News #14/2023: SPID (forse) è salvo, ma cosa ne sarà dello sviluppo del digitale in Italia, tra OpenAI e Meta vs. SIAE?

LE PRINCIPALI NEWS DELLA SETTIMANA

  • il Governo pare aver stanziato una somma utile a mantenere attivo e funzionante #SPID, strumento pionere dell’identità digitale in Europa;
  • AGCM pubblica gli impegni di Google in materia di #portabilità dei dati personali, generati dall’impulso di una startup italiana;
  • Meta è nei guai in Italia, con AGCM che vigila sull’affare SIAE, mentre TikTok riceve una sanzione monstre in UK
  • fare il Whistleblower non ti esime, secondo la Cassazione, dalla responsabilità per aver contribuito al reato.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Georg Philip Krog pubblica con frequenza spunti, schemi e mappe di notevole interesse relativamente alle tematiche digitali e privacy.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • So Happy It Hurts – Bryan Adams (2022).
Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

CONTRIBUTO AI GESTORI SPID – E’ stato presentato da parte del Governo un emendamento al “Decreto Pnrr” – in esame alla Commissione Bilancio del Senato – che sembra offrire un sostegno una tantum per garantire continuità alla fornitura del servizio di identità digitale nazionale, sostenendo con 40 milioni i costi a carico dei provider per l’adeguamento delle infrastrutture tecnologiche. L’intenzione del Governo, peraltro già ampiamente nota, è quella di unificare Spid e Cie all’interno di un’unica applicazione, il cui nome dovrebbe essere Idn (“Identità digitale nazionale”), in linea con il progetto elaborato dalla Commissione europea che, nel 2024, mira a rendere operativo un sistema comune europeo di identità elettronica tramite una app unica, prendendo come modello di riferimento quanto fatto in tema di Green Pass. In quella applicazione, immaginata come un wallet per smartphone, saranno disponibili dati personali, tessera sanitarie e tutti i documenti che potranno “viaggiare” in maniera interoperabile in tutta la zona europea.

AGCM – L’Autorità Garante della Concorrenza e del Mercato (‘AGCM’) ha pubblicato, in data 21 marzo 2023, gli impegni scritti assunti da Alphabet Inc., Google LLC, Google Ireland Limited e Google Italy Srl, e il relativo parere, a seguito dell’avvio di un’istruttoria, a luglio 2022, per presunto abuso di posizione dominante nella #portabilità dei dati. In particolare, l’AGCM ha ritenuto che gli impegni presentati non appaiano manifestamente infondati e, pertanto, li ha pubblicati sul proprio sito internet per l’osservazione dei terzi interessati. Tuttavia, l’Autorità ha anche precisato di riservarsi ogni ulteriore valutazione circa l’idoneità degli impegni assunti a rimuovere le restrizioni alla concorrenza, anche alla luce delle osservazioni che potrebbe ricevere da parte di terzi.

SMART WORKING – Numerosi lavoratori godono, dalla fine dell’emergenza Covid, di una maggiore flessibilità sul lavoro, considerando la tecnologia come un fattore di flessibilità, che consente di lavorare da qualsiasi luogo. La flessibilità dell’orario o della sede di lavoro è sempre più considerato un requisito fondamentale, e addirittura la flessibilità viene considerata come la priorità assoluta nel momento in cui ci si trovasse nella condizione di voler cercare una nuova occupazione. Sono i principali dati che riguardano l’Italia che emergono dal report “Future of Work Life”, realizzato dalla Ericsson Consumer & IndustryLab per fare luce su come i dipendenti e i datori di lavoro stiano affrontando l’attuale situazione e per far emergere le loro opinioni sul futuro del lavoro dopo l’impatto di pandemia, digitalizzazione e flessibilità del mercato. La ricerca è stata condotta in 30 mercati a livello globale, tra cui l’Italia, attraverso 38mila sondaggi online tra i dipendenti, 3.600 tra i decision maker e 11 interviste approfondite con i decision maker in settori selezionati in tre mercati: Cina, Spagna e Stati Uniti.

META VS ANTITRUST (a causa di SIAE) –  L’Antitrust ha avviato un’istruttoria nei confronti di Meta Platform, Meta Platforms Ireland, Meta Platforms Technologies UK Limited e Facebook Italy per accertare un presunto abuso di dipendenza economica nella negoziazione con #SIAE della stipula della licenza d’uso, sulle proprie piattaforme, dei diritti musicali. Secondo l’Autorità, la società di Mark Zuckerberg potrebbe aver indebitamente interrotto le trattative per la stipula della licenza d’uso, sulle proprie piattaforme, dei diritti musicali abusando della dipendenza economica di SIAE, così eliminando i contenuti musicali tutelati dalle proprie piattaforme social, senza fornire alla società le informazioni necessarie per svolgere le negoziazioni nel pieno rispetto del principio di trasparenza ed equità. L’Antitrust indaga sull’ipotesi che Meta potrebbe avere abusato dello squilibrio contrattuale, chiedendo a SIAE di accettare un’offerta economica inadeguata, senza però fornire le opportune informazioni per valutarne l’effettiva congruità.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

ISPEZIONI GIURIDICO CONTABILI – I negozi giuridici predisposti da alcuni professionisti giuridico-contabili sono finiti nel mirino della Guardia di finanza negli accertamenti ispettivi pianificati per il 2023. La bassa propensione della categoria a compiere le comunicazioni antiriciclaggio, unitamente a un aumento di atti opachi connessi agli eventi straordinari del PNRR e della “bonus economy”, hanno attivato un allarme. Sulla base di questi presupposti, la Guardia di finanza per il 2023 stabilisce un’adeguata presenza ispettiva, da svolgere sui professionisti giuridico-contabili. In particolare, la Guardia di finanza ha ritenuto di calibrare il numero delle ispezioni in modo uniforme su tutti i vari professionisti obbligati alle comunicazioni antiriciclaggio: avvocati, commercialisti, notai, contabili ed esperti giuridico-contabili. Stando all’ordine del Comando generale delle Fiamme gialle, le ispezioni sono necessarie alla luce del ruolo che i professionisti assumono nella gestione contabile e nel perfezionamento di negozi giuridici di varia natura, che impattano sulle dinamiche di movimentazione della ricchezza e sugli assetti proprietari del tessuto economico, come ad esempio, la costituzione o la modificazione di veicoli societari o la compravendita di asset patrimoniali.

RESPONSABILITÀ WHISTLEBLOWER – Con sentenza n. 9148 dello scorso 31 marzo (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Sezione Lavoro della Corte di Cassazione si è pronunciata in materia di responsabilità del whistleblower. Chiamati a decidere su un ricorso presentato da un’infermiera – la quale aveva denunciato il comportamento di alcuni colleghi e che, solo per tale ragione, chiedeva di essere esonerata dalla responsabilità derivante dai suoi propri illeciti –  gli Ermellini hanno specificato che la normativa in materia di whistleblowing, se da un lato certamente protegge il segnalante dalle ritorsioni che potrebbero derivargli in conseguenza della denuncia, dall’altro “non istituisce una esimente per gli autonomi illeciti che egli, da solo o in concorso con altri responsabili, abbia commesso, potendosi al più valutare il ravvedimento operoso o la collaborazione al fine di consentire gli opportuni accertamenti nel contesto dell’apprezzamento, sotto il profilo soggettivo, della proporzionalità della sanzione da irrogarsi nei confronti del medesimo”

MESSA ALLA PROVA – Lo scorso 6 aprile sono state depositate le motivazioni della sentenza n.14840 (scaricabile gratuitamente per gli iscritti all’Associazione Aodv231), con la quale le Sezioni Unite della Corte di Cassazione si sono pronunciate in materia di inapplicabilità dell’istituto della messa alla prova, ex art.168-bis c.p., a favore degli enti. Secondo l’interpretazione degli Ermellini, infatti, “le norme relative alla messa alla prova non contengono alcun riferimenti agli enti quali possibili soggetti destinatari di esse e neppure le norme del D. Lgs. 231 del 2001(…). Gli artt. 34 e 35 del D. Lgs. 231 del 2001, infatti, nel dettare le disposizioni generali sul procedimento di accertamento e di applicazione delle sanzioni amministrative dipendenti da reato (…) contengono un richiamo esclusivamente alle disposizioni del codice di procedura penale e alle disposizioni processuali relativa all’imputato, in quanto compatibili”. Concludono le secondo le Sezioni Unite con la seguente considerazione: “se, dunque, la responsabilità amministrativa da reato riguardante gli enti rientra in un genus diverso da quello penale (tertium genus) e la messa alla prova deve ricondursi a un “trattamento sanzionatorio penale (…), deve ritenersi che l’istituto della messa alla prova non può essere applicato agli enti, a ciò ostando, innanzitutto, il principio di riserva di legge, di cui all’art. 25, secondo comma, della Costituzione”.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

LINEE GUIDA DATA BREACH – Il Comitato europeo per la protezione dei dati personali (EDPB) ha pubblicato lo scorso 4 aprile la versione 2.0 delle sue Linee guida sulla notifica di violazione di dati personali (Linee guida 9/22). In particolare, le Linee guida – che costituiscono un aggiornamento di quelle rilasciate dal Working Party 29 ai sensi del GDPR, poi approvate dall’EDPB nella sua primissima riunione plenaria – si concentrano sui requisiti di notifica di violazioni di dati personali relative a titolari del trattamento stabiliti al di fuori dell’UE.

