News #12/2023: anche OpenAI subisce un databreach e ChatGPT va offline senza preavviso

LE PRINCIPALI NEWS DELLA SETTIMANA

  • per un errore di configurazione, ChatGPT è stato messo offline a seguito di un data breach con invio di e-mail automatiche all’utente sbagliato;
  • intanto, il Parlamento UE raccoglie i paper sull’IA e prova a spingere per l’adozione dell’AI Act;
  • in Norvegia, far subire un databreach a un dipendente costa oltre 200 mila euro;
  • una task force per il Digital Markets Act in vigore da maggio 2023.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • se siete in cerca di una checklist, una linea guida o una chart esplicativa in materia di dati personali, ISO o cybertech, dovete assolutamente seguire ed esplorare il profilo di Andrey Prozorov, che possiede anche un canale Patreon in cui ha pubblicato tantissimo materiale molto interessante.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • In The Wee Small Hours Of The Morning – Frank Sinatra (1955 – late night jazz version by Webster & Peterson)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DATA BREACH SU UN DIPENDENTE, 220 MILA EURO DI SANZIONE – L’Autorità garante norvegese, Datatilsynet, ha di recente emesso una sanzione di 2,5 milioni di NOK (pari a poco più di 220 mila euro) la società Argon Medical Devices, avente sede legale negli Stati Uniti, a seguito di una violazione di dati personali relativa ai dati personali di un unico suo dipendente tra quelli in Europa, residente in Norvegia. Alla base della decisione ci sarebbero (i) il mancato rispetto delle tempistiche fissate in materia di notifica al Garante (67 giorni a fronte delle 72 ore imposte dal GDPR), seppure a fronte di verifiche approfondite da cui non sarebbero emersi, in una prima fase, rischi per l’interessato), e più in generale (ii) la inadeguatezza delle misure di sicurezza implementate dalla società.

ANCHE OPENAI (CHATGPT) ALLE PRESE CON UN DATA BREACH – Lo scorso 20 marzo è andato offline, per qualche ora, il servizio di ChatGPT: si è appreso in seguito, attraverso un comunicato della stessa OpenAI, che il disservizio era legato a una errata configurazione del sistema automatico di invio e-mail collegato all’iscrizione degli utenti “Plus” (a pagamento). A causa del problema, è possibile – si legge – che un utente abbia ricevuto e/o letto informazioni (anche di pagamento) di un altro utente, come pure le prime righe della conversazione con l’Intelligenza Artificiale che sta rivoluzionando il mondo e internet. Al momento, da quanto risulta, nessuna notifica ai sensi del GDPR sarebbe stata inviata.

PARLAMENTO EUROPEO & AI – Mentre le istituzioni europee si interrogano su come regolare l’Intelligenza Artificiale, con un “AI Act” in discussione dal 2021, il Parlamento ha pensato bene di pubblicare una nota che presenta i link alle recenti pubblicazioni e ai commenti pubblicati sull’intelligenza artificiale. Grazie a data TENET® per la segnalazione.

OSSERVATORIO FEDERPRIVACY SULLA COMPLIANCE – A cinque anni dall’introduzione del GDPR sono ancora molti i casi in cui le prescrizioni del Regolamento vengono applicate in modo teorico o approssimativo, e anche migliaia di imprese, che hanno investito risorse per adeguarsi alla normativa europea, si trovano, loro malgrado, esposte a sanzioni da parte delle autorità di controllo. E’ quanto emerge da un sondaggio condotto dall’Osservatorio di Federprivacy a cui hanno partecipato numerosi addetti ai lavori: il 78% delle imprese considera ancora la privacy come un mero adempimento burocratico, e a dimostrarlo sono anche alcuni casi emblematici come quello della multa da mezzo milione di euro ad una società di eCommerce che aveva nominato un DPO in conflitto d’interessi.

COME PROTEGGERSI DAL VISHING – Con un comunicato stampa dello scorso 22 marzo il Garante per la protezione dei dati personali ha fornito ai cittadini una serie di informazioni e suggerimenti utili per proteggersi dal #vishing, ossia quella particolare forma di phishing (cioè truffa) che utilizza il telefono come mezzo di appropriazione dei dati personali delle vittime. 

STATISTICHE EUROPEE E DATA PROTECTION – Nell’ambito della nuova proposta di Regolamento europeo in materia di statistiche sulla popolazione e sulle abitazioni, l’EDPS (European Data Protection Supervisor, il Garante delle istituzioni europee) ha ricordato ai legislatori l’importanza di non interferire con la normativa in materia di protezione dei dati. Più in particolare, pur accogliendo con favore l’obiettivo della nuova proposta – che riunirà tutti i dati demografici, migratori e censuari attualmente raccolti a livello di singolo Stato Membro – l’EDPS ha fornito una serie di raccomandazioni finalizzate a mitigare le eccessive interferenze con le disposizioni europee in materia di privacy, sottolineando in particolare l’importanza di rendere anonimi (o per lo meno pseudonimi) i dati raccolti.

REPORT PRIVACY E FIDUCIA DEI CONSUMATORI – Il recente report di IAPP (di cui trovate qui un estratto) sulla privacy e la fiducia dei consumatori si occupa di delineare il pensiero delle persone e la loro consapevolezza rispetto alla privacy, rispondendo a domande quali quando siano preoccupate le persone per la privacy online, come influiscono sui comportamenti, anche economici e commerciali, l’uso del telefono e la navigazione sul Web. L’obiettivo del report è cercare di definire cosa pensa la maggior parte dei consumatori riguardo alle leggi sulla privacy e sulla protezione dei dati,e come rispondono quando i loro dati vengono persi o coinvolti in una violazione, a fronte del cambiamento globale, culturale e tecnologico che si sta verificando nel modo in cui gli individui apprezzano la loro privacy e le misure che intraprenderanno per proteggerla.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CONTROLLO GIUDIZIARIO E MOGC – Con sentenza n. 11326 dello scorso 16 marzo la Suprema Corte di Cassazione ha stabilito che l’adozione ex post di un Modello di organizzazione, gestione e controllo previsto dal Decreto 231 e di misure self cleaning finalizzate a evitare future infiltrazioni mafiose non sono sufficienti ai fini dell’ammissione di una società – già destinataria di una interdittiva antimafia – al controllo giudiziario, così respingendo la richiesta. In particolare, secondo gli Ermellini, “il ravvisato rapporto di stabile agevolazione che la società (…) ha intessuto con le cosche mafiose (…) non permette di formulare (…) una prognosi favorevole di bonifica e radicale risanamento” (estratto dalla nota di Aodv231).

AUTONOMIA RESPONSABILITÀ DELL’ENTE – La Suprema Corte di Cassazione si è recentemente pronunciata circa la possibilità che un ente possa richiedere e ottenere una revisione della sentenza di patteggiamento emessa a suo carico, nel caso particolare la persona fisica imputata sia stata assolta dal reato-presupposto. Con la sentenza n.10143 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) i Giudici hanno stabilito che una revisione della sentenza avente ad oggetto la responsabilità dell’ente connessa all’assoluzione della persona fisica imputata può discendere solo dalla “negazione del fatto storico, e non anche dalla mancata individuazione del suo autore”. Più in particolare, gli Ermellini hanno chiaramente sottolineato che “la responsabilità dell’ente sussiste anche quando l’autore del reato non è stato identificato”.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TASK FORCE DMA – La Commissione europea ha istituito il gruppo di lavoro che fornirà consulenza per garantire una corretta applicazione del Digital Markets Act (“DMA”), il regolamento sui mercati digitali entrato in vigore il 1 novembre 2022 a cui gli Stati membri dovranno adeguarsi a partire dal 2 maggio 2023. Il gruppo fornirà alla Commissione europea consulenza e competenze tecniche per garantire che Il DMA e altri regolamenti applicabili ai gatekeeper siano attuati in modo coerente. Il gruppo di lavoro potrà anche fornire supporto nelle indagini di mercato su servizi e pratiche emergenti, per contribuire a garantire che le regole siano applicate in modo armonico e che possano resistere nel tempo. Il gruppo di lavoro avrà un mandato di due anni e si riunirà almeno una volta all’anno.

CYBERSECURITY – L’ENISA (Agenzia per la Cybersicurezza dell’UE) ha annunciato lo scorso 19 marzo il lancio di una nuova piattaforma il cui obiettivo è promuovere e diffondere informazioni sui sistemi di certificazione UE in materia di cybersicurezza. Più in particolare, la piattaforma consentirà agli utenti di condividere informazioni sugli schemi di certificazioni attualmente in fase di sviluppo, tra cui anche l’EUCS (Cybersecurity Certification Scheme for Cloud Servies). 

AGGIORNAMENTO LINEE GUIDA – Il Consiglio europeo per i pagamenti (EPC) ha recentemente annunciato di aver pubblicato un aggiornamento delle sue “Guidelines on Cryptographic Algorithms Usage and Key Management”. La Commissione ha specificato che all’interno della nuova versione di Linee guida sono disponibili, tra le altre cose, anche aggiornamenti relativi al calcolo quantistico e alle tecnologie di registro distribuito.

PROPOSTA DI RIPARAZIONE DEI PRODOTTI OLTRE LA GARANZIA – Riparazioni più facili ed economiche, anche oltre il periodo legale di garanzia per smartphone, tablet, pc ed elettrodomestici, per ridurre l’impatto ambientale, sostenere il Green Deal e contrastare l’obsolescenza programmata: è la proposta lanciata dalla Commissione europea nel suo nuovo disegno di legge sul diritto alla riparazione. Con le norme presentate, l’istituzione europea punta a dare ai cittadini la possibilità di rivolgersi a servizi di riparazione quando la garanzia legale dei prodotti – solitamente di due anni – sia scaduta. Saranno poi introdotti standard comuni di trasparenza su condizioni e prezzi delle riparazioni. Secondo le proposte, i produttori dovranno riparare i beni ancora in garanzia se costano lo stesso o meno di una sostituzione. I consumatori avranno anche il diritto di chiedere alle aziende di riparare i loro prodotti, se possono ancora essere riparati, entro 10 anni dall’acquisto, anche se non sono più in garanzia. La proposta dovrà ora essere negoziata fra Parlamento europeo e Stati membri, per ricevere l’approvazione.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SPAGNA – Anche la Spagna adotta una sua normativa in materia di whistleblowing. Lo scorso 13 marzo è infatti entrata in vigore la Ley 2/2023, di recepimento della Direttiva UE 2019/1937. Ai fini di una maggiore tutela del segnalante, la Spagna ha provveduto ad istituire una Autorità indipendente alla quale è stato assegnato il compito di (i) gestire i canali di segnalazione esterni e (ii) irrogare sanzioni in caso di violazioni della disciplina. 

SPAGNA/2 – L’AEPD, garante spagnolo, ha di recente sanzionato CaixaBank per trattamento illecito di dati personali. Il procedimento scaturiva dalla denuncia presentata da un cliente, il quale lamentava che CaixaBank avesse richiesto, attraverso una società di recupero crediti, il pagamento di un debito che era stato già annullato con sentenza. In particolare, dalle indagini dell’Autorità è emerso che nonostante il contratto tra le parti fosse ormai concluso, CaixaBank continuava a trattare i relativi dati del cliente, che continuava ad essere destinatario di sms che richiedevano il pagamento del debito. Per tale ragione, all’esito della propria attività ispettiva l’AEPD ha sanzionato CaixaBank con una multa di per 70 mila euro.

AUSTRIA – NOYB, l’organizzazione no profit sempre in prima linea nella lotta per la protezione dei dati personali dei cittadini europei, ha di recente reso noto che il Tribunale amministrativo federale austriaco (BVwG) ha confermato la decisione del Garante locale (DBS) in materia di accesso ai dati relativi al traffico e all’ubicazione. In particolare, è stata confermata la posizione secondo la quale la compagnia di telefonia A1 Telekom Austria avrebbe agito in maniera corretta non fornendo al reclamante i dati richiesti in quanto – anche alla luce del fatto che all’interno del contratto stipulato non era presente alcuna clausola che impedisca la cessione, anche temporanea, del dispositivo stesso – il richiedente non poteva validamente dimostrare di essere lui l’unico utilizzatore (e dunque il titolare dei dati). Non condividendo tale impostazione, che si tradurrebbe nell’impossibilità per gli interessati di accedere ai propri dati, NOYB ha già fatto sapere nel medesimo comunicato la sua intenzione di proporre reclamo avverso la decisione.

