News #14/2023: SPID (forse) è salvo, ma cosa ne sarà dello sviluppo del digitale in Italia, tra OpenAI e Meta vs. SIAE?
LE PRINCIPALI NEWS DELLA SETTIMANA
- il Governo pare aver stanziato una somma utile a mantenere attivo e funzionante #SPID, strumento pionere dell’identità digitale in Europa;
- AGCM pubblica gli impegni di Google in materia di #portabilità dei dati personali, generati dall’impulso di una startup italiana;
- Meta è nei guai in Italia, con AGCM che vigila sull’affare SIAE, mentre TikTok riceve una sanzione monstre in UK
- fare il Whistleblower non ti esime, secondo la Cassazione, dalla responsabilità per aver contribuito al reato.
IL PROFILO DA SEGUIRE:
- Georg Philip Krog pubblica con frequenza spunti, schemi e mappe di notevole interesse relativamente alle tematiche digitali e privacy.
QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..
- So Happy It Hurts – Bryan Adams (2022).
MERCATI DIGITALI
CONTRIBUTO AI GESTORI SPID – E’ stato presentato da parte del Governo un emendamento al “Decreto Pnrr” – in esame alla Commissione Bilancio del Senato – che sembra offrire un sostegno una tantum per garantire continuità alla fornitura del servizio di identità digitale nazionale, sostenendo con 40 milioni i costi a carico dei provider per l’adeguamento delle infrastrutture tecnologiche. L’intenzione del Governo, peraltro già ampiamente nota, è quella di unificare Spid e Cie all’interno di un’unica applicazione, il cui nome dovrebbe essere Idn (“Identità digitale nazionale”), in linea con il progetto elaborato dalla Commissione europea che, nel 2024, mira a rendere operativo un sistema comune europeo di identità elettronica tramite una app unica, prendendo come modello di riferimento quanto fatto in tema di Green Pass. In quella applicazione, immaginata come un wallet per smartphone, saranno disponibili dati personali, tessera sanitarie e tutti i documenti che potranno “viaggiare” in maniera interoperabile in tutta la zona europea.
AGCM – L’Autorità Garante della Concorrenza e del Mercato (‘AGCM’) ha pubblicato, in data 21 marzo 2023, gli impegni scritti assunti da Alphabet Inc., Google LLC, Google Ireland Limited e Google Italy Srl, e il relativo parere, a seguito dell’avvio di un’istruttoria, a luglio 2022, per presunto abuso di posizione dominante nella #portabilità dei dati. In particolare, l’AGCM ha ritenuto che gli impegni presentati non appaiano manifestamente infondati e, pertanto, li ha pubblicati sul proprio sito internet per l’osservazione dei terzi interessati. Tuttavia, l’Autorità ha anche precisato di riservarsi ogni ulteriore valutazione circa l’idoneità degli impegni assunti a rimuovere le restrizioni alla concorrenza, anche alla luce delle osservazioni che potrebbe ricevere da parte di terzi.
SMART WORKING – Numerosi lavoratori godono, dalla fine dell’emergenza Covid, di una maggiore flessibilità sul lavoro, considerando la tecnologia come un fattore di flessibilità, che consente di lavorare da qualsiasi luogo. La flessibilità dell’orario o della sede di lavoro è sempre più considerato un requisito fondamentale, e addirittura la flessibilità viene considerata come la priorità assoluta nel momento in cui ci si trovasse nella condizione di voler cercare una nuova occupazione. Sono i principali dati che riguardano l’Italia che emergono dal report “Future of Work Life”, realizzato dalla Ericsson Consumer & IndustryLab per fare luce su come i dipendenti e i datori di lavoro stiano affrontando l’attuale situazione e per far emergere le loro opinioni sul futuro del lavoro dopo l’impatto di pandemia, digitalizzazione e flessibilità del mercato. La ricerca è stata condotta in 30 mercati a livello globale, tra cui l’Italia, attraverso 38mila sondaggi online tra i dipendenti, 3.600 tra i decision maker e 11 interviste approfondite con i decision maker in settori selezionati in tre mercati: Cina, Spagna e Stati Uniti.