GARANTE E OPENAI – In seguito al blocco imposto a ChatGPT alla fine di marzo, lo scorso 5 aprile si è tenuto l’incontro tra l’Autorità garante per la protezione dei dati personali e OpenAI, seguito da un comunicato stampa dell’8 aprile in cui il Garante ha confermato l’inizio dell’esame delle misure proposte da OpenAI per andare in contro alle richieste ricevute. Seppur convinta di rispettare la normativa europea in materia di privacy, la società si è mostrata disponibile a collaborare con l’Autorità al fine di trovare una soluzione positiva alle criticità sollevate in merito al software ChatGPT. Dal canto suo, il Garante ha specificato che la propria posizione non va letta in termini di “chiusura” verso l’innovazione tecnologica – e in particolare verso l’intelligenza artificiale – ma, più semplicemente, come un atteggiamento premuroso nei confronti delle disposizioni dettate dalla normativa europea e italiana in materia.

NUOVO RANSOMWARE CONTRO GRANDI AZIENDE  – Il nuovo gruppo ransomware Money Message è apparso nella scena cyber con un blog nel quale pubblica le vittime rivendicate negli attacchi ed emette richieste di riscatto da milioni di dollari, prendendo di mira grandi aziende. Gli attori della minaccia chiedono riscatti di milioni di dollari per non divulgare i dati interni rubati durante l’attacco e rilasciare un decryptor per ripristinare i sistemi danneggiati. Tra le vittime già colpite c’è una compagnia aerea asiatica con un reddito annuo di 1 miliardo di dollari. Gli attori della minaccia hanno annunciato di aver esfiltrato informazioni da questa azienda, pubblicando uno screenshot dei file come prova di attacco avvenuto con successo.

ICO vs TIK TOK  – L’Information Commissioner’s Office (“ICO”) ha annunciato, il 4 aprile 2023, di aver inflitto una multa di 12,7 milioni di sterline a TikTok Information Technologies UK Limited e TikTok Inc. (collettivamente, “TikTok”), per violazioni del UK GDPR, anche in relazione all’utilizzo dei dati personali dei bambini, a seguito dell’emissione di un avviso di intenti nel settembre 2023. In particolare, TikTok ha trattato i dati di bambini di età inferiore ai 13 anni senza il consenso dei genitori, senza fornire informazioni adeguate ai propri utenti in modo conciso, trasparente e facilmente comprensibile e ha elaborato dati di categorie particolari senza un’adeguata base giuridica.

PRIVACY BROWSER – Due organizzazioni che si occupano della privacy degli utenti hanno rilasciato un nuovo browser Web incentrato sulla privacy, chiamato “Mullvad Browser”, che può essere scaricato gratuitamente e funziona su Windows, MacOS e Linux. Il browser Mullvad si occupa di fornire più alternative di privacy per raggiungere quante più persone possibile e rendere la vita più difficile a coloro che raccolgono dati sugli utenti. Il browser è stato sviluppato per ridurre al minimo il tracciamento dei dati, facendo apparire tutti gli utenti come uno solo. Quindi, più persone lo utilizzano, maggiore è la protezione degli utenti. Il sistema ha l’obiettivo di fornire alle persone più opzioni di privacy per la navigazione quotidiana e sfidare l’attuale modello di business di sfruttamento dei dati comportamentali delle persone. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA – Il 30 marzo 2023 il Center for Artificial Intelligence and Digital Policy (“CAIDP”) americano ha presentato un reclamo alla Federal Trade Commission (“FTC”) sollecitando un’indagine su ChatGPT. In particolare, il reclamo afferma che ChatGPT è parziale, ingannevole e rappresenta un rischio per la privacy e la sicurezza pubblica, notando che, tra le altre cose, i suoi risultati non possono essere provati o replicati e che non è stata effettuata alcuna valutazione indipendente prima della sua diffusione. Inoltre, la denuncia ricorda che la FTC ha dichiarato che l’uso dell’IA dovrebbe essere trasparente, spiegabile, equo ed empiricamente valido, promuovendo al contempo la responsabilità, e sostiene che il prodotto di OpenAI, GPT4, non soddisfa nessuno di questi requisiti. 

USA (PENNSYLVANIA)  Il House Bill 708, recante norme sulla protezione dei dati personali dei consumatori e sugli obblighi dei Titolari e Responsabili del trattamento dei dati personali dei consumatori, è stato presentato alla Camera dei rappresentanti della Pennsylvania, e successivamente deferita, nella stessa data, al Comitato per il commercio. In particolare, il disegno di legge si applicherebbe alle persone che conducono affari in Pennsylvania o producono beni, prodotti o servizi che vengono venduti o offerti in vendita ai residenti della Pennsylvania.

SVIZZERA – Dopo il Garante italiano – con il quale ha dichiarato di essere in contatto – anche l’Incaricato federale della protezione dei dati e dell’informazione (IFPDT) si è recentemente pronunciato in relazione all’utilizzo di app supportate dalla tecnologia dell’Intelligenza Artificiale (e in particolare ChatGPT). Pur riconoscendo le innegabili opportunità di tali strumenti, l’Incaricato ha tuttavia sottolineato i rischi che potrebbero derivare tanto per la vita privata quanto per l’informazione, e dunque l’autodeterminazione, dei suoi utenti. È pertanto necessario garantire a tutti gli utenti una chiara e precisa informazione su tutti gli aspetti rilevanti del trattamento, rimanendo comunque consigliabile che lo stesso utente operi una verifica delle finalità del trattamento prima di inserire informazioni personali su tali app.

ARABIA SAUDITA – Sono state pubblicate in Gazzetta Ufficiale le modifiche alla Legge sulla protezione dei dati personali (“PDPL”), attuate con Regio Decreto M/19 del 17 settembre 2021. Secondo il preambolo della PDPL, gli enti avranno un periodo di transizione di un anno da tale data per adeguare le loro operazioni. La PDPL ora consente il trasferimento o la divulgazione di dati personali al di fuori dell’Arabia Saudita, ma solo per il raggiungimento di determinate finalità e a condizione che siano soddisfatte alcune condizioni previste dall’articolo 29: (i) il trasferimento o la divulgazione non pregiudica la sicurezza nazionale o gli interessi vitali dell’Arabia Saudita; (ii) il paese in cui i dati personali sono trasferiti protegge i dati personali almeno allo stesso livello dell’Arabia Saudita, secondo i risultati di una valutazione condotta dall’autorità competente in materia in coordinamento con gli interessati; (iii) il trasferimento o la divulgazione siano limitati alla quantità minima di dati personali richiesta.

GIAPPONE – La Commissione europea ha annunciato, il 4 aprile 2023, che l’Unione europea e il Giappone hanno completato con successo il primo riesame dell’accordo di adeguatezza reciproca Giappone-UE. In particolare, la Commissione ha sottolineato che il riesame ha dimostrato che la convergenza tra il quadro di protezione dei dati dell’Unione e del Giappone si è ulteriormente perfezionato negli ultimi anni, e che l’accordo sull’adeguatezza reciproca funziona bene, consentendo ai dati di circolare con fiducia e apportando vantaggi significativi ai cittadini e imprese.

GERMANIA – La Conferenza tedesca sulla protezione dei dati (“DSK”) ha pubblicato, il 27 marzo 2023, il suo parere sull’uso dei dati sanitari in relazione allo spazio europeo dei dati sanitari. In particolare, la DSK ha affermato che esso non dovrebbe pregiudicare la protezione dei dati prevista dal GDPR, e la Commissione europea ha presentato una proposta di regolamento del Parlamento europeo e del Consiglio sullo spazio europeo dei dati sanitari, che contiene norme sull’uso primario e secondario a livello europeo di dati sanitari elettronici, per poter accedere alle informazioni provenienti dai sistemi di altri Stati membri quando prestano assistenza sanitaria. 

ARGENTINA – Lo scorso 5 aprile l’Autorità garante per la protezione dei dati personali ha argentina ha pubblicato la relazione sulla gestione relativa al 2022, nella quale è stato incluso il nuovo disegno di legge in materia di protezione dei dati personali.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Shubham Dhage grazie a Unsplash.

News #10/2023: l’anno peggiore di sempre per la cybersecurity, mentre arriva l’AI per tutti


LE PRINCIPALI NEWS DELLA SETTIMANA

  • il Consiglio d’Europa approva le “sue” Clausole Contrattuali Tipo, collegate alla #Convenzione 108+
  • il Parlamento UE si muove sulla #Identità #Digitale del futuro
  • Novità in materia di AI e “AI Act” a livello europeo: scelta la #definizione
  • approvato (finalmente) dal CdM il Decreto #Whistleblowing
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • non solo esperto privacy, non solo iper-certificato IAPP, Jamal Ahmed opera soprattutto come mentore di professionisti nel settore della data protection, oltre a essere host di un podcast di grande successo, offrendo quotidianamente indicazioni su novità e sfide da affrontare nel lavoro.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Rosanna – Toto (1982)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

CLAUSOLE CONTRATTUALI TIPO E CONVENZIONE 108+ – Il Consiglio d’Europa ha pubblicato una versione rivista di Clausole contrattuali tipo (“SCC”) per il trasferimento di dati personali da Titolare a Titolare, ai sensi del Protocollo di modifica della Convenzione per la protezione delle persone fisiche con riguardo al trattamento dei dati personali (“Convenzione 108+”). In particolare, la bozza riveduta di SCC include nuove definizioni, anche per i termini “violazione dei dati”, “esportatore di dati” e “importatore di dati”, e modifica alcune clausole esistenti relative a (i) due diligence e cooperazione tra l’importatore e l’esportatore di dati, (ii) sicurezza dei dati, (iii) trasferimenti successivi e (iv) ricorsi per gli interessati.