AUSTRIA/2 – L’Autorità austriaca per la protezione dei dati personali ha sanzionato il Ministero delle Finanze locale che, agendo su richiesta di una commissione parlamentare, ha divulgato al pubblico e ai media notizie riguardanti i procedimenti penali a carico di un membro del Parlamento austriaco. L’interessato si è rivolto all’Autorità garante, che ha ravvisato la mancanza di una base giuridica adeguata, avendo, infatti, la divulgazione, come unico scopo quello di danneggiare l’immagine politica dell’esponente parlamentare.

BRASILE – L’ANPD, Autorità garante brasiliana, ha annunciato di aver emesso una nota tecnica in cui ha precisato i confini di applicabilità della legge nazionale in materia di protezione dei dati (LGPD). In particolare, partendo dall’assunto che per il Codice Civile l’esistenza di una persona fisica termina con la morte, l’Autorità ha chiarito che la LGPD si applica verosimilmente al solo trattamento di dati personali riferibili a persone fisiche viventi, rimanendo esclusi dall’ambito di tutela della normativa i dati delle persone decedute.

CINA – La Cyberspace Administration of China (“CAC”) ha pubblicato, il 23 marzo 2023, le procedure per il controllo amministrativo delle azioni esecutive per le violazioni della normativa applicabile in materia di protezione dei dati e sicurezza. Le procedure stabiliscono i passaggi per le indagini e la raccolta delle prove da parte dei dipartimenti di sicurezza informatica e informazione, e le diverse situazioni per la gestione delle violazioni delle norme sulla protezione dei dati e sulla sicurezza. Inoltre, le disposizioni ricordano che, prima dell’irrogazione di sanzioni amministrative, i servizi di sicurezza informatica e informatica devono comunicare agli interessati il loro diritto di chiedere un’audizione, e che devono effettuare tale richiesta entro cinque giorni dal ricevimento della notifica. 

UNGHERIA – Il 21 marzo 2023 l’Assemblea nazionale ungherese ha annunciato l’introduzione di un disegno di legge sulla certificazione e la supervisione della sicurezza informatica. In particolare, il disegno di legge fornisce definizioni per il servizio di cloud computing, il sistema informativo elettronico e per i test di vulnerabilità remoti. Inoltre, il progetto stabilisce norme specifiche per i fornitori di servizi operanti in settori a rischio, nonché per i sistemi informativi elettronici dei fornitori di servizi e delle organizzazioni operanti in settori a rischio in determinate circostanze, specificate negli allegati. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Kym Ellis grazie a Unsplash.

Il risarcimento del danno da violazione dei dati personali

All’interno del sistema normativo della protezione dei dati personali, un importante incentivo al rispetto delle prescrizioni vigenti sia per il Titolare e per il Responsabile del trattamento è sicuramente rappresentato dalla presenza di un onere di risarcimento del danno derivante dalla violazione del GDPR.

Una previsione di questo tipo stimola e ha stimolato – certamente nei primi cinque anni di applicazione del GDPR – anche la verifica periodica e l’aggiornamento di misure di sicurezza idonee a impedire la violazione dei dati personali.

L’evoluzione delle disposizioni nel tempo

Questo obbligo trovava già fondamento, ancora prima dell’entrata in vigore Regolamento europeo, a partire dall’art. 15 del D. Lgs. 196/2003 (“Codice Privacy”), che collegava espressamente un trattamento illecito di dati personali alla responsabilità civile di cui all’art. 2050 del Codice civile, considerandola come un’attività pericolosa e sancendo anche la risarcibilità del danno non patrimoniale.

Con l’entrata in vigore del Regolamento europeo, e il relativo recepimento in Italia ad opera del D. Lgs. 101/2018, oggi è l’art. 82 del GDPR che costituisce la norma centrale sulla responsabilità civile nel trattamento di dati personali, e sul conseguente diritto al risarcimento.

Analisi normativa

L’ambito soggettivo

L’art. 82 del GDPR chiarisce, innanzitutto, l’ambito soggettivo del diritto al risarcimento, stabilendo che chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile del trattamento.

Tale disposizione non è da leggersi nell’ottica di escludere dal novero dei danni risarcibili quelli derivanti da una violazione di disposizioni diverse da quelle del GDPR: in tal senso, il Considerando 146 del Regolamento europeo prevede che le azioni risarcitorie derivanti da violazioni di altre norme del diritto europeo o degli Stati membri non sono pregiudicate, interpretando in modo estensivo la disposizione e considerando tutte le norme relative al trattamento di dati personali.

L’esonero dalla responsabilità

L’art. 82 del GDPR, poi, prevede e disciplina le condizioni per cui il Titolare o il Responsabile del trattamento sono esonerati dalla responsabilità: ciò avviene quando essi dimostrano che l’evento dannoso non è loro in alcun modo imputabile.

Su questo tema, sono numerosi gli indicatori utili a dimostrare che il fatto da cui ha avuto origine il danno non possa essere ricondotto al controllo del Titolare o del Responsabile del trattamento: tutti ruotano però intorno al concetto di responsabilizzazione (“accountability”) che percorre tutto il GDPR.

Ad esempio, la adesione a codici di condotta approvati, o il ricorso a misure tecniche e organizzative efficaci.

Appare importante precisare, in ogni caso, che sarà onere del Titolare o del Responsabile in questione provare che questi indicatori fossero proporzionati al grado di rischio che, in concreto, il trattamento di dati personali presentava.

Il danno risarcibile

Il soggetto interessato che abbia subito un danno dalla violazione dei dati personali può richiedere un risarcimento sia dei danni materiali che di quelli in materiali, e, sul punto, è il Considerando 85 del GDPR a proporre una serie di possibili esempi.Fra di essi:

  • la perdita di controllo sui dati personali,
  • la limitazione dei propri diritti,
  • la discriminazione
  • il furto di identità,
  • perdite finanziarie,
  • pregiudizi alla reputazione.

La responsabilità solidale

Infine, per quanto attiene alle modalità di risarcimento del danno da parte del Titolare o del Responsabile del trattamento, lo spirito della norma è quello di assicurare la maggiore possibilità di risarcimento al soggetto interessato, e pertanto l’art, 82(4) del GDPR prevede la regola della solidarietà passiva dei soggetti obbligati al risarcimento, qualora essi siano coinvolti nello stesso trattamento e abbiano partecipato con condotte attive od omissive all’evento dannoso che ha recato pregiudizio al soggetto interessato.

In altre parole, il soggetto interessato, tenendo a mente (in Italia) anche l’art. 1292 del Codice civile, potrà chiedere il risarcimento del danno per intero a ciascuno dei soggetti obbligati, aumentando la propria possibilità di vedere soddisfatta la propria pretesa risarcitoria.

Dopodiché, saranno i soggetti obbligati a poter esercitare fra di loro un diritto di rivalsa per regolare il pagamento delle quote del debito suddiviso fra di loro.

Conclusioni

La normativa brevemente analizzata in questo articolo permette di fare qualche considerazione sull’effettività della tutela dei soggetti interessati, che vengono lesi qualora sia stato realizzato dal Titolare o dal Responsabile un trattamento dei loro dati non conforme al GDPR.

In particolare, il trattamento illecito dei dati deve aver determinato la lesione di un diritto fondamentale dell’interessato, e da tale operazione illecita deve discendere un danno, che rappresenti quindi la conseguenza diretta della violazione in materia di dati personali.

Oltre ad essere un incentivo alla responsabilizzazione del Titolare e del Responsabile del trattamento, quindi, sembra legittimo affermare che il diritto al risarcimento del danno previsto dall’art. 82 del GDPR sia un ulteriore presidio e una tutela dei diritti dei soggetti interessati.

Infine, si ricorda che il Considerando 146 del GDPR afferma che il concetto di danno dovrebbe essere interpretato alla luce della giurisprudenza della Corte di giustizia dell’Unione europea (“CGUE”), ma, a fronte dell’assenza, ad oggi, di una definizione generale di danno, applicabile indistintamente in qualsiasi ambito è evidente che sarà spesso rimesso alle corti nazionali il delicato compito di delimitare, nella prassi, il confine tra i danni non risarcibili e quelli che invece possono rientrare nell’applicazione delle disposizioni esaminate.

____________________________

Foto di Patrick Perkins su Unsplash

News #11/2023: in Europa si discute di AI, Facebook Pixel e DPO, mentre in Iowa arriva la privacy

LE PRINCIPALI NEWS DELLA SETTIMANA

  • l’EDPB avvia una “task force” sul ruolo dei DPO
  • il Pixel di Facebook (Meta) è “illegale” come Google Analytics
  • l’AI ACT avanza insieme al Data Act: altre leggi in arrivo
  • META contro SIAE: una battaglia dolorosa
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Continuando con il filone degli esperti stranieri che si occupano di data protection, questa settimana consigliamo il follow ad un profilo “misterioso”, Mr. George M, che propone sempre spunti molto interessanti soprattutto in materia di compliance organizzativa.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Heard It Through The Grapevine – Marvin Gaye (1967)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

EDPB – Il 15 marzo, il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato la propria azione coordinata con la quale, al fine di valutare se i Data Protection Officer (“DPO”) detengono effettivamente, all’interno delle rispettive organizzazioni, una posizione con le caratteristiche richieste dagli articoli 37-39 del GDPR e le risorse necessarie per svolgere i propri compiti, inviterà le Autorità europee per la protezione dei dati a (i) inviare questionari ai DPO per un esercizio di accertamento dei fatti o per identificare se è giustificata un’indagine formale e (ii) avviare indagini formali. Inoltre, l’EDPB ha sottolineato che i risultati dell’iniziativa saranno analizzati in modo coordinato, e che le Autorità di protezione dei dati decideranno in merito a possibili ulteriori azioni locali di vigilanza e applicazione della normativa sulla protezione dei dati.

PIXEL META – L’Autorità austriaca per la protezione dei dati personali (DBS) ha di recente stabilito che il #pixel di tracciamento di Meta Platforms Inc viola non solo il GDPR ma anche quanto stabilito dalla Corte di Giustizia dell’Unione europea (CGUE) nella storica sentenza Schrems II. La decisione della DBS – resa pubblica proprio da NOYB, l’associazione di Max Schrems – scaturisce infatti dalle 101 denunce presentate dall’associazione contro Google Analytics, reggendosi sui medesimi presupposti: l’inevitabile trasferimento internazionale dei dati extra SEE, in particolare verso gli Stati Uniti.

NEWSLETTER GARANTE –  Pubblicata il 15 marzo l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata una società di servizi di messaggistica per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti; (ii) la sanzione ad un’azienda che, dopo l’interruzione della collaborazione con il dipendente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società; (iii) la firma di nuovi protocolli di intesa per contrastare revenge porn e cyberbullismo, con l’attenzione ad organizzare eventi che coinvolgano esperti di settore in materia di fenomeni sul web che riguardano i minori.

DATA ACT e AI ACT – Lo scorso 14 marzo nel corso di una votazione plenaria al Parlamento europeo è stata adottata la versione definitiva del #DataAct, la proposta legislativa che – come più volte specificato –  mira a (i) rimuovere tutti gli ostacoli alla libera circolazione dei dati industriali e (ii) regolare i diritti e gli obblighi delle parti coinvolte nella condivisione dei dati prodotti dal cd. Internet of Things (IoT). L’adozione di tale versione, che apre ai negoziati con la Commissione e il Consiglio,  rappresenta un passo molto importante in vista di una sua approvazione. Nella stessa giornata, Dragos Tudorache e Brando Benifei – i correlatori del Parlamento europeo – hanno condiviso una prima bozza di AI Act, nella quale vengono proposti alcuni obblighi specifici per i fornitori di cd. #GPAI, ossia sistemi di intelligenza artificiale per l’uso generale, come – ad esempio – ChatGPT). Per spunti di riflessione sul tema dell’Intelligenza Artificiale, segnaliamo anche questo interessantissimo articolo di Paolo Benanti.