META VS ANTITRUST (a causa di SIAE) – L’Antitrust ha avviato un’istruttoria nei confronti di Meta Platform, Meta Platforms Ireland, Meta Platforms Technologies UK Limited e Facebook Italy per accertare un presunto abuso di dipendenza economica nella negoziazione con #SIAE della stipula della licenza d’uso, sulle proprie piattaforme, dei diritti musicali. Secondo l’Autorità, la società di Mark Zuckerberg potrebbe aver indebitamente interrotto le trattative per la stipula della licenza d’uso, sulle proprie piattaforme, dei diritti musicali abusando della dipendenza economica di SIAE, così eliminando i contenuti musicali tutelati dalle proprie piattaforme social, senza fornire alla società le informazioni necessarie per svolgere le negoziazioni nel pieno rispetto del principio di trasparenza ed equità. L’Antitrust indaga sull’ipotesi che Meta potrebbe avere abusato dello squilibrio contrattuale, chiedendo a SIAE di accettare un’offerta economica inadeguata, senza però fornire le opportune informazioni per valutarne l’effettiva congruità.
D. LGS. 231
ISPEZIONI GIURIDICO CONTABILI – I negozi giuridici predisposti da alcuni professionisti giuridico-contabili sono finiti nel mirino della Guardia di finanza negli accertamenti ispettivi pianificati per il 2023. La bassa propensione della categoria a compiere le comunicazioni antiriciclaggio, unitamente a un aumento di atti opachi connessi agli eventi straordinari del PNRR e della “bonus economy”, hanno attivato un allarme. Sulla base di questi presupposti, la Guardia di finanza per il 2023 stabilisce un’adeguata presenza ispettiva, da svolgere sui professionisti giuridico-contabili. In particolare, la Guardia di finanza ha ritenuto di calibrare il numero delle ispezioni in modo uniforme su tutti i vari professionisti obbligati alle comunicazioni antiriciclaggio: avvocati, commercialisti, notai, contabili ed esperti giuridico-contabili. Stando all’ordine del Comando generale delle Fiamme gialle, le ispezioni sono necessarie alla luce del ruolo che i professionisti assumono nella gestione contabile e nel perfezionamento di negozi giuridici di varia natura, che impattano sulle dinamiche di movimentazione della ricchezza e sugli assetti proprietari del tessuto economico, come ad esempio, la costituzione o la modificazione di veicoli societari o la compravendita di asset patrimoniali.
RESPONSABILITÀ WHISTLEBLOWER – Con sentenza n. 9148 dello scorso 31 marzo (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Sezione Lavoro della Corte di Cassazione si è pronunciata in materia di responsabilità del whistleblower. Chiamati a decidere su un ricorso presentato da un’infermiera – la quale aveva denunciato il comportamento di alcuni colleghi e che, solo per tale ragione, chiedeva di essere esonerata dalla responsabilità derivante dai suoi propri illeciti – gli Ermellini hanno specificato che la normativa in materia di whistleblowing, se da un lato certamente protegge il segnalante dalle ritorsioni che potrebbero derivargli in conseguenza della denuncia, dall’altro “non istituisce una esimente per gli autonomi illeciti che egli, da solo o in concorso con altri responsabili, abbia commesso, potendosi al più valutare il ravvedimento operoso o la collaborazione al fine di consentire gli opportuni accertamenti nel contesto dell’apprezzamento, sotto il profilo soggettivo, della proporzionalità della sanzione da irrogarsi nei confronti del medesimo”.
MESSA ALLA PROVA – Lo scorso 6 aprile sono state depositate le motivazioni della sentenza n.14840 (scaricabile gratuitamente per gli iscritti all’Associazione Aodv231), con la quale le Sezioni Unite della Corte di Cassazione si sono pronunciate in materia di inapplicabilità dell’istituto della messa alla prova, ex art.168-bis c.p., a favore degli enti. Secondo l’interpretazione degli Ermellini, infatti, “le norme relative alla messa alla prova non contengono alcun riferimenti agli enti quali possibili soggetti destinatari di esse e neppure le norme del D. Lgs. 231 del 2001(…). Gli artt. 34 e 35 del D. Lgs. 231 del 2001, infatti, nel dettare le disposizioni generali sul procedimento di accertamento e di applicazione delle sanzioni amministrative dipendenti da reato (…) contengono un richiamo esclusivamente alle disposizioni del codice di procedura penale e alle disposizioni processuali relativa all’imputato, in quanto compatibili”. Concludono le secondo le Sezioni Unite con la seguente considerazione: “se, dunque, la responsabilità amministrativa da reato riguardante gli enti rientra in un genus diverso da quello penale (tertium genus) e la messa alla prova deve ricondursi a un “trattamento sanzionatorio penale (…), deve ritenersi che l’istituto della messa alla prova non può essere applicato agli enti, a ciò ostando, innanzitutto, il principio di riserva di legge, di cui all’art. 25, secondo comma, della Costituzione”.
