusione del contenuto diventa illecita se non autorizzata dal titolare del diritto in questione.

La Corte è arrivata a queste conclusioni distinguendo nettamente i casi in cui:

  • da un lato, il titolare dei diritti conserva una possibilità di controllo sull’opera, in quanto la sua eventuale rimozione dal sito bersaglio rende il link inefficace,
  • dall’altro, in contrasto con quanto previsto dall’art. 3 della Direttiva 2001/29/CE, l’autore del sito che “incorpora” esclude tale possibilità, in violazione dei diritti esclusivi di comunicazione e messa a disposizione del pubblico.

La Direttiva sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione prevede infatti che sia qualificata come comunicazione al pubblico il fatto di incorporare, mediante la tecnica del framing, in una pagina Internet di un terzo, opere protette dal diritto d’autore e messe a disposizione del pubblico in libero accesso con l’autorizzazione del titolare del diritto d’autore su un altro sito Internet, qualora tale incorporazione eluda misure di protezione contro il framing adottate o imposte da tale titolare.

La giurisprudenza italiana si è orientata in modo analogo, affermando che si è in presenza di violazione dell’art. 2598, n. 1 e 2 del Codice civile quando l’utente che si colleghi ad un determinato sito e, su di esso, utilizzi un link, venga collegato alla pagina di un altro sito con contenuti informativi, ma detta pagina venga visualizzata all’interno della cornice (“frame”) del primo sito e, pertanto, i segni distintivi e gli avvisi pubblicitari, posti su questo, continuino a circondare la pagina “agganciata”.

I requisiti per l’incorporazione

I contenuti che si trovano su altri siti possono essere, dunque, incorporati lecitamente solo in presenza di due requisiti.

In primo luogo, che l’utente che sta navigando sulla nostra pagina si renda conto che il contenuto incorporato appartiene a terzi.

Secondariamente, che vengano utilizzati solo contenuti di siti o piattaforme che non prevedano a monte un accesso a pagamento o contenuti che, presi singolarmente, non abbiano nessun tipo di restrizione circa l’incorporamento in domini diversi da quello di origine.

____________________________________________

Immagine di copertina di Febiyan grazie a Unsplash

Controlli “difensivi”: legittimo l’uso dei dati solo se il lavoratore è correttamente informato

Con recente pronuncia (n. 25732/2021, consultabile QUI), la Corte di Cassazione è intervenuta su un tema spinoso, che riguarda il difficile bilanciamento tra la tutela della sfera di riservatezza del lavoratore e la garanzia di protezione dei beni aziendali (in senso lato).

I fatti di causa

Una lavoratrice, dipendente di una Fondazione, veniva licenziata – per giusta causa – per aver navigato continuativamente in internet a fini privati durante l’orario lavorativo, in particolare facendo accesso ad alcuni siti non sicuri fonte di diffusione di un virus nella rete aziendale, con successiva compromissione di vari dischi di rete ed files (c.d. data breach).

Dopo aver visto dapprima accolta la propria domanda di reintegrazione in primo grado, e successivamente rigettata la medesima domanda in sede di appello, la lavoratrice proponeva ricorso per Cassazione denunciando la violazione e la falsa applicazione, per ciò che qui rileva, dell’art. 4 dello Statuto dei Lavoratori e del Codice Privacy (n.b. i fatti si sono svolti in epoca antecedente sia all’entrata in vigore del GDPR, sia alla modifica dell’art. 4 St. Lav per opera del Jobs Act).

La tesi, in sostanza, poggiava sulla contestazione della decisione in appello di aver ritenuto utilizzabili, a fini disciplinari, le informazioni acquisite in violazione dei diritti, in particolare, di informativa, contenuti nell’allora vigente Codice Privacy (D. Lgs. 196/2003).

In effetti, l’Autorità Garante, investita della questione, aveva confermato la violazione degli obblighi di informativa e l’eccedenza del trattamento rispetto alle finalità ed aveva intimato alla Fondazione di astenersi da ulteriori trattamenti.

Veniva poi contestata la mancata tipizzazione del comportamento imputato alla lavoratrice tra gli illeciti disciplinari e tra le regole ed i principi del Codice Etico aziendale.

La disciplina dei controlli sui lavoratori

La vicenda in oggetto si concentra sull’ambito applicativo dei controlli sui lavoratori, la cui disciplina generale è dettata dall’art. 4 dello Statuto dei Lavoratori (L. 300 del 1970) nonché dal GDPR e dalle linee guida e pronunce sul tema dell’Autorità Garante.