BILANCIAMENTO NEL DIRITTO ALL’OBLIO – Con la sentenza n. 6806 la Suprema Corte di Cassazione si è recentemente pronunciata in materia di diritto all’oblio. I Giudici hanno in particolare stabilito che il gestore di un sito web non è tenuto a provvedere alla deindicizzazione e/o alla cancellazione di informazioni non più dotate dei caratteri di “ verità, continenza e attualità”  in assenza di una legittima ed esplicita richiesta da parte dell’interessato. Concordando con la ricostruzione del giudice di prime cure – secondo cui “la tutela del diritto all’oblio non comporta automaticamente in capo ad una testata giornalistica l’obbligo di rimozione o deindicizzazione della notizia, dal momento che il diritto del soggetto a non vedere rappresentata una versione di sé non più corrispondente alla realtà presuppone una valutazione di non attualità della notizia che non è possibile compiere se non dopo un’espressa richiesta dell’interessato” –  gli Ermellini hanno specificato che sarebbe in ogni caso oltremodo gravoso per il gestore di un archivio digitale l’onere di controllare periodicamente il superamento o la inattualità dei contenuti pubblicati. Grazie ad Agostino Imperatore per la segnalazione: nel suo post trovate il testo della sentenza.

Non è stato fornito nessun testo alternativo per questa immagine

231

DECRETO WHISTLEBLOWING – Lo scorso 9 marzo è stato approvato dal Consiglio dei Ministri il Decreto Legislativo di recepimento della Direttiva 2019/1937 (cd. Direttiva #Whistleblowing). Il Decreto – che entrerà in vigore il prossimo 15 luglio – andrà a disciplinare la protezione dei cd. “whistleblowers”, ossia i soggetti che segnalano la violazione di norme interne o europee di cui siano venuti a conoscenza in ragione della loro posizione lavorativa, pubblica o privata. Sul punto è intervenuta anche l’ANAC (Autorità Nazionale Anticorruzione, investita dal Decreto del ruolo di valutare le segnalazioni e le eventuali sanzioni amministrative da irrogare), attraverso un comunicato stampa dello scorso 10 marzo che illustra le principali novità introdotte.

SICUREZZA SUL LAVORO – Con la sentenza n. 8476 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha affrontato la questione del rapporto tra delega in materia di sicurezza sul lavoro prevista dall’art. 16 del D. Lgs. 81/08 e la delega gestoria affidata dal Consiglio di Amministrazione, di cui all’art. 2381 c.c. Chiamati a decidere sulla responsabilità di un amministratore delegato in relazione ad un incidente occorso ad un lavoratore – responsabilità, più in particolare, basata sull’assunto che la delega alla sicurezza sul lavoro conferita ad altro membro del CdA non fosse accompagnata dal potere di spesa e che, pertanto, non fosse “liberatoria” –  gli Ermellini hanno precisato che “la delega di funzioni prevista dall’art. 16 del D. Lgs. n. 81/08 presuppone un trasferimento di poteri e correlati obblighi dal datore di lavoro verso altre figure non qualificabili come tali e che non lo diventano per effetto della delega. La delega di gestione, anche quando non abbia ad oggetto la sicurezza sul lavoro, invece, in caso di strutture complesse, consente di concentrare i poteri decisionali e di spesa connessi alla funzione datoriale, che fa capo ad una pluralità di soggetti (ovvero i membri del CdA) su alcuni di essi”. I Supremi Giudici di legittimità hanno pertanto accolto il ricorso della difesa, imponendo al giudice di rinvio un approfondimento circa contenuto della delega conferita.  https://www.aodv231.it/novita/sicurezza-sul-lavoro-e-deleghe/

RIFORMA CARTABIA E COORDINAMENTO CON LA 231 – Con una recente ordinanza (consultabile gratuitamente per gli iscritti all’Associazione Aodv231), il Giudice per le indagini preliminari (GUP) di Milano ha stabilito che la nuova regola di giudizio introdotta dalla Riforma Cartabia non si applica ai processi a carico degli enti. Secondo il GUP, infatti, a fronte della modifica dell’art. 425, comma 3, per cui il giudice pronuncia sentenza di non luogo a procedere anche quando gli elementi acquisiti non consentono di formulare una ragionevole previsione di #condanna,  “il disposto dell’art. 61 D. Lgs. 231/2001 non ha subito alcuna modificazione, sicchè statuisce ancora che il giudice pronuncia sentenza di non luogo a procedere (oltre che in ipotesi specificamente enucleate con riferimento alle peculiarità del processo nei confronti dell’ente), quando gli elementi acquisiti risultano insufficienti, contraddittori o comunque non idonei a sostenere in giudizio la responsabilità dell’ente”.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

META E SIAE –  Meta ha comunicato tramite un proprio portavoce di non aver raggiunto un accordo con la Siae (“Società Italiana Autori ed Editori”) per il rinnovo della licenza sul diritto d’autore, scaduto l’anno scorso. Di conseguenza, nelle prossime 48 ore un team dedicato della piattaforma provvederà a rimuovere tutti i contenuti, video e reels recanti tracce del repertorio Siae – che rappresentano una grandissima quantità. Più che ad una questione di soldi, il mancato raggiungimento dell’accordo è stato dovuto a una sensibile differenza nell’approccio tra le due parti in causa. Dal punto di vista della Siae, infatti, non c’è stata sufficiente trasparenza nella trattativa da parte della piattaforma di Zuckerberg: Siae avrebbe infatti chiesto a Meta di quantificare i ricavi provenienti dai contenuti con «colonna sonora» tutelata da Siae, per meglio stabilire la somma necessaria a compensare autori ed editori italiani. Meta, però, non fornisce verticalizzazioni nazionali sul proprio giro d’affari. Da qui uno scontro frontale che ha portato la multinazionale alla decisione di far saltare il dialogo.

OCSE – L’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) ha recentemente pubblicato un rapporto dal titolo “Advancing accountability in AI – Governing and management risk throughout the lifecycle for trustworthy AI”. Il documento illustra come gli approcci di gestione del rischio possono permettere l’attuazione dei principi dettati dall’OCSE in materia di intelligenza artificiale, e ciò durante l’intero ciclo di vita del sistema di AI. All’interno del rapporto l’Organizzazione presenta inoltre importanti ricerche e risultati in merito alle responsabilità e ai rischi connessi ai sistemi di intelligenza artificiale, provvedendo a fornire altresì una panoramica di come i quadri di gestione del rischio e dei cicli di vita del sistema di intelligenza artificiale possono essere integrati al fine di promuovere una AI affidabile.  

REPORT ENISA – L’Agenzia dell’Unione europea per la sicurezza informatica (“ENISA”) ha annunciato la pubblicazione di due rapporti su eSIM ed Edge computing in 5G. In particolare, il primo mira a fornire una panoramica della tecnologia utilizzata, valutare le sfide per la sicurezza e proporre misure di mitigazione del rischio. Le sfide alla sicurezza includono lo scambio di eSIM, l’esaurimento della memoria, gli attacchi di memoria sottodimensionati e l’accesso illegale a informazioni sensibili da parte dei criminali informatici. Inoltre, per quanto riguarda il fog e l’edge computing nel 5G, l’ENISA ha spiegato che la tecnologia fornisce servizi di elaborazione, dati di archiviazione e applicazioni agli utenti finali, pur essendo ospitata all’edge della rete. Il report fornisce una panoramica delle tecnologie fog and edge in termini di 5G, in relazione alla loro architettura, attributi e aspetti di sicurezza.

PIRATERIA DIGITALE – Le commissioni parlamentari Cultura e Trasporti e Telecomunicazioni hanno deliberato favorevolmente sull’esame, da parte dell’assemblea legislativa, della proposta di legge contro la pirateria digitale, che sarà esaminata in Aula il 20 marzo. Saranno previste #sanzioni per oltre 15mila euro per chi detiene abusivamente opere coperte dal diritto d’autore. Più poteri saranno conferiti ad #Agcom, con l’obiettivo di fermare la riproduzione di contenuti illeciti entro poco tempo dalla notifica. Agcom che potrà intervenire con urgenza per ordinare ai prestatori di servizi, compresi i prestatori di accesso alla rete, di disabilitare l’accesso a contenuti illeciti. Lo stesso ordine potrà essere dato anche ai motori di ricerca e ai fornitori di servizi della società dell’informazione, coinvolti a qualsiasi titolo nell’accessibilità del sito web o dei servizi illegali.

GAZZETTA UFFICIALE – Pubblicato nell’edizione dello scorso 18 marzo il Decreto Legislativo di attuazione e recepimento della Direttiva 2019/2161 che prevede una migliore armonizzazione delle norme a protezione dei #diritti dei #consumatori, di cui avevamo già dato conto nelle edizioni precedenti. Nella medesima edizione è stato pubblicato anche un Decreto Legge (d’urgenza) in materia di strumenti finanziari digitali, che riguarda l’emissione e la loro circolazione, oltre che alcune norme di organizzazione.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA / IOWA – Dopo l’ok del Senato locale, è stato definitivamente approvato dalla Camera (con voto unanime!) il disegno di legge in materia di protezione dei dati dei consumatori dello Stato dell’Iowa. In caso di approvazione finale da parte del Governo dello Stato, il documento andrebbe a costituire la sesta normativa completa in materia di privacy degli Stati Uniti. Da una comparazione con le altre normative US si evince tuttavia che la bozza, oltre a fissare in 90 giorni il termine per fornire un feedback alle richieste degli interessati, non contiene (i) una definizione di dati sensibili, (ii) la previsione del diritto del consumatore alla correzione dei propri dati, nè (iii) la previsione di valutazioni d’impatto sui diritti e le libertà dei consumatori (DPIA). 

COSTA RICA – il disegno di legge n. 23097 sulla protezione dei dati personali è stato presentato all’assemblea legislativa del Costa Rica. La proposta mira a vietare il trattamento di dati personali (“particolari”, come definiti dalla normativa europea) che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche e l’appartenenza sindacale, nonché il trattamento di dati genetici, biometrici, relativi alla salute o alla vita sessuale. Vengono introdotti i principali diritti degli interessati, quali il diritto di accesso, rettifica, cancellazione e portabilità dei dati, nonché il diritto di rinunciare al trattamento. Sono anche definiti i principi del trattamento dei dati, tra i quali, accuratezza, legittimità, equità, trasparenza, proporzionalità, responsabilità, sicurezza e riservatezza. 

AUSTRALIA – L’Ufficio dell’Australian Information Commissioner (“OAIC”) ha pubblicato un comunicato stampa in cui ha accolto con favore la decisione dell’Alta Corte australiana di revocare il permesso speciale di Facebook Inc. di appellarsi all’Alta Corte, consentendo il rinvio del procedimento al Tribunale federale. In particolare, l’OAIC ha evidenziato che il procedimento in questione mira ad irrogare sanzioni civili nei confronti di Facebook Ireland e Facebook Inc. per lo scandalo Cambridge Analytica, che ora proseguirà davanti alla Corte Federale. A questo proposito, l’OAIC ha osservato di aver avviato un procedimento contro Facebook, con sede negli Stati Uniti, il 9 marzo 2020, sostenendo che la piattaforma di social media abbia commesso gravi e ripetute interferenze in violazione della legge australiana sulla privacy.

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) ha annunciato la pubblicazione di una nuova guida (“Privacy in the product design lifecycle”) per aiutare i progettisti, i product manager e gli ingegneri dei software a integrare la protezione dei dati nei loro prodotti e servizi fin dall’inizio. Inoltre, la guida affronta le principali considerazioni sulla privacy per ogni fase della progettazione del prodotto. L’ICO ha osservato che la guida, scritta insieme a diversi tecnici di lavoro, offre maggiore certezza su ciò che le organizzazioni potrebbero fare per affrontare i problemi di privacy nel ciclo di vita del prodotto.

REGNO UNITO/2 – L’Information Commissioner’s Office (“ICO”) ha pubblicato un comunicato stampa per annunciare un aggiornamento della propria guida su AI e Data Protection, a seguito dei rilievi e commenti ricevuti dall’industria del settore e dagli esperti in materia privacy.