RAPPORTO CLUSIT – Il 2022 è stato l’anno peggiore da sempre per la cybersecurity, stando ai dati che emergono dal Rapporto Clusit 2023 illustrato in anteprima da Clusit – Associazione italiana per la sicurezza informatica –  in vista della presentazione ufficiale in programma all’apertura di Security Summit, a Milano dal 14 al 16 marzo. Secondo i ricercatori di Clusit, il processo di rapida adozione e messa in campo di strumenti cyber-offensivi sofisticati sarà difficilmente reversibile, e in prospettiva potrebbe causare gravi conseguenze in un mondo già fortemente digitalizzato ma sostanzialmente impreparato ad affrontare minacce di questa natura. Dal rapporto emerge la necessità di una ulteriore evoluzione nell’approccio alla cybersecurity: occorre un aggiornamento normativo, e che si mettano in atto a tutti i livelli i processi di valutazione e gestione del rischio per il business, atti a calibrare adeguatamente gli investimenti sulla base delle reali necessità.

AI – Un gruppo di rappresentanti europei del settore industriale ha rilasciato una dichiarazione congiunta sulla proposta di Regolamento sull’intelligenza artificiale. La dichiarazione esorta il Parlamento europeo a garantire che eventuali nuovi requisiti e modifiche alla legge sull’IA siano introdotti tenendo conto della loro fattibilità tecnica, dell’impatto sulla certezza del diritto e della capacità degli sviluppatori di intelligenza artificiale, degli utilizzatori e gli utenti a conformarsi allo stesso: tutto questo mentre impazza la “corsa all’AI” da parte delle Big Tech di matrice USA, e si discute persino di quale esatta definizione attribuire all’Intelligenza Artificiale (soluzione breve: quella dell’OECD).

IDENTITÀ DIGITALE – Il 9 marzo 2023 il Parlamento europeo ha emesso un comunicato stampa in cui conferma che adotterà una posizione favorevole sulla proposta di regolamento per quanto riguarda l’istituzione di un quadro per un’identità digitale europea durante la sessione plenaria prevista di marzo, a seguito dell’adozione dell’orientamento generale da parte del Consiglio dell’Unione europea nel dicembre 2022. In particolare , il Parlamento ha osservato che la posizione adottata dalla Commissione per l’industria, la ricerca e l’energia ha evidenziato l’importanza di garantire che i sistemi nazionali funzionino tra loro, siano semplici da usare e che le persone abbiano il controllo sui propri dati personali.

ISO 27001 – Lo scorso 6 marzo Accredia ha rilasciato (come segnala Cesare Gallotti in un suo post) le regole di transizione delle certificazioni ISO/IEC 27001:2013 alla versione aggiornata dell’ottobre 2022. Interessante sottolineare che il periodo di transizione, della durata di tre anni, farà si che ogni soggetto certificato debba trasferire il proprio certificato entro il 25 novembre 2022, alternativamente durante un audit programmato o con un audit di transizione speciale.

SISTEMA DI INFORMAZIONE SCHENGEN – Il Comitato europeo per la protezione dei dati personali (“EDPB”) ha pubblicato una comunicazione per ricordare l’entrata in funzione, in data 7 marzo, del nuovo Sistema d’informazione Schengen (“SIS”). L’EDPB ha osservato che il SIS è un sistema informatico su larga scala che supporta la sicurezza interna e lo scambio di informazioni su persone e oggetti tra polizia nazionale, controllo delle frontiere, dogane, visti e, a questo proposito, l’EDPB ha spiegato che, al fine di affrontare meglio la lotta al terrorismo e alla migrazione irregolare, i regolamenti SIS esistenti sono stati modificati per includere, tra l’altro, un uso più ampio dei dati biometrici e la creazione di nuove categorie di segnalazioni. Il controllo e il monitoraggio del SIS sarà di competenza del Comitato di controllo coordinato (“CSC”), che riunisce le autorità nazionali europee per la protezione dei dati e il Garante europeo della protezione dei dati, per garantire il controllo coordinato di grandi sistemi IT su larga scala e di organi, uffici e agenzie dell’UE.

ADEGUATEZZA USA-UE – Come riporta Luiz Alberto Montezuma, è stato pubblicato un testo del Parlamento UE contenente le proposte di modifica dell’accordo noto come EU-US Data Protection Framework, che è in corso di valutazione per una “nuova” decisione di adeguatezza per il trasferimento di dati tra Europa e Stati Uniti: 92 emendamenti per renderlo più solido. Ora la palla passa alla Commissione UE che dovrà valutare i pareri (certo non molto positivi) proprio del Parlamento e dell’EDPB.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

APPROVATO IL DECRETO WHISLEBLOWING – Il Consiglio dei Ministri ha approvato il 9 marzo scorso il Decreto di attuazione della Direttiva 2019/1937 in materia di “whistleblowing”. Al momento è circolato un testo non ufficiale, mentre si attende la pubblicazione in Gazzetta per l’entrata in vigore. Da quanto si legge sul sito di ANAC, le disposizioni dovrebbero divenire efficaci dal 15 luglio 2023.

REATI AMBIENTALI – Con la sentenza n. 5576 dello scorso 9 febbraio – consultabile gratuitamente per gli iscritti all’Associazione Aodv231 – la Suprema Corte di Cassazione ha stabilito che è sufficiente la realizzazione di nuovi punti di immissione per fondare il rischio di aumento delle emissioni prodotte dall’azienda e, di conseguenza, il relativo danno e/o pericolo ambientale.

NUOVO REATO PRESUPPOSTO – Con il D. Lgs. n.19 dello scorso 3 marzo 2023 – pubblicato in Gazzetta Ufficiale il 7 marzo e recante disposizioni in materia di attuazione della Direttiva UE 2019/2121 in materia di trasformazioni, fusioni e scissioni transfrontaliere – è stato aggiunto un nuovo #reatopresupposto nel catalogo dei reati previsto dal D. Lgs. 231/2001. L’art. 55 del nuovo Decreto, infatti, interviene sull’art.25-ter in materia di #reatisocietari estendendo la punibilità dell’ente non solo in relazione agli illeciti previsti dal codice civile, ma anche a quelli previsti da “altre leggi speciali”. Con la novella è stata inoltre aggiunta una nuova lettera “s-ter” che prevede l’applicazione di sanzioni pecuniarie – da 150 a 300 quote – per il delitto di false o omesse dichiarazioni per il rilascio del certificato preliminare previsto dalla normativa attuativa della Direttiva UE 2019/2021, e cioè del documento accompagnatorio di operazioni straordinarie transfrontaliere.

QUADERNI ANTIRICICLAGGIO – È stata di recente pubblicata ad opera della Unità di Informazione Finanziaria istituita presso la Banca d’Italia la ventesima edizione dei “Quaderni dell’antiriciclaggio” dal titolo “Analisi e studi – La normativa in tema di prevenzione del riciclaggio: autorità, regole e controlli”. Il documento analizzare in maniera dettagliata le regole e le prassi operative caratterizzanti il sistema di #antiriciclaggio italiano in vista della prossima riforma della disciplina europea volta a (i) armonizzare le normative nazionali dei Paesi Membri e (ii) modificare l’apparato istituzionale europeo per la prevenzione del riciclaggio e del finanziamento al terrorismo.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TWITTER/1 – Lo scorso 6 marzo l’Autorità anticorruzione turca ha annunciato di aver multato Twitter per non aver richiesto la preventiva autorizzazione all’acquisizione da parte di Elon Musk, contravvenendo in tal modo alle regole di concorrenza locali. L’importo della sanzione è rappresentato dallo 0,1% del fatturato lordo conseguito in Turchia nell 2022. Twitter dispone ora di 60 giorni per impugnare tale decisione dinanzi al Tribunale amministrativo di Ankara.

TWITTER/2 – La bufera causata dagli ennesimi licenziamenti attuati in casa Twitter ha recentemente un danno d’immagine collaterale per il patron di Tesla, Elon Musk. Haraldur “Halli” Thorleiffson ha infatti reso pubblico sui social che, all’indomani della notizia dei licenziamenti, per ben 9 giorni non è stato in grado di comprendere se fosse ancora o meno un dipendente del social. Attraverso il suo account Halli, seguito da oltre 130mila persone, ha allora chiesto spiegazioni direttamente a Musk. La risposta e il successivo thread, naturalmente a colpi di tweet, si sono rivelati a dir poco agghiaccianti: Musk ha deriso infatti il suo ex dipendente affermando di non avere particolare rispetto per lui, e che lo stesso “non lavorava davvero”, a detta di Musk, a causa di una finta disabilità. Di fronte ad una tale insensibilità, Thorleiffson ha pertanto deciso di sbugiardare pubblicamente il suo ex capo, rendendo pubblica la propria condizione di salute, caratterizzata da oltre venti anni da distrofia muscolare – malattia degenerativa che lo ha costretto alla sedia a rotelle e che certamente gli impone alcune pause – ma che non gli impedisce in ogni caso di adempiere alle proprie prestazioni.

8 MARZO DIGITALE – In occasione della giornata internazionale per i diritti delle donne, vengono richiamate dalla Commissione le decisioni che l’Unione europea ha preso per garantire alle donne le stesse opportunità degli uomini, tra le quali, ad esempio, le nuove norme Unione europea sull’equilibrio di genere nei consigli di amministrazione delle società o sulla trasparenza delle retribuzioni, si evidenzia la Commissione europea. Attraverso la Strategia digitale e Crescita sostenibile, l’Unione europea punta a garantire alle donne un accesso paritario al potenziale non sfruttato delle tecnologie digitali. La Presidente della Commissione europea ha dichiarato che nel 2023 gli investimenti nell’istruzione e nella formazione delle donne e delle ragazze dovranno avere un ruolo fondamentale per migliorare la posizione delle donne in tutti i campi e per colmare il divario retributivo di genere. 