PRIVACY
LINEE GUIDA DATA BREACH – Il Comitato europeo per la protezione dei dati personali (EDPB) ha pubblicato lo scorso 4 aprile la versione 2.0 delle sue Linee guida sulla notifica di violazione di dati personali (Linee guida 9/22). In particolare, le Linee guida – che costituiscono un aggiornamento di quelle rilasciate dal Working Party 29 ai sensi del GDPR, poi approvate dall’EDPB nella sua primissima riunione plenaria – si concentrano sui requisiti di notifica di violazioni di dati personali relative a titolari del trattamento stabiliti al di fuori dell’UE.
GARANTE E OPENAI – In seguito al blocco imposto a ChatGPT alla fine di marzo, lo scorso 5 aprile si è tenuto l’incontro tra l’Autorità garante per la protezione dei dati personali e OpenAI, seguito da un comunicato stampa dell’8 aprile in cui il Garante ha confermato l’inizio dell’esame delle misure proposte da OpenAI per andare in contro alle richieste ricevute. Seppur convinta di rispettare la normativa europea in materia di privacy, la società si è mostrata disponibile a collaborare con l’Autorità al fine di trovare una soluzione positiva alle criticità sollevate in merito al software ChatGPT. Dal canto suo, il Garante ha specificato che la propria posizione non va letta in termini di “chiusura” verso l’innovazione tecnologica – e in particolare verso l’intelligenza artificiale – ma, più semplicemente, come un atteggiamento premuroso nei confronti delle disposizioni dettate dalla normativa europea e italiana in materia.
NUOVO RANSOMWARE CONTRO GRANDI AZIENDE – Il nuovo gruppo ransomware Money Message è apparso nella scena cyber con un blog nel quale pubblica le vittime rivendicate negli attacchi ed emette richieste di riscatto da milioni di dollari, prendendo di mira grandi aziende. Gli attori della minaccia chiedono riscatti di milioni di dollari per non divulgare i dati interni rubati durante l’attacco e rilasciare un decryptor per ripristinare i sistemi danneggiati. Tra le vittime già colpite c’è una compagnia aerea asiatica con un reddito annuo di 1 miliardo di dollari. Gli attori della minaccia hanno annunciato di aver esfiltrato informazioni da questa azienda, pubblicando uno screenshot dei file come prova di attacco avvenuto con successo.
ICO vs TIK TOK – L’Information Commissioner’s Office (“ICO”) ha annunciato, il 4 aprile 2023, di aver inflitto una multa di 12,7 milioni di sterline a TikTok Information Technologies UK Limited e TikTok Inc. (collettivamente, “TikTok”), per violazioni del UK GDPR, anche in relazione all’utilizzo dei dati personali dei bambini, a seguito dell’emissione di un avviso di intenti nel settembre 2023. In particolare, TikTok ha trattato i dati di bambini di età inferiore ai 13 anni senza il consenso dei genitori, senza fornire informazioni adeguate ai propri utenti in modo conciso, trasparente e facilmente comprensibile e ha elaborato dati di categorie particolari senza un’adeguata base giuridica.
PRIVACY BROWSER – Due organizzazioni che si occupano della privacy degli utenti hanno rilasciato un nuovo browser Web incentrato sulla privacy, chiamato “Mullvad Browser”, che può essere scaricato gratuitamente e funziona su Windows, MacOS e Linux. Il browser Mullvad si occupa di fornire più alternative di privacy per raggiungere quante più persone possibile e rendere la vita più difficile a coloro che raccolgono dati sugli utenti. Il browser è stato sviluppato per ridurre al minimo il tracciamento dei dati, facendo apparire tutti gli utenti come uno solo. Quindi, più persone lo utilizzano, maggiore è la protezione degli utenti. Il sistema ha l’obiettivo di fornire alle persone più opzioni di privacy per la navigazione quotidiana e sfidare l’attuale modello di business di sfruttamento dei dati comportamentali delle persone.
ALTRE NEWS DAL MONDO
USA – Il 30 marzo 2023 il Center for Artificial Intelligence and Digital Policy (“CAIDP”) americano ha presentato un reclamo alla Federal Trade Commission (“FTC”) sollecitando un’indagine su ChatGPT. In particolare, il reclamo afferma che ChatGPT è parziale, ingannevole e rappresenta un rischio per la privacy e la sicurezza pubblica, notando che, tra le altre cose, i suoi risultati non possono essere provati o replicati e che non è stata effettuata alcuna valutazione indipendente prima della sua diffusione. Inoltre, la denuncia ricorda che la FTC ha dichiarato che l’uso dell’IA dovrebbe essere trasparente, spiegabile, equo ed empiricamente valido, promuovendo al contempo la responsabilità, e sostiene che il prodotto di OpenAI, GPT4, non soddisfa nessuno di questi requisiti.