NORVEGIA – L’autorità norvegese per la protezione dei dati (“Datatilsynet”) ha pubblicato un post sul proprio sito contenente un estratto del discorso tenuto al Parlamento europeo e incentrato sull’intelligenza artificiale. In particolare, il post sul blog sottolinea che, sebbene molte delle tecnologie di intelligenza artificiale abbiano un impatto positivo, dovrebbero essere gestite con cura, poiché a volte possono avere conseguenze negative di vasta portata, in particolare per i diritti e le libertà fondamentali delle persone. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Austin Goode grazie a Unsplash.

News #9/2023: la strada dei dati tra USA e UE è ancora lunga e complessa 

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • l’EDPB si accoda al Parlamento nel chiedere alla Commissione nuovi approfondimenti prima di dichiarare “adeguati” gli USA per il trasferimento di dati personali ai sensi del GDPR;
  • il Governo approva il recepimento della Direttiva Omnibus, con importanti impatti sulla tutela dei consumatori (anche nell’eCommerce);
  • TikTok bannata dai device dei dipendenti UE, lo faremo anche in Italia?
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • chi si interessa di trasferimenti internazionali di dati non può mancare di seguire il profilo di Luiz Alberto Montezuma, “facilitatore di spazi internazionali di dati personali”, con post quotidiani ricchi di numerosi spunti in materia.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Three O’Clock Blues – Eric Clapton & B.B. King (2000)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

EDPB SUL PROGETTO DI DPF – Lo scorso 28 febbraio l’European Data Protection Board (EDPB) ha pubblicato il parere 5/2023 in merito al progetto di esecuzione della Commissione europea sull’adeguata protezione dei dati nell’ambito del Data Protection Framework UE-USA. Nel documento l’EDPB espone diverse preoccupazioni – già evidenziate in precedenza rispetto al defunto “Privacy Shield” – soprattutto per quel che riguarda la tematica dei diritti degli interessati. Più in particolare, il Comitato si è soffermato (i) sui trattamenti decisionali automatizzati, stabilendo che vanno formulate norma più specifiche al di fornire le “garanzie sufficienti” richieste dal GDPR e (ii) sul meccanismo di ricorso, evidenziando che – nonostante i miglioramenti – rimangono ferme le preoccupazione relative all’applicazione generale della risposta standard della DPCR (Data Protection Review Court). Dopo il Parlamento, quindi, un altro parere critico e che poco aiuta la Commissione nel percorso di approvazione della decisione (eminentemente politica) riguardo all’adeguatezza degli USA per il trasferimento di dati personali.

NOYB – “None Of Your Business” – l’organizzazione no profit di Max Schrems – ha di recente annunciato di aver presentato una serie di reclami contro siti web e broker di dati in materia di diritto di accesso. In particolare, NOYB ha spiegato che alcuni utenti hanno effettuato una serie di richieste di accesso al fine di testare la gestione dell’autenticazione dei cookie, allegando alla richiesta  i cookie installati dai siti web di riferimento quale mezzo di identificazione. Secondo l’organizzazione, molte delle risposte ricevute dagli interessati non erano sufficienti e,  addirittura, in alcuni casi (i) erano stati richiesti dati ulteriori ai fini della identificazione e (ii) la richiesta di accesso era stata completamente ignorata.

CYBERCRIME –  I furti di identità in Italia sono cresciuti in modo esponenziale, ha evidenziato la Relazione sulla politica dell’informazione per la sicurezza relativa al 2022, curata dal Comparto Intelligence nella sezione dedicata alla minaccia cibernetica. La capacità di attribuzione acquisita dall’Intelligence e l’ampio ricorso da parte degli attori statuali a strumenti impiegati anche da gruppi criminali ha consentito di rilevare una sensibile crescita degli attacchi di matrice criminale. Si è confermato anche per il 2022 il ricorso da parte dei principali criminali informatici, alla registrazione di domini malevoli, ossia quelli connotati, per denominazione e caratteristiche, da un’elevata similitudine con quelli di siti istituzionali e governativi, al fine di dirottare inconsapevolmente gli utenti verso siti web compromessi. È continuata anche la ricerca delle vulnerabilità tecniche esposte dai target selezionati, funzionale a tentativi di violazione delle loro reti informatiche, nonché ad attacchi informatici. A tale contrazione ha fatto da contraltare un incremento nell’impiego di malware da parte di attori di matrice criminale.

DSA E TASSA DI VIGILANZA –  La Commissione europea ha stabilito le regole per la riscossione delle tasse sulla vigilanza per le piattaforme e i motori di ricerca online di grandi dimensioni, che verranno applicate per la prima volta nell’autunno 2023. Come previsto dal Digital Services Act (“DSA”), la Commissione può imporre una tassa ai fornitori sottoposti alla sua supervisione, risorse che serviranno a finanziare i costi sostenuti per le attività di controllo della Commissione. Il regolamento specifica infatti le procedure per il calcolo e la riscossione della tassa di vigilanza, fornisce dettagli sui costi complessivi stimati da coprire con le tasse riscosse e sulla determinazione delle singole imposte. Gli obblighi per i fornitori di servizi individuati dal DSA diventeranno applicabili quattro mesi dopo la loro designazione formale.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CRIMINALITÀ ECONOMICA – L’Ufficio Nazionale del Procuratore Finanziario francese (PNF) – operante nel settore del monitoraggio e contrasto dei reati di natura economica e finanziaria – ha emesso di recente un aggiornamento delle Linee Guida del 2019 in materia di accordi di negoziazione sull’esercizio dell’azione penale in materia di criminalità di impresa (cd. CJIP, Convention Judiciaire d’Intérêt Public). Il documento delinea una politica premiale tesa a stimolare la spontanea cooperazione tra gli enti operanti nel settore nell’ambito della quale vengono valorizzate iniziative quali l’auto-segnalazione. In caso di fallimento tali accordi di negoziazione rimangono secretati, ma in caso di esito favorevole le imprese possono ottenere concreti benefici, soprattutto in termini di ridimensionamento delle sanzioni.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

ECOMMERCE – E’ stato approvato dal Consglio dei Ministri il Decreto Legislativo di attuazione della cosiddetta “Direttiva Omnibus”, di grande rilevanza per l’impatto sulla tutela dei consumatori in particolare nell’ambito eCommerce. Come precisato dal Ministero dello Sviluppo Economico, le principali novità riguardano la #trasparenza di informazione, l’aggiornamento dei casi di #praticheingannevoli e l’aumento del regime delle #sanzioni applicabili.

TWITTER – Tornano i licenziamenti in casa Twitter. Ad essere colpiti ben 200 dipendenti, il 10% di quelli “sopravvissuti” all’ondata dello scorso autunno. La ragione di tale ridimensionamento è da ricercarsi nella “necessità” avvertita da Musk di ridurre i costi della società. Qualche stranezza, in effetti, era già nell’aria: già da una settimana il servizio di messaggistica istantanea aziendale  era stato messo offline, rendendo di fatto impossibile la comunicazione tra i dipendenti e la consultazione di dati aziendali. Alcuni dipendenti hanno poi riferito di aver avuto qualche certezza in più circa il loro imminente allontanamento lo scorso sabato, quando hanno scoperto di essere stati disconnessi dal loro account aziendale. 

AGCOM & TIKTOK – Si è espresso anche il commissario Agcom, Antonello Giacomelli, sull’ipotesi di divieto di utilizzo, all’interno della Pubblica Amministrazione, della app di TikTok negli smartphone lavorativi, che impatterebbe circa 3,2 milioni di dipendenti statali. La decisione vorrebbe porsi nel solco di quella adottata dalla Commissione Europea, che ha già imposto il divieto. Dal canto suo, la piattaforma ha ribadito che i dati degli utenti non si troverebbero in Cina, e che il governo cinese non avrebbe mai presentato alcuna richiesta di accesso ai dati.

OPEN BANKING – Uno studio pubblicato dalla Banca d’Italia (“L’open banking nel sistema dei pagamenti: evoluzione infrastrutturale, innovazione e sicurezza, prassi di vigilanza e sorveglianza”) ha rilevato che la diffusione dell’open banking sta determinando una profonda discontinuità nelle modalità di possesso e di utilizzo dei dati personali degli utenti dei servizi finanziari. In particolare, nei pagamenti, l’open banking porta a un parziale ridimensionamento del ruolo, finora esclusivo, degli intermediari presso cui i conti dei clienti sono radicati, consentendo a terze parti di effettuare il pagamento per conto del consumatore, senza la necessità che esse abbiano una relazione contrattuale con la banca. L’open banking genera una maggiore complessità tecnologica e aumenta le interconnessioni all’interno dell’industria dei pagamenti. Per questo, afferma Banca d’Italia, è necessario che le autorità pubbliche definiscano assetti regolamentari e di vigilanza in grado di fare evolvere l’intero sistema finanziario verso una maggiore efficienza e inclusività, garantendo sicurezza e affidabilità.

PREVISIONI DI CRESCITA DELL’ECONOMIA DIGITALE – L’economia digitale rappresenterà più della metà del Pil globale entro la fine del 2023, e la crescita del 5G e l’evoluzione delle tecnologie di connettività aumenteranno i benefici economici globali di circa il 15%. È quanto emerge dallo studio “Driving development: The impact of Ict investments on the digital economy” realizzato da Huawei, in collaborazione con EI Studios e Gsma Intelligence e presentato in occasione del Mobile World Congress di Barcellona. La principale conclusione a cui si giunge è che che informatica e digitalizzazione sono destinati a guidare la quarta rivoluzione industriale. Le telecomunicazioni hanno un ruolo centrale in quanto promotori dell’economia digitale, sono state determinanti nel fornire le necessarie infrastrutture di connettività e finora hanno sostenuto l’onere degli investimenti in linea con il loro ruolo di servizi pubblici. Per mantenere questa crescita sostenibile ed efficace, sarà necessario creare collaborazione e dialogo con il settore privato per creare quadri normativi di supporto e incentivare l’innovazione, entrambi aspetti essenziali per dare impulso all’economia digitale del futuro.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

IRLANDA –  L’Autorità garante irlandese (DPC) ha di recente annunciato di aver sanzionato la società Centric Health Ltd. per violazione del GDPR, in particolare delle disposizioni in materia di misure di sicurezza. Dalle indagini svolte dall’Autorità è infatti emerso che, in conseguenza di attacco hacker, era stato registrato l’accesso non autorizzato e la perdita della disponibilità di dati personali – anche particolari – di 70 mila interessati, nonché la perdita definitiva di dati di oltre 2500 pazienti. Secondo l’Autorità l’incidente di sicurezza non si sarebbe verificato se la Centric Health avesse implementato adeguate misure di sicurezza – tecniche e organizzative – tali da garantire un livello di rischio “adeguato”. Per tale motivo, la società è stata sanzionata per 460 mila euro.

DANIMARCA – L’autorità danese per la protezione dei dati (“Datatilsynet”) ha annunciato che l’agenzia danese per la sicurezza digitale ha attivato una nuova hotline per i cittadini e le imprese che necessitano di consulenza e orientamento per proteggersi da crimine informatico. In particolare, il Datatilsynet ha affermato che la hotline (i) facilita l’accesso alle di prevenzione su come i cittadini dovrebbero proteggersi dai criminali informatici, (ii) fornisce consigli e indicazioni su come proteggere una rete wireless domestica, aggiornare i programmi o proteggere i dispositivi digitali dei bambini; (iii) propone indicazioni su come un’azienda può reagire se esposta a un attacco informatico, compresi i vantaggi e gli svantaggi delle diverse azioni.

USA –  L’Electronic Privacy Information Center (“EPIC”) ha annunciato di aver presentato commenti alla Federal Communications Commission (“FCC”) in merito alla proposta per cui potrebbero essere raccolti dati sulla posizione dei telefoni cellulari per migliorare l’instradamento delle chiamate al 911. In particolare, EPIC ha sottolineato di apprezzare l’obiettivo della FCC di migliorare i tempi di risposta alle emergenze, ma anche che la proposta non tiene conto dell’incapacità dei dispositivi di salvaguardare i dati sulla posizione. 