TELEMEDICINA – È stato firmato, alla presenza del ministro della Salute, il contratto per implementare una Piattaforma nazionale di telemedicina, avente ad oggetto l’affidamento in concessione della progettazione, realizzazione e gestione dei Servizi abilitanti della Piattaforma, in linea con gli obiettivi strategici del PNRR. Grazie al progetto, i professionisti sanitari potranno disporre di nuovi strumenti per operare efficacemente in ogni situazione individuale e multi-disciplinare, migliorando l’accessibilità dei pazienti alle cure e alle prestazioni sanitarie. La Piattaforma Nazionale di Telemedicina punta a mettere in comunicazione l’Amministrazione sanitaria centrale con le Amministrazioni locali, con l’obiettivo di abilitare la governance e il monitoraggio centralizzato dei processi di telemedicina attuati a livello regionale. La linea guida di fondo è che il valore fondamentale della telemedicina risiede nella capacità di raggiungere la persona, favorendone non solo la cura ma anche il mantenimento in salute attraverso l’organizzazione di servizi inclusivi e sostenibili. In questa prospettiva, la Piattaforma avrà l’obiettivo di favorire l’implementazione omogenea dei percorsi di telemedicina su tutto il territorio nazionale, ottimizzando la deospedalizzazione e potenziando la qualità delle cure di prossimità, tendendo a colmare  il divario e le disparità territoriali in termini di offerta sanitaria e migliorando la qualità clinica e l’accessibilità ai servizi su tutto il territorio nazionale.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SVIZZERA – L’Ufficio federale di giustizia ha pubblicato delle F.A.Q. in materia di protezione dei dati che, in particolare, forniscono maggiori informazioni in merito alla nuova legge federale in materia di privacy (la riveduta LPD, o “nLPD”).

NORVEGIA – Datatilsynet, Autorità garante norvegese, ha recentemente annunciato di aver emesso una decisione preliminare in merito all’utilizzo di Google Analytics da parte di una società locale, il cui sito web rientrava tra quelli denunciati da NOYB.  All’esito dell’attività istruttoria condotta, l’Autorità ha stabilito che l’uso di GA da parte della società era contrastante con le disposizioni dettate dal GDPR in materia di trasferimenti internazionali. L’analisi, in particolare, è stata condotta con riguardo alla versione GA3, ma l’Autorità ha sottolineato che la nuova versione di tale strumento – GA4, appunto – non sempre corregge i problemi individuati col suo predecessore. Le parti interessate dispongono ora di 3 settimane per riferire le proprie osservazioni all’Autorità.

USA – E’ stata presentata al Senato degli Stati Uniti la legge sulla privacy per la difesa dei dati sulla salute e sulla posizione online (“UPHOLD”). Tale legislazione amplierebbe le protezioni per la privacy dei dati sanitari personali degli americani, impedendo alle aziende di trarre profitto dai dati sanitari di identificazione personale per scopi pubblicitari. Inoltre, l’UPHOLD Privacy Act consentirebbe ai consumatori un maggiore accesso alle informazioni sulla salute personale, limitando la capacità delle aziende di raccogliere o utilizzare informazioni sulla salute personale senza il consenso dell’utente e vietando ai broker di dati di vendere dati sulla posizione.

USA (CALIFORNIA) – Presentata il 6 marzo scorso una versione emendata del California Consumer Privacy Act che introduce maggiori tutele e diritti (per i “soli” consumatori) in ambito di dati sensibili – per il GDPR, “particolari” – come riporta DataGuidance. La modifica introduce espressamente i dati relativi alla condizione di cittadino e/o immigrato al catalogo dei dati sensibili protetti dalla normativa californiana, di cui è necessario tenere conto nella gestione dei business che hanno effetto in quello Stato americano.

GERMANIA –  E’ stata pubblicata la decisione della Camera degli Appalti n. VK2-114/22 che ha dichiarato che una società non può essere esclusa da un’offerta di appalto a causa di possibili violazioni del GDPR, relative all’utilizzo di una filiale tedesca di una società statunitense come Responsabile del trattamento dei dati. In particolare, la Camera degli Appalti ha rilevato che il contenzioso tra i soggetti è sorto nell’ambito di una gara per la fornitura di servizi, e che l’aggiudicazione dell’offerta e i documenti contrattuali prevedevano precisi requisiti in relazione alla protezione dei dati. La Camera degli Appalti ha stabilito che l’offerta della società non poteva essere squalificata per possibili violazioni del GDPR, e ha ritenuto che avere una società madre statunitense per un Responsabile del trattamento dei dati tedesco non fosse un motivo valido per presumere trasferimenti illeciti di dati negli Stati Uniti.

REPUBBLICA CECA – L’Ufficio per la protezione dei dati personali (UOOU) ha pubblicato lo scorso 7 marzo delle F.A.Q. in materia di cookie bar e consenso. L’Autorità locale ha, più in particolare, osservato che i cookie rappresentano nella gran parte dei casi un vero e proprio trattamento di dati personali e, di conseguenza, è necessario definire con chiarezza e trasparenza quale sia il loro scopo nonché la base giuridica del relativo trattamento.

GIAPPONE – Il Ministero dell’Economia, del Commercio e dell’Industria giapponese ha pubblicato una Guida in materia di condivisione e divulgazioni delle informazioni relative ai danni causati dagli attacchi informatici. Il documento, tra le altre cose, passa in rassegna le informazioni che possono essere incluse negli annunci relativi agli attacchi e quelle che, invece, dovrebbero rimanere riservate.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina Possessed Photography grazie a Unsplash.

News #6/2023: il chatbot Replika bloccato dal Garante italiano per gravi rischi verso i minori

Settimana n. 6/2023 – dal 6 al 12 febbraio 2023 

Ecco a voi la nostra #Newsletter in edizione #2023 che raccoglie le più interessanti novità degli ultimi sette giorni in ambito Privacy, 231 e Mercati Digitali, oltre a uno sguardo sulle news dal mondo.

Grazie Not Boring Privacy!

Non è stato fornito nessun testo alternativo per questa immagine

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • il Garante italiano sospende il funzionamento di un chatbot (Replika) che aveva, tra le altre cose, assunto atteggiamenti aggressivi e pericolosi in diversi casi, mettendo a rischio i minori;
  • la Corte di Giustizia UE ha precisato ulteriormente la propria posizione in merito all’indipendenza del DPO;
  • interessanti spunti sul Modello 231 dalla GdF;
  • è iniziata la battaglia sull’Intelligenza Artificiale, tra Google e Microsoft.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana il consiglio è di seguire Odia Kagan, Chair of GDPR Compliance di Fox Rotschild LLP e grande comunicatrice con un occhio di attenzione sulla legislazione privacy di tutto il mondo, e fonte in particolare di numerosi spunti sulla situazione USA dal punto di vista interno, con importanti norme in discussione sia a livello statale che federale.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Skyfall (James Bond Theme) – Adele (2012)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

REPLIKA – Il Garante per la protezione dei dati personali ha recentemente deciso di bloccare #Replika, la chatbox in grado di creare un “amico virtuale” mediante l’uso della #intelligenzaartificiale. Alla base della decisione si trovano le concrete preoccupazioni del Garante circa i rischi che l’uso di tale strumento presenta, soprattutto per gli utenti minori d’età. Tra le criticità evidenziate, la mancata predisposizione di un meccanismo in grado di verificare l’età dell’utente e  l’assenza di qualsiasi tipo di garanzia in ordine alla protezione dei soggetti fragili – evidenziata anche in diverse recensioni degli utenti sui principali “app store” – di fronte a risposte inopportune. Alla luce di tali evidenze, i trattamenti effettuati da Replika sono risultati non conformi al GDPR, e pertanto illeciti. Alla società sviluppatrice dell’app è stato dunque imposto di #interrompere ogni trattamento relativo ai dati personali degli utenti italiani, nonché di comunicare nel termine di 20 giorni le misure intraprese per attuare le prescrizioni del Garante. Il rischio è quello di vedersi sanzionata per un massimo di 20 milioni di euro o fino al 4% del fatturato globale annuo.

SENTENZA CGUE – La Corte di giustizia dell’Unione europea ha emesso una sentenza (Caso C-453/21) relativa alla figura del #DPO, incentrata sull’articolo 38 del GDPR, nella quale ha stabilito che chi ricopre il ruolo dev’essere in grado di svolgere i propri compiti e mansioni in modo #indipendente, e non può essere incaricati di funzioni che porterebbero a determinare gli obiettivi e i metodi di trattamento dei dati personali da parte del Titolare del trattamento o di Responsabili. Non è insomma escluso che il DPO possa svolgere anche un altro ruolo, oltre a quello di supporto e verifica della #compliance aziendale, ma tale diversa attività non può in nessun caso confliggere con la prima.