USA (PENNSYLVANIA) – Il House Bill 708, recante norme sulla protezione dei dati personali dei consumatori e sugli obblighi dei Titolari e Responsabili del trattamento dei dati personali dei consumatori, è stato presentato alla Camera dei rappresentanti della Pennsylvania, e successivamente deferita, nella stessa data, al Comitato per il commercio. In particolare, il disegno di legge si applicherebbe alle persone che conducono affari in Pennsylvania o producono beni, prodotti o servizi che vengono venduti o offerti in vendita ai residenti della Pennsylvania.
SVIZZERA – Dopo il Garante italiano – con il quale ha dichiarato di essere in contatto – anche l’Incaricato federale della protezione dei dati e dell’informazione (IFPDT) si è recentemente pronunciato in relazione all’utilizzo di app supportate dalla tecnologia dell’Intelligenza Artificiale (e in particolare ChatGPT). Pur riconoscendo le innegabili opportunità di tali strumenti, l’Incaricato ha tuttavia sottolineato i rischi che potrebbero derivare tanto per la vita privata quanto per l’informazione, e dunque l’autodeterminazione, dei suoi utenti. È pertanto necessario garantire a tutti gli utenti una chiara e precisa informazione su tutti gli aspetti rilevanti del trattamento, rimanendo comunque consigliabile che lo stesso utente operi una verifica delle finalità del trattamento prima di inserire informazioni personali su tali app.
ARABIA SAUDITA – Sono state pubblicate in Gazzetta Ufficiale le modifiche alla Legge sulla protezione dei dati personali (“PDPL”), attuate con Regio Decreto M/19 del 17 settembre 2021. Secondo il preambolo della PDPL, gli enti avranno un periodo di transizione di un anno da tale data per adeguare le loro operazioni. La PDPL ora consente il trasferimento o la divulgazione di dati personali al di fuori dell’Arabia Saudita, ma solo per il raggiungimento di determinate finalità e a condizione che siano soddisfatte alcune condizioni previste dall’articolo 29: (i) il trasferimento o la divulgazione non pregiudica la sicurezza nazionale o gli interessi vitali dell’Arabia Saudita; (ii) il paese in cui i dati personali sono trasferiti protegge i dati personali almeno allo stesso livello dell’Arabia Saudita, secondo i risultati di una valutazione condotta dall’autorità competente in materia in coordinamento con gli interessati; (iii) il trasferimento o la divulgazione siano limitati alla quantità minima di dati personali richiesta.
GIAPPONE – La Commissione europea ha annunciato, il 4 aprile 2023, che l’Unione europea e il Giappone hanno completato con successo il primo riesame dell’accordo di adeguatezza reciproca Giappone-UE. In particolare, la Commissione ha sottolineato che il riesame ha dimostrato che la convergenza tra il quadro di protezione dei dati dell’Unione e del Giappone si è ulteriormente perfezionato negli ultimi anni, e che l’accordo sull’adeguatezza reciproca funziona bene, consentendo ai dati di circolare con fiducia e apportando vantaggi significativi ai cittadini e imprese.
GERMANIA – La Conferenza tedesca sulla protezione dei dati (“DSK”) ha pubblicato, il 27 marzo 2023, il suo parere sull’uso dei dati sanitari in relazione allo spazio europeo dei dati sanitari. In particolare, la DSK ha affermato che esso non dovrebbe pregiudicare la protezione dei dati prevista dal GDPR, e la Commissione europea ha presentato una proposta di regolamento del Parlamento europeo e del Consiglio sullo spazio europeo dei dati sanitari, che contiene norme sull’uso primario e secondario a livello europeo di dati sanitari elettronici, per poter accedere alle informazioni provenienti dai sistemi di altri Stati membri quando prestano assistenza sanitaria.
ARGENTINA – Lo scorso 5 aprile l’Autorità garante per la protezione dei dati personali ha argentina ha pubblicato la relazione sulla gestione relativa al 2022, nella quale è stato incluso il nuovo disegno di legge in materia di protezione dei dati personali.
Immagine di copertina di Shubham Dhage grazie a Unsplash.