USA / COLORADO – La bozza rivista del Colorado Privacy Act (“CPA”) è stata depositata presso il Segretario di Stato, dopo la loro pubblicazione da parte del Colorado Attorney General (“AG”) il 27 gennaio 2023. In particolare, l’ultima revisione riguarda diversi elementi del progetto di CPA, tra cui (i) l’aggiornamento di alcune definizioni, (ii) fornire nuovi esempi per i programmi di fidelizzazione, (iii) modifiche alla divulgazione e alle specifiche delle finalità, (iv) modifiche al consenso, (v) requisiti di contenuto minimo per le valutazioni sulla protezione dei dati.

USA / NEW YORK – E’ stato presentato all’Assemblea dello Stato di New York, e successivamente deferito, nella stessa data, al Comitato per la scienza e la tecnologia dell’Assemblea statale, un atto di modifica del diritto commerciale generale in relazione all’emanazione del New York Child Data Privacy and Protection act. In particolare, il disegno di legge sottolinea che ogni entità che offre un prodotto online destinato agli utenti minorenni a New York deve completare una valutazione dell’impatto sulla protezione dei dati (“DPIA”), e delinea un divieto di raccolta di dati e pubblicità digitale, in modo che nessuna entità che offre un prodotto online destinato a utenti minorenni possa raccogliere, conservare, elaborare o vendere dati personali, a meno che non sia necessario fornire tale servizio agli utenti.

SPAGNA – L’autorità catalana per la protezione dei dati (“APDCAT”) ha pubblicato, il 1° marzo 2023, una guida intitolata “Privacy by design e privacy by default: una guida per gli sviluppatori”. In particolare, l’APDCAT ha evidenziato che la guida funge da risorsa per il rispetto degli obblighi di Privacy by Design e Default ai sensi dell’articolo 25 del GDPR. Inoltre, la guida identifica una serie di misure che possono aiutare la protezione dei dati personali nelle diverse fasi del trattamento dei dati personali, tra cui la crittografia, l’anonimizzazione e la pseudonimizzazione, insieme alle tecniche per l’attuazione di tali misure.

BRASILE –  L’autorità brasiliana per la protezione dei dati (“ANPD”) ha pubblicato una risoluzione definitiva sull’applicazione delle sanzioni amministrative a seguito di consultazione pubblica. In particolare, l’ANPD ha evidenziato che la risoluzione mira a disciplinare i criteri e i parametri per le sanzioni pecuniarie e non pecuniarie che possono essere irrogate dall’ANPD. Inoltre, l’autorità ha rilevato che la delibera modificherà alcuni articoli al fine di migliorare il processo sanzionatorio amministrativo e ispettivo per fornire certezza del diritto e trasparenza.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Charles Forerunner grazie a Unsplash.

“NEW DEAL” E FEEDBACK SULLE DIRETTIVE A TUTELA DEI CONSUMATORI

La Commissione europea e le autorità di protezione dei consumatori di 23 Stati membri hanno pubblicato i risultati di una ricerca condotta su vari siti di commercio al dettaglio, per verificare la regolarità delle loro pratiche rispetto alla tutela dei consumatori.

Qui il link alla Press Release.

I dati mostrano che quasi il 40% dei siti web dei negozi si affidano a pratiche manipolative, volte a indurre i consumatori a compiere scelte che in realtà non interessano, né sono nel loro interesse: tra queste, ad esempio, ci sono

  • falsi countdown che mettono fretta durante la scelta e l’acquisto dei prodotti;
  • informazioni nascoste;
  • interfacce ingannevoli per indurre i consumatori all’acquisto
  • e molte altre condotte che fanno leva su debolezze delle varie categorie.

Le autorità nazionali ora procederanno con le adeguate procedure e prenderanno le mosse attraverso azioni appropriate.

Questa occasione appare utile per segnalare che la Commissione europea sta raccogliendo feedback, mediante una consultazione pubblica aperta fino al 20 febbraio 2023, sulle principali direttive legate alla protezione dei consumatori, per determinare se esse assicurino un buon livello di protezione nell’ambiente online.

Per incoraggiare a sostenere l’iniziativa legislativa dell’Unione europea e la sua efficace applicazione, ecco un breve quadro delle principali direttive europee a tutela dei consumatori.

Direttiva sulle pratiche commerciali sleali

La “Unfair Commercial Practices Directive” (“UCPD”) venne adottata per la prima volta nel 2005 (Direttiva (CE) 2005/29) e modificata in seguito dalla Direttiva (UE) 2019/2161, che fu anche corredata dal 17 dicembre 2021 di una guida esplicativa, relativa alle principali questioni attinenti alla tutela dei consumatori.

Tra gli argomenti principali di questa normativa risultavano (i) le interazioni con altre normative dell’UE, (ii) le rivendicazioni ambientali e obsolescenza programmata, (iii) la commercializzazione di beni di “doppia qualità”; (iv) gli obblighi delle piattaforme e dei mercati online; (v) la trasparenza dei risultati di ricerca; (vi) le recensioni e i consensi dei consumatori; (vii) l’influencer marketing.

L’obiettivo della Direttiva sulle pratiche commerciali sleali è principalmente quello di accrescere la fiducia dei consumatori e di rendere più facile il commercio transfrontaliero per le aziende, in particolare per le piccole e medie imprese.

Si tratta di una normativa europea generale che regola le pratiche commerciali sleali che si verificano prima, durante e dopo una transazione tra imprese e consumatori. Essa, in particolare, consente alle autorità nazionali di controllo di arginare un’ampia gamma di pratiche commerciali sleali, tra le quali le informazioni non veritiere fornite ai consumatori o le tecniche di marketing aggressive per influenzare le loro scelte.

Direttiva sulle clausole vessatorie

La “Unfair Contract Terms Directive” (93/13/CEE) ha come obiettivo quello di proteggere i consumatori dalle clausole contrattuali standard, precompilate in modo sproporzionato e abusivo e imposte dai professionisti.

Essa si applica a tutti i tipi di contratti sull’acquisto di beni e servizi, ad esempio acquisti online od offline di beni di consumo, abbonamenti in palestra o contratti su servizi finanziari, come i prestiti.

Anche la normativa del 1993 è stata modificata dalla Direttiva (UE) 2019/2161, relativa a una migliore applicazione e modernizzazione delle norme dell’Unione in materia di protezione dei consumatori, nell’ambito del “New Deal” per i consumatori.

Il principio fondamentale che sta alla base di questa normativa non è proibire le clausole contrattuali standard, che anzi facilitano le transazioni commerciali e possono essere utili per stabilire i diritti e gli obblighi delle parti ai sensi di un determinato contratto; essa piuttosto mira a tutelare i consumatori, prevedendo che queste clausole contrattuali (i) siano redatte in un linguaggio semplice e comprensibile, (ii) vedano le ambiguità eventualmente presenti interpretate sempre a favore dei consumatori, (iii) laddove si tratti di clausole abusive, siano rese nulle e non vincolanti per i consumatori.

La Direttiva sui diritti dei consumatori

La “Consumers Rights Directive” fornisce ai consumatori gli stessi diritti in tutta l’Unione europea, allineando e armonizzando le norme nazionali in materia di tutela dei consumatori, ad esempio sulle informazioni che i consumatori devono ricevere prima di acquistare beni, servizi o contenuti digitali e sul loro diritto di annullare gli acquisti online, ovunque effettuino acquisti nell’Unione.

Gli Stati membri non possono discostarsi dalla direttiva, a meno che la direttiva stessa non preveda una specifica possibilità di derogare alle sue norme.

La normativa contiene le informazioni fondamentali che devono essere fornite dai professionisti prima della conclusione di contratti con i consumatori, prevede norme sulla consegna e sul trasferimento dei rischi applicabili ai contratti di vendita di beni e alcune norme applicabili ai contratti stipulati con i consumatori.

________________________________

Foto di Veronika Koroleva su Unsplash

Sanzione privacy a WhatsApp Ireland confermata, nonostante i ricorsi su più fronti

Foto di Liam Charmer su Unsplash

WhatsApp Ireland Ltd. (“WhatsApp”) contro l’European Data Protection Board (“EDPB”) e la Corte di Giustizia dell’Unione europea (“CGUE”): una “questione irlandese” che non ha nulla a che vedere con il regionalismo britannico e le sue lotte, ma che si inserisce nelle dinamiche dei trasferimenti internazionali di dati, delle procedure che l’EDPB adotta per garantire la corretta e coerente applicazione del GDPR all’interno dell’Unione europea e che vede coinvolta, questa volta, anche la Corte di Giustizia UE.

WhatsApp vs. EDPB

Nell’ambito dei trasferimenti internazionali di dati, esiste un’autorità definita “Capofila”, che è l’Autorità Garante dello Stato in cui è stabilito il Titolare o il Responsabile del trattamento di dati per trasferimenti tra altri Paesi, alla quale questi ultimi trasferiscono la competenza sul trattamento transfrontaliero in questione.

Se un’Autorità Capofila emana una decisione che diventa oggetto di obiezioni da parte delle altre Autorità Garanti, definite “Interessate”, e se queste obiezioni, pertinenti e motivate, vengono contestate dall’Autorità Capofila, l’EDPB interviene con un procedimento di risoluzione delle controversie ai sensi dell’art. 65 del GDPR.

È proprio con questo meccanismo che l’EDPB ha adottato, il 28 luglio 2021, una decisione vincolante a seguito di alcune indagini, basate su denunce relative alle attività di trattamento della piattaforma WhatsApp. La decisione riguarda, in particolare, la liceità e la trasparenza del trattamento per la pubblicità comportamentale e la liceità del trattamento ai fini del miglioramento dei servizi della piattaforma.

La decisione vincolante dell’EDPB arrivava in seguito a una sanzione dell’Autorità Garante irlandese, aumentandone notevolmente l’ammontare irrogato nei confronti di WhatsApp per violazione, da parte della piattaforma, della normativa del GDPR.

Numerose Autorità Garanti interessate avevano sollevato, infatti, obiezioni alla proposta di decisione dell’Autorità Garante irlandese, la quale, a fronte delle violazioni di WhatsApp, avrebbe comminato una sanzione non proporzionata, ritenuta “troppo leggera” e così inefficace.

A fronte di un atteggiamento tradizionalmente ritenuto tollerante e comprensivo, che ha spesso caratterizzato l’Autorità Garante irlandese nei confronti di società con sede principale negli Stati Uniti e che ha spinto le stesse società a stabilire la loro sede europea in Irlanda, questa volta il Garante irlandese è stato costretto – a causa della decisione vincolante dell’EDPB – a infliggere una sanzione ben superiore alla piattaforma, pari a 225 milioni di euro.

WhatsApp vs. CGUE

A seguito della sanzione ricevuta, WhatsApp ha adito la CGUE impugnando la decisione davanti alla CGUE, la quale, nella causa T-709/21 sulla domanda di annullamento della decisione vincolante del EDPB ha, invece, respinto il ricorso proposto da WhatsApp in quanto irricevibile perché non diretto contro un atto impugnabile ai sensi dell’art. 263 del TFUE.

La CGUE osserva che, affinché un atto possa essere impugnato, esso deve produrre effetti giuridici vincolanti e deve essere in grado di incidere sugli interessi del richiedente, determinando un netto mutamento della sua posizione giuridica. Questo requisito si somma, inoltre, alla necessità che il ricorrente sia direttamente e individualmente interessato da tale atto per essere legittimato ad agire.

Per quanto riguarda il requisito degli effetti giuridici sul richiedente, la CGUE ha ritenuto che la decisione impugnata non modifichi di per sé la posizione giuridica della piattaforma WhatsApp, in quanto, a differenza della decisione finale dell’autorità di controllo irlandese, la decisione impugnata non è direttamente esecutiva nei confronti della WhatsApp e costituisce un atto preparatorio di un procedimento che deve concludersi con l’adozione di una decisione definitiva di un’autorità nazionale di vigilanza nei confronti di tale impresa.