PARLAMENTO EUROPEO SU DSA E DMA – Il Parlamento europeo ha accolto con favore una proposta di norme complementari alla Legge sui servizi digitali (“DSA”) e alla Legge sui mercati digitali (“DMA”) che riguarda la pubblicità politica online. Nel comunicato stampa l’istituzione sostiene che il trattamento di dati particolari per pratiche pubblicitarie come il microtargeting può danneggiare i diritti democratici degli individui. Le norme tradizionali possono essere inefficaci, poiché spesso sono difficili da applicare quando vengono applicate online, dove le nuove tecnologie e i nuovi strumenti creano opportunità per influenzare e indirizzare gli elettori. Le istituzioni mirano a raggiungere un accordo sulla proposta con i Paesi dell’Unione europea prima delle elezioni europee del 2024.

CYBER ATTACCO? – Lo scorso 5 febbraio migliaia di server in tutto il mondo sembrano essere stati interessati da un attacco #hacker di tipo #ransomware tra cui anche alcuni italiani. Secondo le informazioni attualmente in circolazione pare che l’attacco non abbia intaccato la sicurezza del nostro Paese, benché l’Agenzia per la Cybersicurezza Nazionale (ACN) lo avesse classificato ad “alto rischio”. In ogni caso il Governo, anche alla luce del vasto numero di attacchi subiti nel corso dello scorso anno, sembra stia lavorando su un Dpcm per agevolare la collaborazione tra le Regioni e l’ACN per lo sviluppo di attività di prevenzione.

GESTIONE DEL RISCHIO AI – L’International Standards Organization (“ISO”) ha pubblicato, il 6 febbraio 2023, la guida ISO/IEC 23894:2023 sulla gestione del rischio di intelligenza artificiale (“AI”). In particolare, la guida assiste gli enti che sviluppano, implementano o utilizzano sistemi di intelligenza artificiale per gestire i rischi correlati a tali sistemi. La guida, corredata anche di tre allegati, è suddivisa in tre parti: la prima che descrive i principi alla base della gestione del rischio, la seconda relativa a un quadro di gestione del rischio; e la terza, sui processi di gestione del rischio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

ESCLUSIONE DAGLI APPALTI – Lo scorso 5 gennaio è stato trasmesso al Senato dal  Consiglio dei Ministri il testo il testo dello schema di decreto legislativo di modifica del “Codice dei contratti pubblici”. Tra le novità proposte dal decreto – attualmente oggetto di analisi da parte delle commissioni parlamentari – gli articoli 95 e 98 prevedono la possibilità che un ente venga #escluso dalla partecipazione ad una gara pubblica anche in caso di mera contestazione contestazione di uno dei reati presupposto previsti dal Decreto 231 idonei a legittimarne l’esclusione, e ciò a prescindere dalla effettiva applicazione di una specifica sanzione interdittiva. Lo schema di decreto prevede, tuttavia, anche un #meccanismo per evitare l’esclusione dell’ente, e cioè l’adozione e l’attuazione di un Modello di organizzazione, gestione e controllo idoneo a prevenire la commissione di reati o illeciti. Con un documento di commento alla bozza di decreto – scaricabile gratuitamente per gli iscritti all’Associazione Aodv231 – l’Unione delle Camere Penali Italiane e la stessa Associazione Aodv231 si sono espresse in maniera critica su alcuni passaggi del testo normativo. In particolare, sottolineando la presenza di rinvii alla Riforma Cartabia (ormai superata) e alla previsione di esclusione dalla gara anche in caso di mera contestazione di un illecito amministrativo, gli autori chiedono una revisione dell’intera disciplina.

EFFICACIA MODELLO – La Guardia di finanza, nell’edizione 2023 di “Telefisco”, ha fornito utili indicazioni al fine di stabilire quali sono i criteri che, in sede di controllo, permettono di accertare la effettiva idoneità del Modello di organizzazione, gestione e controllo adottato da una società. Tra i criteri citati rilevano, in particolare, (i) una corretta regolamentazione della formazione del personale, (ii) la puntuale mappatura delle aree aziendali maggiormente esposte ai rischi di commissione dei reati 231 e (iii) la costituzione di un effettivo Organismo di Vigilanza.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

VOTO ELETTRONICO – È stata resa pubblica oggi alle ore 12 la nuova versione di Eligo, “Eligo Next”, l’innovativa piattaforma del #voto elettronico (e-voting) e online (i-voting). La nuova versione offre maggiore sicurezza e riservatezza dei dati. Eligo Next supporta infatti la crittografia end to end, e qualunque informazione che transita dai browser degli utenti è cifrata con crittografia asimmetrica, rendendo pressoché impossibile intercettare e decifrare le preferenze di voto espresse. Il sistema memorizza tutti i dati di voto e di scrutinio, applicando un ulteriore livello di sicurezza che rende i dati accessibili solo all’utente e a nessun altro. La nuova versione, Eligo Next, è stata sviluppata dopo numerose ricerche volte ad affrontare le sfide della democrazia digitale. Tra i vantaggi: (i) creare e gestire qualsiasi tipo di assemblea deliberativa ed elettiva online, in presenza o in forma ibrida, nel totale rispetto della sicurezza e legalità del voto; (ii) Incoraggiare la partecipazione e l’inclusività, grazie alla flessibilità delle modalità di voto; (iii) minimizzare l’errore umano con scrutini automatici, impedendo la possibilità di schede nulle o contestabili. (iv) attivare un’iniziativa sostenibile grazie all’azzeramento del cartaceo.

L’AI SECONDO GOOGLE… – Dopo il clamoroso successo mediatico ottenuto da #ChatGPT anche Google ha provato sviluppare la sua propria chatbot basata sull’intelligenza artificiale: #Bard. Il risultato, tuttavia, non è stato quello sperato. Durante la presentazione della “creatura”i dirigenti di Google non sono infatti riusciti a convincere gli investitori, che hanno di conseguenza bocciato il progetto, tra l’altro alla luce di alcuni disguidi – anche piuttosto divertenti – durante la presentazione. Come conseguenza del sostanziale fallimento dell’evento, Alphabet – holding del gruppo di cui Google è parte – ha perso valore a Wall Street per oltre l’8%. 

.. E l’AI SECONDO MICROSOFT – La società di Seattle ha annunciato il rilascio per la prossima settimana di una nuova versione del motore di ricerca #Bing che integra l’Intelligenza Artificiale di OpenAI; anche una versione “speciale” di Teams, che include una IA a supporto delle call per appunti e memo, è in corso di testing. Il CEO Satya Nadella ha affermato, in proposito, di voler “sfidare” proprio Google su questo terreno, in cui Microsoft ha investito moltissimo di recente, unendosi in “matrimonio digitale” con OpenAI.

DICHIARAZIONE EUROPEA SUI DIRITTI E PRINCIPI DIGITALI – Il 15 dicembre 2022, il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione europea hanno adottato la Dichiarazione europea sui diritti e i principi digitali, la cui bozza è stata presentata dalla Commissione europea alla fine di gennaio. La dichiarazione esprime e rappresenta l’impegno dell’Unione europea per una trasformazione digitale sicura e sostenibile, che metta al centro le persone, in linea con i valori e i diritti fondamentali dell’Unione europea. Essa promuove la solidarietà e l’inclusione, la libertà di scelta, la partecipazione allo spazio pubblico digitale, la sicurezza, la protezione e l’empowerment digitale, nonché la sostenibilità. Il suo obiettivo è anche quello di sottolineare che i diritti e le libertà devono essere rispettati sia online che offline. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA

  • SEC – La Securities and Exchange Commission ha di recente reso noto di aver inflitto una sanzione di ben 35 milioni di dollari alla società Activision Blizzard Inc per violazione delle norme dettate dall’Exchange Act. La società, più in particolare, è stata sanzionata per non aver mantenuto adeguati controlli sulla divulgazione relativi a denunce di cattiva condotta sul posto di lavoro e per violazione della regola di protezione degli informatori.
  • MINNESOTA – E’ stato presentato un disegno di legge relativo alla privacy dei dati dei consumatori, che stabilisce obblighi per gli enti che trattano dati personali dei consumatori e impone che i dati personali relativi ai consumatori non possano essere venduti o diffusi, a meno che il consumatore non ne abbia ricevuto comunicazione espressa e gli sia stata data la possibilità di esercitare il diritto di recesso.
  • TEXAS – anche nello stato della stella solitaria è stato introdotto un atto legislativo, ancora in discussione, a protezione dei diritti dei cittadini consumatori con imposizioni similari a quelli di altri stati (tra cui: privacy notice, diritti di accesso e rettifica, conduzione di DPIA e cancellazione dei dati non più necessari).

SPAGNA – Lo scorso 8 febbraio l’AEPD, Autorità garante spagnola, ha pubblicato un post relativo alla frequenza con cui i titolari del trattamento dovrebbero aggiornare le misure di sicurezza implementate a protezione dei dati personali. Nel suo post l’Autorità ha spiegato che, tra le altre cose, ogni modifica relativa alle categorie di dati trattati, alle finalità del trattamento o all’incidenza del trattamento sui diritti e le libertà degli interessati impone una revisione delle misure di sicurezza adottate.

BELGIO – L’autorità di protezione dei dati personali del Belgio ha ordinato a un Titolare del trattamento di ottemperare a una richiesta di accesso ai dati da parte di un interessato, ai sensi dell’art. 58(2) del GDPR. L’intervento dell’autorità si è reso necessario a causa del mancato adempimento da parte del Titolare, che ha affermato di non aver ricevuto l’istanza dell’interessato a causa di problemi tecnici con la sua casella e-mail.

FINLANDIA – Una scuola dell’infanzia è stata sanzionata dall’autorità garante finlandese per violazione degli articoli 5, 12 e 13 del GDPR, dopo aver diffuso alcune istruzioni ai genitori sulle modifiche all’apprendimento e all’insegnamento in seguito alla pandemia. L’autorità garante ha rilevato che non era stato chiarito se la restituzione del modulo fosse obbligatoria, e non erano state fornite informazioni che specificassero la base giuridica per il trattamento dei dati personali. 