L’art. 4 St. Lav. citato, in particolare, ha subito una radicale riforma nel 2015: l’originaria versione dello stesso, applicabile ratione temporis alla vicenda in oggetto, prevedeva un generale divieto di uso di strumenti di controllo a distanza.

Nel corso degli anni però la giurisprudenza, a tutela del patrimonio e dell’immagine aziendale, aveva determinato che i c.d. “controlli difensivi”, cioè i controlli effettuati dopo l’attuazione del comportamento illecito, e quindi dopo l’insorgenza del sospetto in merito al comportamento scorretto, non fossero soggetti a tale divieto, pur nel rispetto dei principi di buona fede e correttezza.

La riforma dell’art. 4 St. Lav. ha fatto cadere il precedente divieto, prevedendo la possibilità per il datore di lavoro di effettuare controlli sui lavoratori nel rispetto di determinate modalità ed a condizioni tassative.

Tuttavia, ai fini dell’utilizzabilità dei dati raccolti (anche a scopo disciplinare), è condizione necessaria, a prescindere dallo strumento di controllo utilizzato, fornire al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli.

La decisione della Corte

La Corte ha accolto il ricorso della lavoratrice: attraverso un’approfondita disamina giuridica sull’ambito di applicazione dei controlli difensivi pre e post riforma, le doglianze della lavoratrice sono state ritenute fondate in quanto, in sentenza: (i) non era stato verificato se i dati di navigazione fossero stati raccolti prima o dopo l’insorgere del fondato sospetto (ii) non era stato valutato il corretto bilanciamento tra le esigenze di protezione dei beni aziendali rispetto alle imprescindibili tutele della dignità e riservatezza del lavoratore.

Nello specifico, viene sottolineato che il datore di lavoro potrebbe, in difetto di adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli, nonché senza il rispetto della normativa sulla privacy, acquisire e conservare per lungo tempo ed ininterrottamente ogni tipologia di dato e, poi, invocare la natura mirata e successiva del controllo.

A parere della Suprema Corte, la Corte d’Appello aveva anche omesso di verificare l’utilizzabilità dei dati raccolti ai fini disciplinari, sempre in mancanza di adeguata informativa.

La sentenza in oggetto, nel confermare che sono consentiti i controlli, anche tecnologici, posti in essere dal datore di lavoro e finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti in presenza di un fondato sospetto, ribadisce l’importanza di un corretto bilanciamento tra:

  • da un lato, le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, e
  • dall’altro, le imprescindibili tutele della dignità e della riservatezza del lavoratore, per cui il controllo mirato sul singolo lavoratore deve riguardare dati acquisiti successivamente all’insorgere del sospetto.

In mancanza delle condizioni suddette, i dati raccolti non possono essere utilizzati ai fini disciplinari in conformità a quanto statuito dall’art. 4 St. Lav., in particolare dai commi 2 e 3.

Un’informativa adeguata

L’utilizzabilità delle informazioni e dei dati acquisiti, a tutti i fini connessi al rapporto di lavoro, anche disciplinari, dipende, in sostanza, dall’adeguatezza dell’informativa fornita.

Ma in cosa consiste un’informativa “adeguata”?

Prima di tutto, l’informativa deve – oggi – riportare tutti gli elementi previsti dall’art. 13 GDPR, e non limitarsi a fare generici riferimenti a finalità, relative basi giuridiche e tempi di conservazione, ma essere specifica e ben dettagliata, oltre che leggibile, chiara e comprensibile nella sua formulazione grafica e testuale.

Per quanto riguarda la navigazione in internet, fermo restando il divieto di controllo indiscriminato della navigazione (v. Newsletter Garante Privacy 22.06.2021: l’episodio riguarda il Comune di Bolzano, sanzionato per Euro 84.000,00), la raccolta dei dati di navigazione è legittima e può essere utilizzata in funzione disciplinare contro il lavoratore, purché egli ne sia informato e quindi consapevole dell’effettuazione di controlli, delle modalità degli stessi, dei comportamenti consentiti o meno e delle conseguenze disciplinari e/o penali correlate.

L’informativa dovrà essere coordinata e coerente con il disciplinare interno, il quale deve essere redatto in modo chiaro e adeguatamente pubblicizzato.

Si segnala che il Garante ha emanato, già nel 2007, delle linee guida sull’utilizzo della posta elettronica e di internet nel rapporto di lavoro (consultabile QUI) cui è possibile fare riferimento.

______________________________________

Photo by Alex Kotliarskyi on Unsplash