Per quanto riguarda il requisito del diretto e immediato interesse di WhatsApp, la CGUE ha rilevato che la decisione impugnata lascia un certo margine di discrezionalità all’Autorità Garante irlandese per quanto riguarda il contenuto della decisione finale, che riguarda anche altri aspetti, in particolare l’importo dell’ammenda amministrativa, non configurandosi un interesse conforme ai requisiti per l’interesse ad agire della piattaforma nel provvedimento dell’Autorità Garante.

Conclusione della vicenda

La CGUE si è espressa su una serie di elementi che, valutati nella loro complessità, avrebbero messo profondamente in crisi il ruolo dell’EDPB e il meccanismo di composizione delle controversie di cui all’art. 65 del GDPR, se la CGUE avesse accolto il ricorso.

La questione resta ancora aperta, però, dato che secondo la stessa CGUE, la validità della decisione impugnata potrà essere contestata dinanzi a un giudice nazionale, che potrebbe presentare una domanda di pronuncia pregiudiziale di nuovo sottoposta all’autorità della Corte europea.

News #50: la Commissione UE ritiene “adeguati”​ gli USA per il data transfer, ora tocca all’EDPB (e a NOYB); nuovi protocolli rilevanti su 231

Immagine di copertina di Tessa Rampersad grazie a Unsplash.

SEZIONE SPECIALE: USA-UE DATA TRANSFER

BOZZA DECISIONE DI ADEGUATEZZA UE-USA –  Lo scorso 13 dicembre la Commissione europea ha pubblicato la bozza di decisione di adeguatezza che, ex art.46 GDPR, consentirà – qualora approvata – un trasferimento di dati sicuro tra Europa e Stati Uniti. In particolare la bozza, nel recepire le preoccupazioni sollevate dalla Corte di Giustizia nella sentenza #SchremsII, poggia su una seria valutazione del quadro normativo statunitense, incluso l’ordine esecutivo di Biden e i regolamenti che istituiscono un tribunale per la protezione dei dati. Contestualmente alla bozza, la Commissione ha altresì rilasciato una pagina dedicata alle Q&A (domande e risposte più frequenti). Il progetto di decisione è stato ora inoltrato all’EDPB e successivamente verrà sottoposto al vaglio di un comitato composto da rappresentanti dei vari stati membri. Dopo tali passaggi, inclusa la verifica del Parlamento europeo, il documento tornerà alla Commissione alla quale spetterà procedere (eventualmente) alla sua adozione.

IL COMMENTO DI NOYB – Pubblicata la bozza di decisione di adeguatezza, il commento di #NOYB non è tardato ad arrivare. Nella stessa giornata del 13 dicembre, infatti, None Of Your Business (l’organizzazione no profit di Max Schrems, promotore dinanzi alla CGUE delle cause concluse con le famose sentenze Schrems I e Schrems II) ha rilasciato una prima valutazione sul documento segnalando che le modifiche (e, di conseguenza, le  garanzie) introdotte nell’ordinamento giuridico statunitense dall’Executive Order di Biden sono in realtà insufficienti. Rimandando l’attenta valutazione della bozza ai giorni successivi, NOYB ha formulato un pronostico negativo circa le sorti della decisione, laddove portata al cospetto della CGUE.

ACCORDO OCSE SULL’ACCESSO DEL GOVERNO AI DATI PERSONALI – Il 14 dicembre l’Organizzazione per la Cooperazione e lo Sviluppo Economico ha annunciato l’adozione della dichiarazione sull’accesso del governo ai dati personali detenuti da entità del settore privato, alla quale hanno aderito 38 paesi, insieme all’Unione europea. L’accordo chiarisce in che modo le forze dell’ordine e la sicurezza nazionale possono accedere ai dati personali nell’ambito degli ordinamenti giuridici esistenti. Rifiutando qualsiasi approccio da parte dei governi per accedere ai dati personali che sono in contrasto con i valori democratici e lo stato di diritto, la dichiarazione stabilisce una serie di principi in base ai quali i governi possono accedere ai dati personali detenuti dalle organizzazioni. La dichiarazione ha anche notevoli risvolti applicativi concreti, tra i quali il caso in cui nelle TIA (“Transfer Impact Assessment”) si è tenuti a verificare la presenza nell’ordinamento dello Stato di destinazione di norme chiare, che costituiscano garanzie in uno stato democratico almeno equivalenti, sostanzialmente, a quelle dell’Unione europea.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DIRETTIVA PNR – Lo scorso 15 dicembre l’EDPB (European Data Protection Board) ha annunciato di aver adottato una dichiarazione in merito ad una sentenza (C-817/19) pronunciata dalla CGUE in materia di uso dei codici di prenotazione (#PNR) per finalità di prevenzione, accertamento e azione penale nei confronti di terrorismo e di altri reati gravi. L’EDP ha spiegato che, secondo l’interpretazione della Corte, la Direttiva 2016/681 (cd. #DirettivaPNR) prevede importanti specificazioni in relazione al trattamento di dati personali, quali ad esempo (i) l’applicazione del sistema PNR ai soli reati di terrorismo e agli altri reati gravi che hanno, in concreto, un legame con l’uso di aerei e (ii) l’applicazione non indiscriminata del periodo di conservazione di 5 anni ai dati dei passeggeri. Partendo da tale premessa, l’EDPB ha rilevato che la gran parte dei trattamenti effettuati dagli Stati Membri alla luce della Direttiva PNR non è conforme all’interpretazione della Corte europea,provvedendo pertanto a raccomandare l’adozione di tutti i necessari provvedimenti al fine di un allineamento.

VIOLAZIONE RISERVATEZZA – Il Garante per la protezione dei dati personali ha di recente irrogato una sanzione all’Istituto per lo Studio, la Prevenzione e la Rete Oncologica (ISPRO) per violazione di dati personali sanitari (dunque, un #databreach). Dal reclamo proposto da un paziente è infatti emerso che l’Azienda Ospedaliero-Universitaria Careggi di Firenze – nominata responsabile del trattamento da ISPRO – aveva per errore inoltrato via e-mail il referto medico di un altro paziente. Tale comunicazione, essendo priva di idonea base giuridica, era stata pertanto effettuata in violazione del GDPR. Nel comminare la sanzione (7mila euro) il Garante ha inoltre colto l’occasione per ribadire la necessità che i dati sanitari – data la loro particolare delicatezza e “sensibilità” – siano trattati con le adeguate tutele.

CONSULTAZIONE PUBBLICA/DMA – Il Digital Markets Act (DMA) conferisce alla Commissione europea il potere di adottare atti che stabiliscono disposizioni dettagliate per alcune delle questioni indicate all’art. 46. Lo scorso 9 dicembre la Commissione ha pertanto aperto una consultazione pubblica al fine di stabilire con maggiore precisione gli aspetti pratici inerenti a (i) la forma e il contenuto delle notifiche e/o comunicazioni da inoltrare su richiesta della Commissione, (ii) l’avvio di un procedimento ai sensi del DMA, (iii) l’esercizio del diritto ad essere ascoltati e ai termini di divulgazione ex art. 34. e, più in generale, (iv) ai termini previsti dall’atto. Sarà possibile inoltrare le proprie osservazioni fino al prossimo 6 gennaio, accendendo a questo link.

CITTADINANZA A PUNTI E DIALOGO SULL’AI – E’ stata vietata l’intelligenza artificiale pensata per istituire una “cittadinanza a punti”, attraverso sistemi di valutazione delle persone che vivono in un Paese in base al loro comportamento sociale, alle loro scelte in vari contesti e alle caratteristiche personali. Ora che il Consiglio europeo ha adottato la sua posizione comune, concordata dai 27 Stati membri, relativa alla normativa sull’intelligenza artificiale, il prossimo obiettivo è quello di assicurare che i sistemi di intelligenza artificiale presenti sul mercato dell’Unione europea, e utilizzati dalle persone, rispettino appieno la normativa vigente in materia di diritti fondamentali. Per sfruttare il potenziale dell’Intelligenza Artificiale bisognerà implementare politiche coordinate a livello internazionale e individuare pratiche comuni, ed è proprio con questo spirito che si terrà il 14 e il 15 dicembre a Gran Canaria la relativa riunione ministeriale del Comitato per la politica dell’economia digitale.

REPORT ENISA SU CYBERSICUREZZA NELLA SANITA’ – L’Agenzia dell’Unione europea per la cybersicurezza (“ENISA”) ha pubblicato, il 13 dicembre un report sulla resilienza del settore sanitario europeo, con lo scopo di identificare potenziali sfide e di suggerire raccomandazioni. Il report illustra che, durante il 2022, l’allocazione di budget e risorse per promuovere la costituzione di team di sicurezza informatica all’interno delle organizzazioni sanitarie è stato fondamentale per garantire la resilienza della sicurezza informatica, fondamentale nel settore sanitario, e che anche i test regolari a livello locale sono emersi come una buona prassi di sicurezza.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

PROTOCOLLO 231 (POTENZA) –  La Procura Generale della Repubblica presso la Corte d’Appello di Potenza ha adottato un Protocollo organizzativo e di coordinamento in tema di indagini sui reati 231, con il quale ha pubblicato delle linee guida applicative del Decreto 231, al fine di meglio coordinare le indagini nel settore della responsabilità da reato degli enti. La Procura Generale ha integrato il Protocollo con una Relazione illustrativa, allo scopo di (i) soddisfare la necessità di approfondire alcune questioni che investono Decreto 231 e i dubbi interpretativi che lo riguardano e (ii) far fronte all’esigenza derivante dall’estensione della portata normativa di alcuni reati 231 anche ai casi di sovvenzioni pubbliche a danno dello Stato, di altri enti pubblici o dell’Unione europea, ricomprendendo così le risorse del PNRR. 

PROTOCOLLI REATI SUL LAVORO (NAZIONALE) – Dall’intesa raggiunta tra Ispettorato Nazionale del Lavoro e Procura Generale presso la Corte di Cassazione sono stati emanati due nuovi #Protocolli (nn. 474 e 483) che conferiscono – con specifico riferimento alla responsabilità degli enti – particolari compiti e deleghe agli ispettori al fine di indagare sulla commissione di determinati reati. Più in particolare, i nuovi protocolli attribuiscono agli ispettori funzioni di veri e propri “agenti di polizia” in riferimento a particolari tipologie di reati, come infortuni gravi o mortali, caporalato, mobbing e molestie.

PROTOCOLLO ANTI-COVID (NAZIONALE) –  Il Ministero del Lavoro e le Parti Sociali hanno recentemente reso nota la loro decisione di non apportare alcuna revisione al “Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2/COVID-19 negli ambienti di lavoro”, il cd. #ProtocolloAntiCovid, che di fatto rimane dunque in vigore. La scelta concreta circa il protrarre o meno l’applicazione del Protocollo è pertanto rimessa ai singoli datori di lavoro (che fino al prossimo 31 dicembre dovranno comunque rispettare le Linee Guida e le regole dettate in materia di uso dei dispositivi di protezione delle vie respiratorie nelle strutture sanitarie, socio-sanitarie e socio-assistenziali).

GERMANIA E WHISTLEBLOWING – Il Parlamento tedesco (“Bundestag”) ha annunciato l’adozione del progetto di legge c.d. Whistleblowing Protection Act (in tedesco c.d. (“HinSchG”), con alcuni emendamenti, che comprendono (i) l’estensione dell’ambito di applicazione del progetto HinSchG alle segnalazioni di dichiarazioni di funzionari pubblici che costituiscono una violazione del dovere di lealtà alla Costituzione tedesca; e (ii) il trattamento delle segnalazioni anonime, il cui trattamento diventa obbligatorio, anziché facoltativo, per gli uffici segnalanti.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TWITTER SOSPENDE I GIORNALISTI (E NON SOLO) – Negli ultimi giorni la piattaforma da poche settimane di proprietà di Elon Musk ha sospeso gli accounti di diversi importanti giornalisti USA, alcuni dei quali sono stati in passato molto critici nei confronti dell’attuale – vulcanico e lunatico, quantomeno – “CEO ad interim”. Allo stesso modo, la nuova era “libera e aggressiva” di Twitter sta vedendo la sospensione di molti account sgraditi, come quello (denominato “ElonJet”) che forniva dati in tempo reale sulla posizione dell’aereo privato di Musk, e come quelli che implementano link diretti ad altre piattaforme social, tra cui Mastodon che pare essere un approdo molto diffuso per i transfughi di Twitter. In molti non vedono l’ora della prossima puntata della #Muskeide.