GERMANIA – La Corte Suprema tedesca ha confermato le decisioni dei precedenti gradi di giudizio, e ha stabilito che un medico – soggetto interessato del trattamento – non avesse il diritto di cancellazione nei confronti di un sito web di comparazione e recensione che aveva pubblicato un profilo su di lui. Il trattamento era legittimo ai sensi dell’articolo 6(1)(f) del GDPR, in quanto il diritto commerciale del Titolare del trattamento e la libertà di espressione del pubblico erano di maggiore rilevanza rispetto al diritto dell’interessato alla protezione dei dati.  

ROMANIA – L’autorità garante rumena ha multato uno studio dentistico che aveva pubblicato i dati personali di un paziente in un blog medico senza il relativo consenso. Lo studio dentistico, inoltre, non ha informato l’autorità per la protezione dei dati personali entro 72 ore dal momento in cui era stato informato della violazione dei dati, in violazione di quanto previsto dall’articolo 33 del GDPR.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di nikko grazie a Unsplash.

News #4/2023: in arrivo la norma ISO per il Privacy by Design, dovremmo forse implementarla tutti?

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • sarà pubblicato a breve da ISO uno standard in ambito “privacy by design”, che forse permetterà finalmente di definire questa “buzz word” che sentiamo ormai da anni;
  • una nuova newsletter del nostro Garante, e nuove sanzioni assortite;
  • il Data Protection Day e la Convenzione 108;
  • Confindustria prende posizione sulla norma Whistleblowing;
  • Google ha qualche problema anche con il Dipartimento di Giustizia USA.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • fonte inesauribile di approfondimenti e #contenuti in ambito informatico-giuridico, senza farsi mancare diversi spunti di sano #divertimento, il profilo del Prof. Giovanni Ziccardi è un “must” per chiunque – giovane o meno – operi nel nostro settore: c’è sempre da imparare, ogni giorno, qualcosa di nuovo!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

ISO 31700 SULLA PRIVACY BY DESIGN – E’ prevista per l’8 febbraio l’adozione da parte dell’International Organization for Standardization della nuova ISO 31700, riguardo ai requisiti e alle indicazioni su come implementare il principio della “privacy by design”. L’obiettivo della certificazione sarà quello di fornire a tutti i Titolari del trattamento le informazioni necessarie per implementare correttamente l’assetto della protezione dei dati nel processo di gestione dei dati personali all’interno di enti ed organizzazioni, sulla base dei principi del GDPR. In questo modo si consentirà ai consumatori e ai soggetti interessati di far valere in modo ancora più efficace i propri diritti, determinando come progettare i controlli sulla privacy e la gestione dei dati durante il loro ciclo di vita.

NEWSLETTER GARANTE – Pubblicata lo scorso 24 gennaio l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionate tre ASL friulane – in particolare, Azienda Universitaria “Friuli Occidentale”, “Friuli Centrale” e “Giuliano Isontina” – per aver classificato i pazienti in relazione al rischio di avere o meno complicanze in caso di Covid attraverso l’utilizzo di #algoritmi; (ii) parere favorevole del Garante in merito alla bozza di decreto legislativo di attuazione della Direttiva 2019/1937 (cd. #DirettivaWhistleblowing); (iii) disponibili le prime indicazioni del Garante al fine di conciliare le esigenze di tutela della privacy in occasione dell’applicazione del #DecretoTrasparenza; (iv) parere favorevole del Garante relativamente alle nuove disposizioni attuative per la #Cartadellacultura – ossia la carta elettronica istituita dalla legge n.15/2020 al fine di contrastare la povertà educativa e promuovere il sostegno della lettura.

DECISIONE VINCOLANTE EDPB WHATSAPP – Lo scorso 24 gennaio il Comitato europeo per la protezione dei dati (EDPB) ha annunciato di aver pubblicato la propria decisione vincolante nell’ambito della controversia promossa dalla DPC (Autorità garante irlandese) nei confronti di #WhatsApp. Come già illustrato nella nostra precedente newsletter, la decisione vincolante – sciogliendo i dubbi interpretativi della DPC – si è posta come fondamento per il provvedimento con il quale l’Autorità capofila ha potuto sanzionare la società. Nello specifico, l’EDPB ha deciso che WhatsApp si era indebitamente basata sul contratto come base giuridica per il trattamento dei dati personali e pertanto ha incaricato il Garante irlandese di completare ulteriormente il provvedimento con una violazione dell’articolo 6(1) del GDPR, nonché una violazione del principio di equità di cui all’articolo 5(1)(a) del GDPR. Inoltre, l’EDPB ha stabilito che il Garante irlandese dovrà svolgere un’indagine sulle operazioni di trattamento di WhatsApp al fine di determinare se tratta (i) categorie particolari di dati personali ai sensi dell’art. 9 del GDPR e (ii) dati personali per finalità di pubblicità comportamentale, per finalità di marketing, nonché per la fornitura di metriche a terzi e lo scambio di dati con società affiliate ai fini del miglioramento del servizio.

GARANTE PRIVACY SULLE INTERCETTAZIONI – L’Autorità Garante per la protezione dei dati ha evidenziato, durante l’audizione al Senato per l’indagine conoscitiva sulle intercettazioni, alcune criticità relative alle intercettazioni come mezzo di ricerca della prova, esprimendosi in particolare su (i) l’utilizzo di sistemi cloud per l’archiviazione delle informazioni raccolte, pericoloso sia per i diritti dei soggetti a cui i dati si riferiscono, sia per l’efficacia e la segretezza dell’azione investigativa; (ii) la particolare invasività dei software-spia che, nell’opinione del Garante, meriterebbe una riflessione da parte dell’organo legislativo in merito all’ambito di applicazione effettiva delle intercettazioni; (iii) sull’attenzione da prestare ai trojan utilizzati in ambito giudiziario.

SPESA E INVESTIMENTI PRIVACY – Il Data Privacy Benchmark report di CISCO ha analizzato gli investimenti effettuati dalle aziende nella privacy negli ultimi anni, individuando un aumento netto delle risorse stanziate per rispondere alle richieste degli utenti in tema di tecnologie e fornire ai consumatori un’effettiva tutela dei diritti. La richiesta di trasparenza da parte delle aziende è risultata essenziale per quasi la metà dei consumatori considerati dal report, e l’approccio di una società al tema della privacy ha mostrato un impatto che va ben oltre la compliance: gli investimenti in materia di privacy generano valore aziendale non solo per le vendite, ma anche per la sicurezza e la fiducia degli utenti. Investire nella privacy permette, come evidenziato dalle analisi di CISCO, di ridurre i ritardi nelle vendite, di mitigare l’impatto dovuto alle violazioni dei dati, di abilitare il processo di innovazione, di operare con maggiore efficienza, di consolidare la fiducia dei clienti e di attirarne di nuovi.

DATA PROTECTION DAY – Nel 2006, il Consiglio d’Europa ha deciso di istituire il Data Protection Day, da celebrare ogni anno in data #28gennaio, nella ricorrenza della Convenzione 108, che fu aperta alla firma nel 1981 per la protezione delle persone riguardo ai trattamenti automatizzati di dati personali. In forza di questa occasione, gli Stati firmatari si impegnarono ad adottare tutte le misure necessarie nel loro diritto interno, e ad applicare i principi stabiliti dalla stessa Convenzione per garantire il rispetto dei #diritti fondamentali delle persone in relazione al trattamento dei dati personali. La Convenzione 108 mira a creare una forte #comunità internazionale intorno alla protezione dei dati, e svolge un #ruolo fondamentale nel #diffondere il modello europeo di protezione dei dati a livello mondiale, essendo spesso utilizzata come fonte di #ispirazione dai Paesi che intendono adottare nuove normative in materia di rispetto della vita privata o #armonizzare quelle già esistenti con gli standard internazionali. In Italia, la Convenzione 108 è stata da ultimo recepita con la legge n. 60 del 22 aprile 2021 di Ratifica ed esecuzione del Protocollo di modifica alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, fatto a Strasburgo il 10 ottobre 2018. In occasione del Data Protection Day ha luogo, in modo emblematico, la premiazione dello Stefano Rodotà Award, in onore del politico e professore, primo presidente del Garante Privacy che lavorò assiduamente per la promozione dei diritti fondamentali e gettò le basi del diritto alla protezione dei dati europea.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

WHISTLEBLOWING – Confindustria ha recentemente formulato alcune considerazioni (condensate nel documento cd. Position Paper) in merito alla bozza di decreto legislativo in materia di #whistleblowing elaborato dal Governo per dare attuazione alla Direttiva UE 2019/1937. In via generale, emerge dal documento la necessità che sussista un corretto bilanciamento tra la protezione del segnalante e la tutela dell’azienda (che, da parte sua, potrebbe essere colpita da danni reputazionali, nonchè economici, da un abuso dello strumento. In quest’ottica – più in particolare – Confindustria  reputa eccessiva (i) l’estensione dello strumento della segnalazione nelle PMI e (ii) la divulgazione pubblica delle segnalazioni che – riferendosi a violazioni del Modello 231 – risultino già oggetto di segnalazione interna. Il Paper suggerisce inoltre l’inserimento di una specifica disciplina di tutela.

ANALISI ANAC – Al fine di rafforzare la collaborazione con i Responsabili per la Prevenzione della Concorrenza e per la Trasparenza (RPCT), l’Autorità Nazionale Anticorruzione (ANAC) ha recentemente compiuto – attraverso la somministrazione di un questionario – una analisi delle esperienze e delle criticità riscontrate dagli stessi RPCT. I risultati dei questionari (111 in totale, suddivisi in due gruppi, “Amministrazioni medio-grandi” e “Piccole amministrazioni”) sono stati raccolti dall’Autorità all’interno di un documento (“Analisi di esperienze e criticità rilevate dai Responsabili per la Prevenzione della Corruzione e per la Trasparenza – gennaio 2023”). In particolare, tra gli esiti dell’indagine si registrano (i) difficoltà nell’adempiere alla rotazione del personale, (ii) scarsa sensibilità nei confronti della formazione del personale e (iii) inefficienze relative all’aggiornamento dei dati sulla trasparenza.

AIUTI COVID – Con la sentenza n. 1635 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che il sequestro preventivo per indebita percezione di fondi erogati per l’emergenza da Covid-19 è infondato nel caso in cui risultino assenti (i) la condotta ingannatoria del richiedente e (ii) il pericolo di dispersione dei beni. Dichiarando inammissibile il ricorso della Procura – che aveva impugnato il provvedimento di riesame che confermava la insussistenza dei presupposti del sequestro nei confronti della rappresentante legale di una società- gli Ermellini hanno specificato non solo che le condotte poste concretamente in essere dall’indagata erano del tutto lecite ma che, soprattutto, “requisito del provvedimento di sequestro preventivo (…) sia la concisa motivazione anche del ‘periculum in mora’, da rapportare (…) alle ragioni che rendono necessaria l’anticipazione dell’effetto ablativo rispetto alla definizione del giudizio con sentenza”. In altre parole, il Supremo giudice di legittimità esclude categoricamente ogni automatismo decisorio in grado di collegare la pericolosità alla mera natura obbligatoria della confisca.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

GOOGLE – Secondo quanto riportano autorevoli fonti di stampa, pare che il Dipartimento di Giustizia si stia preparando a far causa a Google per la sua #posizionedominante sul mercato della pubblicità digitale. Il colosso di Mountain View è infatti il re indiscusso del settore degli annunci digitali (negli U.S.A. e non solo), detenendo per altro la maggior parte della tecnologia utilizzata per l’acquisto, la vendita e il servizio di pubblicità online ( configurandosi, dunque, come un vero e proprio monopolista). Google – che ha già nel suo cv tre procedimenti legali intentati da altrettanti procuratori generali – viene ora citata in giudizio a livello federale. L’inizio del processo si prevede verso settembre. La denuncia, in particolare, mira a far chiarezza sulla gestione della pubblicità, che farebbe ricavare a google dalle inserzioni l’80% dei suoi ricavi. 

GOOGLE/2 –  Google ha raggiunto un’intesa con l’Unione europa e è impegnato a limitare la propria capacità di apportare modifiche unilaterali agli ordini rispetto a prezzi o cancellazioni, e a creare un indirizzo di posta elettronica riservato alle autorità per la tutela dei consumatori, in modo che quest’ultime possano segnalare e richiedere la rapida rimozione di contenuti illegali. Il risultato di questi adeguamenti saranno informazioni più chiare e accurate sui servizi, con l’obiettivo di allineare le pratiche della piattaforma al diritto dell’Unione europea, in particolare per quanto riguarda la mancanza di trasparenza nei confronti dei consumatori.

CHIPS ACT – La commissione Industria ed energia del Parlamento europeo ha votato favorevolmente il progetto di legge sul Chips Act e, in particolare, ha dato il via libera all’aumento degli investimenti previsti per l’attuazione della normativa. Il Parlamento europeo si è impegnato a creare una rete di centri di competenza per gestire la necessaria formazione di lavoratori specializzati nel settore dei semiconduttori di prossima generazione e sui chip quantistici, con lo scopo di attrarre nuove risorse nella ricerca, nella progettazione e nella produzione. Il progetto permetterà di garantire che l’Unione europea sia all’avanguardia nella ricerca e nell’innovazione, che abbia un ambiente favorevole alle imprese, un processo di autorizzazione rapido e che investa in una forza lavoro qualificata per il settore dei semiconduttori.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO 

RUSSIA – Il Ministero dello sviluppo digitale, delle telecomunicazioni e dei mass media della Federazione russa ha annunciato di aver creato un “Centro nazionale per la crittografia digitale”. Tra i compiti del Centro – che verrà lanciato nel 2024 con l’obiettivo di diffondere l’uso di metodi di protezione crittografica – (i) lo sviluppo di produttori nazionali di strumenti di protezione crittografica, (ii) la formazione pratica per specialisti della sicurezza delle informazioni e lo sviluppo di strumenti per la protezione dei dati personali.

USA

  • NEW YORK

E’ stato presentato all’Assemblea dello Stato di New York il disegno di legge sulla protezione della privacy online dei dipendenti e degli studenti, che, a tutela di queste categorie di soggetti interessati, (i) limita i poteri del datore di lavoro nell’accedere a dati personali riguardo ai propri dipendenti e (ii) garantisce il rispetto delle tutele sui dati personali degli studenti da minacce alla sicurezza dei sistemi delle istituzioni educative.

  • HAWAII

E’ stato proposto al Senato delle Hawaii e approvato in prima lettura il 23 gennaio 2023 il disegno di legge sulla protezione dei dati personali, che mira a stabilire un quadro per regolamentare l’accesso dei titolari e dei responsabili del trattamento ai dati personali dei consumatori e introduce sanzioni e un nuovo fondo speciale per la privacy dei consumatori.

SANZIONI:

  • SPAGNA – L’autorità garante spagnola (“AEPD”) ha sanzionato il Dipartimento dell’Istruzione, della Cultura e dello Sport che, in qualità di Titolare del trattamento, ha condiviso via email con i vari dipartimenti un foglio Excel, contenente nome, cognome, carta d’identità e posizione lavorativa di oltre 200 dipendenti pubblici. 
  • GERMANIA – Il Tribunale regionale di Amburgo ha ritenuto illegittimo il trattamento di dati sanitari conservati in un registro dei tumori. Nonostante la natura del trattamento soddisfasse i caratteri previsti dall’art. 9(2) del GDPR, sarebbe stato però necessario fornire maggiori garanzie di sicurezza, anche a norma delle vigenti leggi nazionali, che invece risultavano carenti.
  • NORVEGIA –  L’autorità garante norvegese (“Datatilsynet”) ha ammonito la Chiesa locale per violazione dei diritti degli interessati ai sensi del GDPR in quanto, in qualità di Titolare del trattamento, raccoglieva le informazioni sulle nuove nascite dal registro nazionale della popolazione, divulgate sulla base della legislazione nazionale, compresi i dati particolari dei neonati, e, se almeno un genitore era un membro della comunità religiosa, il Titolare iscriveva i neonati come “persone affiliate”) in un registro.
  • ROMANIA –  L’autorità rumena per la protezione dei dati ha sanzionato una società nel settore degli elettrodomestici, che, da Titolare del trattamento, inviava SMS pubblicitari al soggetto interessato anche dopo la richiesta di quest’ultimo di essere cancellato dall’elenco del Titolare, condotta effettuata in violazione del diritto all’oblio.
Non è stato fornito nessun testo alternativo per questa immagine

SEZIONE SPECIALE: NOVITA’ DAL MONDO CYBERSEC

NIS2 E SICUREZZA INFORMATICA – Anche a seguito del recepimento della Direttiva NIS 2 (“Network and Information Security”) vengono sempre più in rilievo gli ambiti da implementare per la sicurezza informatica, che non viene vista solo come un insieme di strumenti e mezzi tecnici per prevenire gli attacchi, ma come un insieme di misure organizzative al centro delle quali è posta un’efficace politica di formazione del personale. Dal momento che il lavoro delle società in vari settori non può prescindere dai sistemi informatici, proteggere tali sistemi e i dati in essi contenuti diventa sempre più cruciale, così come definire delle procedure di emergenza in caso di attacco e dei piani di ripristino, in modo analogo a quanto succede per le grandi emergenze o catastrofi naturali. Il framework della Direttiva si articola in diverse azioni, fra le quali (i) l’identificazione dei rischi della tecnologia da parte degli utenti; (ii) la protezione dei sistemi informatici su cui gli utenti operano; (iii) la formazione del personale; (iv) i piani di emergenza predisposti e (v) i piani di ripristino approvati dalla società.

PIANO INFORMATICA PER PA DIGITALE – L’Agenzia per l’Italia Digitale ha pubblicato il Piano triennale per l’informatica nella Pubblica Amministrazione per il periodo dal 2022 al 2024, redatto in collaborazione con numerosi altri dipartimenti, che recepisce ed estende i contenuti del PNRR e rappresenta un’opportunità di accelerare e migliorare l’esecuzione della transizione digitale della Pubblica Amministrazione. Il nuovo Piano triennale favorisce, infatti, lo sviluppo di una società digitale, cerca di promuovere lo sviluppo sostenibile, etico e inclusivo, attraverso l’innovazione e la digitalizzazione al servizio delle persone, delle comunità e dei territori, nel rispetto della sostenibilità ambientale, e di contribuire alla diffusione delle nuove tecnologie digitali nel tessuto produttivo italiano, incentivando la standardizzazione, l’innovazione e la sperimentazione nell’ambito dei servizi pubblici.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Joshua Sortino grazie a Unsplash.

Il caso “Google Analytics”

Google Analytics (o anche “GA”) è senza alcun dubbio il servizio di web analytics più conosciuto e utilizzato al mondo.