DICHIARAZIONE EUROPEA PER IL DECENNIO DIGITALE – Le istituzioni dell’Unione europea hanno reso in data 15 dicembre una dichiarazione per una trasformazione digitale inclusiva, equa, sicura e sostenibile che metta le persone al centro, con l’obiettivo di preservare i valori fondamentali dell’Unione europea nel mondo digitale e online. La dichiarazione – che illustra l’impegno dell’Unione europea a favore di una trasformazione digitale sicura, sostenibile e sicura che ponga le persone al centro, in linea con i valori fondamentali e i diritti fondamentali dell’Unione europea – costituirà un punto di riferimento per i responsabili politici, le imprese e altri attori pertinenti nello sviluppo e nella diffusione di nuove tecnologie. 

CRIPTOVALUTE E SEGNALAZIONI UIF – Sono sempre più numerosi gli utenti c.d. Virtual asset service provider (“VASP”) che intercettano e segnalano alla Unità di Informazione Finanziaria (“UIF”) presso la Banca d’Italia, una serie di flussi finanziari in criptovalute che si inseriscono in uno schema volto a frodare il fisco. Il meccanismo prevede la cessione di finti crediti fiscali, i cui proventi sono impiegati per acquisti di criptovalute. La UIF ha predisposto nel mese di dicembre una newsletter dedicata al tema. Le informazioni nella disponibilità degli operatori offrono così delle prospettive per l’analisi finanziaria e la lotta alla frode fiscale mediante strumenti digitali. 

TELEPASS NEL METAVERSO – La società Telepass, dedicata al pagamento del pedaggio autostradale, è entrata nella virtualità del Metaverso, creando un collegamento tra il modo di muoversi della vita reale e le opportunità offerte dal nuovo mondo virtuale. L’azienda si è impegnata a creare un ecosistema di servizi per una mobilità sicura e sostenibile, e si è proiettata nel futuro lanciando per prima in Italia gli NFT ispirati al mondo della mobilità. Il lancio è previsto a partire dal 12 dicembre 2022. e la particolarità è che chi possiede tali NFT, associando il proprio contratto Telepass, potrà accedere a scontistiche dedicate e usufruibili attraverso l’app Telepass. Laddove l’utente non associ il contratto Telepass, sarà comunque proprietario dell’NFT Telepass e potrà decidere anche successivamente e liberamente di attivare il contratto con Telepass per accedere al Club di Membership.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

AUSTRALIA – La Australian Competition and Consumer Commission (ACCC) ha annunciato che la Corte locale federale ha rigettato il proprio ricorso contro Google LLC, che non ha posto in essere un comportamento ingannevole quando ha segnalato l’avvenuta modifica alla propria privacy policy attraverso una notifica sugli schermi dei consumatori. Mentre per la ACCC tale notifica era fuorviante in quanto non consentiva ai consumatori di “accettare” (selezionando il relativo comando sulla notifica) in maniera informata e consapevole le modifiche apportate, la Corte ha invece ritenuto adeguato il comportamento di Google, che (i) ha apportato le modifiche solo dietro espresso consenso e (ii) non ha ridotto i diritti degli interessati. 

POLONIA – UODO, autorità garante locale, ha recentemente annunciato di aver approvato il “Codice di condotta sulla protezione dei dati personali nelle piccole strutture mediche”. Scopo del documento è garantire la protezione dei dati personali dei pazienti e di tutti gli altri soggetti delle strutture sanitarie.

USA – L’Agenzia americana per la sicurezza informatica e delle infrastrutture (CISA) ha pubblicato sulle proprie pagine un’infografica in materia di #phishing al fine di mettere in guardia persone fisiche e organizzazioni da possibili attacchi di truffa informatica. L’infografica riassume i principali metodi con cui i cyber-malintenzionati “buttano l’esca”e suggerisce azioni concrete per prevenire tali attacchi. 

SPAGNA/1 – L’AEPD, Garante spagnolo, ha sanzionato la società Orange Espagne S.A.U. per violazione del GDPR. A seguito del reclamo proposto da un individuo – i cui dati personali erano stati inseriti all’interno di sistemi di informazioni creditizie come conseguenza del mancato pagamento di servizi che, in realtà, l’individuo non aveva mai sottoscritto – l’Autorità ha infatti scoperto che il contratto era stato fraudolentemente concluso a nome dell’interessato da un soggetto terzo. La sanzione di 70 mila euro deriva dal fatto che la società non è stata in grado di fornire adeguata prova (i) di aver lecitamente stipulato il contratto col ricorrente, (ii) di aver ottenuto consenso alla raccolta e al trattamento dei relativi dati personali e (iii) di aver trattato i dati alla luce di una valida base giuridica.

SPAGNA/2 – L’AEPD ha di recente sanzionato anche Vodafone Espana. Un cliente ha infatti segnalato all’Autorità che un duplicato della propria SIM era stato fornito, senza consenso, ad un soggetto terzo (il quale aveva in tal modo ottenuto l’accesso a Google nonché ai dati bancari del ricorrente, effettuando altresì diverse operazioni fraudolente tramite l’online banking). A seguito delle indagini compiute dall’Autorità è emerso che Vodafone non aveva adottato le adeguate (e necessarie) misure precauzionali per scongiurare la duplicazione di una SIM in mancanza del consenso dell’interessato.

PORTOGALLO – La Comissão Nacional de Proteção de Dados (CNPD, Autorità garante portoghese) ha annunciato di aver sanzionato per 4,3 milioni di euro l’Istituto Nazionale di Statistica per violazione di molteplici disposizioni del GDPR. Dalle indagini effettuate dal CNPD è emerso che durante il censimento relativo all’anno 2021 l’Istituto non abbia chiaramente comunicato agli interessati che la risposta a determinate domande – così come il conferimento dei dati relativi alla salute e alle preferenze religiose- aveva natura facoltativa. Tale omissione ha, di fatto, impedito una consapevole e valida formazione della volontà dei cittadini. Tra le altre violazioni riscontrate, l’aver effettuato trasferimenti internazionali di dati verso gli USA in spregio a quanto stabilito dalla CGUE nella sentenza Schrems II e il non aver effettuato una DPIA prima di iniziare le operazioni di trattamento. Se non l’Istituto Nazionale non provvederà a impugnare giudizialmente il provvedimento, la (elevata) sanzione dovrà essere pagata nel termine di 10 giorni da quando la decisione sarà esecutiva.

SLOVENIA – L’uso di #droni dotati di telecamere o altri sistemi di acquisizione e/o elaborazione dei dati può comportare la violazione delle disposizioni dettate in materia di privacy. Per tale ragione il Commissario per l’informazione sloveno ha recentemente pubblicato una infografica (disponibile solo in sloveno) contenente informazioni utili ai fini del rispetto della normativa vigente in materia di protezione dei dati personali in caso di utilizzo di tali strumenti.

BELGIO – Alcune società del settore dei media e della comunicazione hanno raggiunto un accordo con il Garante belga sull’ammontare delle sanzioni irrogate – come in un patteggiamento – senza riconoscimento della loro responsabilità. La tecnica adottata prevede due fasce di sanzioni e i rispettivi massimi edittali, e ha consentito ai Titolari del trattamento di dialogare con l’Autorità Garante per giungere ad un accordo sulla sanzione. L’episodio belga mette sotto i riflettori la diversità del trattamento sanzionatorio tra Stati membri diversi, e costituisce uno spunto di riflessione per le istituzioni europee sulla disarmonia esistente fra gli Stati nell’applicazione del GDPR. 

QUEBEC – La Commissione del Quebec sull’Accesso all’Informazione (“CAI”) ha pubblicato, il 13 dicembre 2022, un report sulla protezione dei minori nell’ambiente digitale, raccomandando una maggiore attenzione e consapevolezza. In particolare, il rapporto esamina i rischi per i minori e i principi internazionali associati alla protezione dei loro dati personali. Inoltre, il rapporto sottolinea l’importanza di ridurre al minimo i rischi in questo settore e discute come rafforzare la protezione delle informazioni personali dei minori. 

UK E DUBAI – Il Governo britannico e Il Centro finanziario internazionale di Dubai (“DIFC”) hanno rilasciato il 15 dicembre una dichiarazione congiunta in cui si impegnano a facilitare maggiormente i flussi e i trasferimenti di dati personali. Le parti considerano questo nuovo accordo come un solido “ponte” per i dati, che apporterà benefici all’economia attraverso un utilizzo affidabile dei dati tra le frontiere. Il Regno Unito e il DIFC hanno concordato, in particolare, sull’importanza della cooperazione normativa esistente e futura come mezzo per migliorare gli obiettivi sulla protezione e la circolazione dei dati personali.

NORVEGIA – L’Autorità norvegese per la protezione dei dati (Datatilsynet) ha annunciato di aver condotto un’ispezione presso l’ufficio del governatore delle Svalbard, avviata in primavera, riguardo il trattamento dei dati personali per le richieste di visto e l’uso del sistema informativo sui visti. Durante l’ispezione sono state scoperte significative distorsioni rispetto all’ elaborazione e al controllo interno; pertanto l’Autorità norvegese ha dato all’ufficio del governatore un termine fino al 31 gennaio 2023 per chiarire e documentare la divisione delle responsabilità tra il governatore e la Direzione dell’Immigrazione per il trattamento dei dati personali nel sistema informativo dei visti.

Il caso “Google Analytics”

Google Analytics (o anche “GA”) è senza alcun dubbio il servizio di web analytics più conosciuto e utilizzato al mondo.

Lanciato nei primi anni 2000 col nome di “Urchin on Demand” dalla Urchin Software Corporation –  società poi acquisita dal colosso di Mountain View, che ha provveduto al cambio nome – Google Analytics consente ai suoi utilizzatori di analizzare statistiche, anche molto dettagliate, sugli utenti visitatori del sito web sul quale viene installato.

Nel corso degli anni, soprattutto con l’avvento dell’e-Commerce, lo strumento è stato utilizzato sempre più al fine di raccogliere ed analizzare dati (anche personali) a fini di marketing.

Nelle statistiche di Google Analytics, infatti, confluiscono una serie importante di dati dei visitatori che (come l’indirizzo IP e altre informazioni del browser utilizzato, come ad esempio la lingua utilizzata, l’area geografica di provenienze) riescono a fornire indicazioni piuttosto “univoche” e particolare sul profilo dell’utente tracciato.

È infatti la profilazione il fine ultimo di tali analisi, e cioè la creazione di un “profilo utente” in grado di consentire a chi usa Google Analytics per il proprio business di ricostruire i gusti, le abitudini e le preferenze dell’utente ai fini della pubblicità personalizzata (anche detta “online adv”, advertising su internet).

Data la particolare “delicatezza” che caratterizza l’attività di analisi di GA – unitamente al fatto che l’utilizzo dello strumento inevitabilmente comporta il trasferimento dei dati trattati verso gli Stati Uniti – Google Analytics ha attirato su di sé gli occhi di alcune Autorità garanti europee, le quali si sono pronunciate in termini di inutilizzabilità alla luce della sua incompatibilità con la normativa dettata dal GDPR.

Ma vediamo bene il perché…

Sentenza “Schrems I”

L’avvocato e attivista austriaco Maximilian (Max) Schrems, fondatore di NOYB (None of your business) – organizzazione no profit che lotta da anni nel campo della protezione dei dati personali – ha sollevato la questione della pericolosità dei trasferimenti verso gli Stati Uniti quando nel 2013, in una causa intentata nei confronti di Facebook Ireland, ha affermato che la decisione di adeguatezza relativa ai trasferimenti UE-USA 2000/520 CE (nota come “Safe Harbor Privacy Principles”, o anche, più semplicemente “Safe Harbor”) non fosse in grado di garantire efficacemente i diritti dei cittadini europei.

Le leggi federali statunitensi, infatti, consentono alle agenzie governative un ampio margine di libertà di accesso ai dati conservati e trattati dalle aziende locali, libertà che si estende anche ai dati importati dall’Unione.

La causa, più in particolare, ha trovato le proprie origini nelle (allora) recenti dichiarazioni di Edward Snowden – informatico ed ex collaboratore della CIA – secondo le quali la NSA (l’Autorità statunitense per la sicurezza nazionale) aveva condotto per anni attività di sorveglianza di massa, dichiarazioni note ai più con il nome di “Datagate”.

All’esito del giudizio, il 6 ottobre 2015 la Corte di Giustizia dell’Unione Europea ha emesso una sentenza (cd. Schrems I) con la quale – accogliendo la tesi del ricorrente – ha stabilito l’invalidità del Safe Harbor.

Sentenza “Schrems II”

In seguito alla caduta del Safe Harbor, la Commissione Europea è corsa ai ripari, provvedendo a negoziare con il Governo USA un nuovo accordo (e relativa decisione di adeguatezza) in grado di giustificare e rendere ammissibili tali trasferimenti (la 2016/1250 UE), conosciuta anche col nome di “Privacy Shield”.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR) si è posta nuovamente la questione della sicurezza dei trasferimenti di dati UE-USA. Artefice del caso, ancora una volta, Max Schrems il quale ha rimesso alla CGUE la decisione circa la compatibilità dei trasferimenti effettuati “sotto lo scudo” del Privacy Shield con la nuova normativa europea.

In particolare, il meccanismo di autocertificazione delle società USA presso la FTC previsto dal Privacy Shield non è stato considerato sufficiente a superare il controllo invasivo sui dati di cui dispongono le agenzie di sicurezza statunitensi.

Con la sentenza del 16 luglio 2020 (c.d. Schrems II) la Corte si è pertanto nuovamente pronunciata per l’invalidità anche del Privacy Shield: laccordo è apparso infatti inadeguato a garantire, lato importatore, il grado di protezione dei dati richiesto dal GDPR.

Decisioni delle Data Protection Authorities europee

Quando si tratta di tutela dei diritti, NOYB non va mai in vacanza. Nell’agosto 2020 l’organizzazione ha infatti presentato 101 reclami ai diversi Garanti europei contestando l’uso, da parte di moltissime società, di Google Analytics. A seguito di tali reclami, la DPA europee sono intervenute sul caso.

Con una decisione del 22 dicembre 2021, la DSB (Autorità garante austriaca) – in applicazione dei principi e di tutto quanto stabilito nella sentenza Schrems II – ha stabilito che Google Analytics viola il GDPR in quanto non rispetta gli stringenti requisiti richiesti per consentire e garantire un trasferimento sicuro di dati UE-USA.

Alla decisione della DSB è poi seguita, il 10 febbraio 2022, la decisione dell’Autorità francese CNIL che – al pari della omologa austriaca – ha stabilito che Google Analytics non è uno strumento sicuro.

Ma non solo: anche nel nostro paese l’uso di GA è stato considerato non adeguato alla normativa vigente.

Il “Caso Caffeina” e la decisione del Garante italiano

Con provvedimento n.224 del 9 giugno 2022 il Garante per la Protezione dei Dati Personali italiano ha censurato la società Caffeina Media S.r.l. per aver utilizzato Google Analytics (nella sua versione “GA3”) e, di conseguenza, per aver effettuato trasferimenti internazionali di dati personali verso gli Stati Uniti in violazione del GDPR.

Il dato peculiare del provvedimento è che, in esso, il Garante non ha previsto alcuna sanzione come corollario della censura.

La decisione si è dunque rivelata un vero e proprio monito, tanto per Caffeina quanto per tutte le altre società italiane utilizzatrici di GA3, con il quale l’Autorità ha voluto intimare di dismettere, nel termine di 90 giorni, l’utilizzo di Google Analytics.

Pur riferendosi specificamente a GA3, è lecito pensare che l’Autorità abbia, più in generale, espresso le proprie perplessità nei confronti di ogni versione di Google Analytics che non sia effettivamente e concretamente in grado di tutelare i dati così come richiesto dal GDPR.

Quel che è certo è una seconda eventuale pronuncia in materia del Garante non dovrebbe essere altrettanto “morbida”.

Società avvisata… mezza sanzionata!

_________________

Photo by Alex Dudar on Unsplash

La tutela dei consumatori nella pubblicità, tra privacy e concorrenza

I mondi della privacy e della concorrenza, se osservati nell’ottica del fare e ricevere pubblicità, sono spesso legati da un denominatore comune: la tutela dei consumatori.

I diritti elencati nel Codice del Consumo – tra i quali figurano la salute e la sicurezza, gli interessi economici, il diritto all’informazione e ad adeguate istruzioni, il diritto al risarcimento, alla rappresentanza e alla partecipazione – rappresentano dei veri e propri diritti soggettivi, garantiti nella tutela individuale e collettiva.

Privacy e concorrenza

Tra i rimedi di natura amministrativa posti a presidio dei consumatori esistono, in particolare, due principali strumenti a fronte di violazioni della privacy che trascendono in pratiche di concorrenza sleale: rivolgersi al Garante privacy, oppure adire l’Autorità Antitrust.

Le due vie si trovano spesso ad intrecciarsi e a far collidere il mondo dei diritti individuali, in particolare quelli relativi alla protezione dei dati personali, con quello della tutela del singolo nel settore della concorrenza e dei mercati.

In questo senso, l’Avvocato generale dell’Unione europea – che formulerà prossimamente le sue conclusioni nel corso del procedimento C-252/21 – in armonia tra l’altro con le decisioni sia del Consiglio di Stato (Sent. 2630 e 2631 del 2021) che del Tar Lazio (Sent. 260 e 261 del 2020), ha proposto alla Corte di Giustizia dell’Unione europea di affermare che per valutare una violazione della concorrenza, l’Autorità antitrust possa incidentalmente indagare se una prassi imprenditoriale sia conforme o meno al GDPR.

Se così decidesse anche la Corte, dal punto di vista delle imprese si porrebbe il necessario tema di (ri)verificare la modulistica contrattuale a disposizione, secondo un doppio parametro di giudizio: la condotta di prevedere all’interno di contratti commerciali delle condizioni di utilizzo di servizi in violazione del GDPR diverrebbe, infatti, censurabile sia dalpunto di vista delle tutele del consumatore sia da quello delle tutele dell’interessato come soggetto passivo in ambito privacy.

Pubblicità

Il caso citato riguarda in effetti Facebook Ireland Ltd. (e la propria controllata locale tedesca), ed in particolare le attività pubblicitarie effettuate a mezzo di Instagram con il supporto dei c.d. “Strumenti di Facebook Business”, in relazione ad un caso in cui è in corso la valutazione dell’abuso di posizione dominante a carico del social network in blu anche in relazione ai dati personali raccolti dagli utenti privati (consumatori), per poi proporre loro pubblicità targettizzate.

In questo senso, si rileva una scelta in senso opposto da parte di Google Italy, che ha di recente annunciato il proprio ingresso nell’italianissimo Istituto dell’Autodisciplina Pubblicitaria (“IAP”) come socio ordinario (qui la notizia).

Google si è così impegnato, accettando il Codice di autodisciplina elaborato dall’Iap, a promuovere una pubblicità più responsabile e sostenibile.

Con questa scelta il principale gestore dei sistemi di advertising online si sottopone ad un quadro di tutela spontanea, anche preventiva, di cui i consumatori fruiranno rispetto alle comunicazioni al pubblico che vengono quotidianamente veicolate dalla piattaforma.

L’ampia eco dell’azione di Google, secondo diversi esperti, non tarderà ad essere avvertita: è una tappa fondamentale nella diffusione nel mondo del web dell’Autodisciplina e dell’enforcement della tutela degli utenti e dei consumatori.

Una riflessione a margine

Oggi più che mai è impensabile fare pubblicità senza dati: diventa allora sempre più importante che ciò avvenga con il rispetto sia delle norme stabilite nel GDPR (e per noi nel Codice privacy) che nella normativa sulla concorrenza e, verso i singoli, nel Codice del Consumo.

La sfida diventa allora, in altri termini, quella di saper conciliare le numerose possibilità offerte dalla tecnologia per la realizzazione e la diffusione di pubblicità mirate con il rispetto delle regole, e delle conoscenze, giuridiche e tecniche.

Soprattutto sarà sempre più rilevante – ed evidente – l’intenzione (o meno) di rinunciare, da parte di ciascuna azienda, a soluzioni apparentemente “semplici” e di grande effetto, come lo sfruttamento di informazioni sui consumatori acquisite con metodi non corretti, che però urtano contro i principi posti a tutela dei dati personali e possono diventare fonte di sanzione anche in ambito di pubblicità e concorrenza.

__________________________________________

Immagine di copertina powered by Dall-E 2 (artist AI + @mpedruzzi)

La Corte di Giustizia UE sui contenuti online provenienti da altri siti Web

In tutti i casi di “incorporazione” (o “transclusion” per utilizzare il termine adottato dalla CGUE) all’interno della propria pagina internet di una risorsa – ovvero, di un contenuto – proveniente da un altro sito web l’elemento incorporato appare nella pagina internet, senza rimandare al sito di provenienza.

Le ragioni alla base dell’uso di questa incorporazione possono essere molteplici: la necessità di presentare all’utente funzioni di altre piattaforme o la fornitura di altri tipi di servizi, come la riproduzione di musica, la pubblicazione post di social media, ecc.

Un altro motivo, ancora, può essere legato agli aggiornamenti contenuti all’interno di un sito o alla necessità di porre immagini provenienti da altre fonti all’interno della propria pagina.

Queste situazioni hanno sfumature diverse tra loro a livello tecnico-informatico, ma possono essere osservate sotto lo stesso punto di vista normativo e giurisprudenziale.

La giurisprudenza della Corte di Giustizia dell’Unione europea

La Corte di Giustizia, Sez. II, nella sentenza del 7 agosto 2018 n. 161 ha previsto che la messa in rete di un contenuto all’interno di un sito internet, precedentemente pubblicato su un altro sito internet, si qualifica come messa a disposizione e perciò come atto di comunicazione al pubblico.

Per questa ragione, la diffusione del contenuto diventa illecita se non autorizzata dal titolare del diritto in questione.

La Corte è arrivata a queste conclusioni distinguendo nettamente i casi in cui:

  • da un lato, il titolare dei diritti conserva una possibilità di controllo sull’opera, in quanto la sua eventuale rimozione dal sito bersaglio rende il link inefficace,
  • dall’altro, in contrasto con quanto previsto dall’art. 3 della Direttiva 2001/29/CE, l’autore del sito che “incorpora” esclude tale possibilità, in violazione dei diritti esclusivi di comunicazione e messa a disposizione del pubblico.

La Direttiva sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione prevede infatti che sia qualificata come comunicazione al pubblico il fatto di incorporare, mediante la tecnica del framing, in una pagina Internet di un terzo, opere protette dal diritto d’autore e messe a disposizione del pubblico in libero accesso con l’autorizzazione del titolare del diritto d’autore su un altro sito Internet, qualora tale incorporazione eluda misure di protezione contro il framing adottate o imposte da tale titolare.

La giurisprudenza italiana si è orientata in modo analogo, affermando che si è in presenza di violazione dell’art. 2598, n. 1 e 2 del Codice civile quando l’utente che si colleghi ad un determinato sito e, su di esso, utilizzi un link, venga collegato alla pagina di un altro sito con contenuti informativi, ma detta pagina venga visualizzata all’interno della cornice (“frame”) del primo sito e, pertanto, i segni distintivi e gli avvisi pubblicitari, posti su questo, continuino a circondare la pagina “agganciata”.

I requisiti per l’incorporazione

I contenuti che si trovano su altri siti possono essere, dunque, incorporati lecitamente solo in presenza di due requisiti.

In primo luogo, che l’utente che sta navigando sulla nostra pagina si renda conto che il contenuto incorporato appartiene a terzi.

Secondariamente, che vengano utilizzati solo contenuti di siti o piattaforme che non prevedano a monte un accesso a pagamento o contenuti che, presi singolarmente, non abbiano nessun tipo di restrizione circa l’incorporamento in domini diversi da quello di origine.

____________________________________________

Immagine di copertina di Febiyan grazie a Unsplash