Lanciato nei primi anni 2000 col nome di “Urchin on Demand” dalla Urchin Software Corporation –  società poi acquisita dal colosso di Mountain View, che ha provveduto al cambio nome – Google Analytics consente ai suoi utilizzatori di analizzare statistiche, anche molto dettagliate, sugli utenti visitatori del sito web sul quale viene installato.

Nel corso degli anni, soprattutto con l’avvento dell’e-Commerce, lo strumento è stato utilizzato sempre più al fine di raccogliere ed analizzare dati (anche personali) a fini di marketing.

Nelle statistiche di Google Analytics, infatti, confluiscono una serie importante di dati dei visitatori che (come l’indirizzo IP e altre informazioni del browser utilizzato, come ad esempio la lingua utilizzata, l’area geografica di provenienze) riescono a fornire indicazioni piuttosto “univoche” e particolare sul profilo dell’utente tracciato.

È infatti la profilazione il fine ultimo di tali analisi, e cioè la creazione di un “profilo utente” in grado di consentire a chi usa Google Analytics per il proprio business di ricostruire i gusti, le abitudini e le preferenze dell’utente ai fini della pubblicità personalizzata (anche detta “online adv”, advertising su internet).

Data la particolare “delicatezza” che caratterizza l’attività di analisi di GA – unitamente al fatto che l’utilizzo dello strumento inevitabilmente comporta il trasferimento dei dati trattati verso gli Stati Uniti – Google Analytics ha attirato su di sé gli occhi di alcune Autorità garanti europee, le quali si sono pronunciate in termini di inutilizzabilità alla luce della sua incompatibilità con la normativa dettata dal GDPR.

Ma vediamo bene il perché…

Sentenza “Schrems I”

L’avvocato e attivista austriaco Maximilian (Max) Schrems, fondatore di NOYB (None of your business) – organizzazione no profit che lotta da anni nel campo della protezione dei dati personali – ha sollevato la questione della pericolosità dei trasferimenti verso gli Stati Uniti quando nel 2013, in una causa intentata nei confronti di Facebook Ireland, ha affermato che la decisione di adeguatezza relativa ai trasferimenti UE-USA 2000/520 CE (nota come “Safe Harbor Privacy Principles”, o anche, più semplicemente “Safe Harbor”) non fosse in grado di garantire efficacemente i diritti dei cittadini europei.

Le leggi federali statunitensi, infatti, consentono alle agenzie governative un ampio margine di libertà di accesso ai dati conservati e trattati dalle aziende locali, libertà che si estende anche ai dati importati dall’Unione.

La causa, più in particolare, ha trovato le proprie origini nelle (allora) recenti dichiarazioni di Edward Snowden – informatico ed ex collaboratore della CIA – secondo le quali la NSA (l’Autorità statunitense per la sicurezza nazionale) aveva condotto per anni attività di sorveglianza di massa, dichiarazioni note ai più con il nome di “Datagate”.

All’esito del giudizio, il 6 ottobre 2015 la Corte di Giustizia dell’Unione Europea ha emesso una sentenza (cd. Schrems I) con la quale – accogliendo la tesi del ricorrente – ha stabilito l’invalidità del Safe Harbor.

Sentenza “Schrems II”

In seguito alla caduta del Safe Harbor, la Commissione Europea è corsa ai ripari, provvedendo a negoziare con il Governo USA un nuovo accordo (e relativa decisione di adeguatezza) in grado di giustificare e rendere ammissibili tali trasferimenti (la 2016/1250 UE), conosciuta anche col nome di “Privacy Shield”.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR) si è posta nuovamente la questione della sicurezza dei trasferimenti di dati UE-USA. Artefice del caso, ancora una volta, Max Schrems il quale ha rimesso alla CGUE la decisione circa la compatibilità dei trasferimenti effettuati “sotto lo scudo” del Privacy Shield con la nuova normativa europea.

In particolare, il meccanismo di autocertificazione delle società USA presso la FTC previsto dal Privacy Shield non è stato considerato sufficiente a superare il controllo invasivo sui dati di cui dispongono le agenzie di sicurezza statunitensi.

Con la sentenza del 16 luglio 2020 (c.d. Schrems II) la Corte si è pertanto nuovamente pronunciata per l’invalidità anche del Privacy Shield: laccordo è apparso infatti inadeguato a garantire, lato importatore, il grado di protezione dei dati richiesto dal GDPR.

Decisioni delle Data Protection Authorities europee

Quando si tratta di tutela dei diritti, NOYB non va mai in vacanza. Nell’agosto 2020 l’organizzazione ha infatti presentato 101 reclami ai diversi Garanti europei contestando l’uso, da parte di moltissime società, di Google Analytics. A seguito di tali reclami, la DPA europee sono intervenute sul caso.

Con una decisione del 22 dicembre 2021, la DSB (Autorità garante austriaca) – in applicazione dei principi e di tutto quanto stabilito nella sentenza Schrems II – ha stabilito che Google Analytics viola il GDPR in quanto non rispetta gli stringenti requisiti richiesti per consentire e garantire un trasferimento sicuro di dati UE-USA.

Alla decisione della DSB è poi seguita, il 10 febbraio 2022, la decisione dell’Autorità francese CNIL che – al pari della omologa austriaca – ha stabilito che Google Analytics non è uno strumento sicuro.

Ma non solo: anche nel nostro paese l’uso di GA è stato considerato non adeguato alla normativa vigente.

Il “Caso Caffeina” e la decisione del Garante italiano

Con provvedimento n.224 del 9 giugno 2022 il Garante per la Protezione dei Dati Personali italiano ha censurato la società Caffeina Media S.r.l. per aver utilizzato Google Analytics (nella sua versione “GA3”) e, di conseguenza, per aver effettuato trasferimenti internazionali di dati personali verso gli Stati Uniti in violazione del GDPR.

Il dato peculiare del provvedimento è che, in esso, il Garante non ha previsto alcuna sanzione come corollario della censura.

La decisione si è dunque rivelata un vero e proprio monito, tanto per Caffeina quanto per tutte le altre società italiane utilizzatrici di GA3, con il quale l’Autorità ha voluto intimare di dismettere, nel termine di 90 giorni, l’utilizzo di Google Analytics.

Pur riferendosi specificamente a GA3, è lecito pensare che l’Autorità abbia, più in generale, espresso le proprie perplessità nei confronti di ogni versione di Google Analytics che non sia effettivamente e concretamente in grado di tutelare i dati così come richiesto dal GDPR.

Quel che è certo è una seconda eventuale pronuncia in materia del Garante non dovrebbe essere altrettanto “morbida”.

Società avvisata… mezza sanzionata!

_________________

Photo by Alex Dudar on Unsplash

Comunicazioni commerciali: la “spazzatura” che incombe sugli utenti

Nel migliore dei casi, ciascuno di noi perde quotidianamente un po’ di tempo a eliminare le e-mail di troppo, mentre la casella si appesantisce di qualche Megabyte in più. Più spesso, si rischia addirittura di perdere messaggi importanti in mezzo a centinaia di comunicazioni commerciali, o – nei casi peggiori – si ricevono malware o messaggi dannosi, che possono provocare seri danni.

Come difendersi da queste situazioni? Come riconoscerle? Cosa fare? Di seguito trovate alcune domande “classiche” sul tema dello spam, corredate da brevi risposte operative pensate per agevolare la propria tutela e – se siete un’azienda – evitare di incorrere in spinose questioni privacy.

Da dove viene la parola “spam”?

La parola “Spam” nasce come l’abbreviazione di “Spiced ham” e proviene da un marchio di carne in scatola che veniva prodotto dall’azienda americana Hormel Foods Corp nella prima metà del Novecento. Quella carne costituì una delle uniche fonti di cibo nutriente in Inghilterra durante la Seconda guerra mondiale; così, facendo leva sulla diffusione enorme del prodotto, nel dicembre del 1970, la BBC trasmise un episodio di una nota serie televisiva ambientato in un ristorante in cui il menù si componeva interamente di pietanze a base di “spam”, la famosa carne in scatola.

Cos’è lo spam oggi?

L’invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari è usualmente definito “Spam”, ed avviene tramite l’invio di materiale pubblicitario o di vendita diretta o il compimento di ricerche di mercato o, ancora, tramite attività di generica comunicazione commerciale. Non è necessario, solitamente, un invio massiccio né simultaneo di comunicazioni a una pluralità di indirizzi o numeri di telefono per configurare un caso di “Spam”: queste modalità rilevano, eventualmente, per qualificare la condotta come sistematica e determinare di conseguenza le eventuali sanzioni nel caso in cui le norme di legge non siano rispettate.

Con che mezzi possono essere raggiunti gli utenti?

Le modalità più frequenti di Spam sono l’invio di fax, sms, e-mail e telefonate. È possibile che i dati personali siano tratti da registri pubblici, elenchi, siti web, per cui si configura un comportamento tendenzialmente illecito come ha più volte ribadito il Garante italiano, ad esempio con questo provvedimento). Non è lecito nemmeno utilizzare per inviare e-mail promozionali gli indirizzi PEC contenuti nell’indice nazionale istituito per favore la presentazione di istanze e lo scambio di informazioni con la Pubblica Amministrazione, perché tutti questi trattamenti avvengono senza il consenso degli interessati, come chiarito espressamente dalle Linee Guida (ormai risalenti) del 2013.

È stato di recente ribadito che non è neppure possibile contattare l’utente telefonicamente, chiedendo subito il consenso a ricevere comunicazioni promozionali: le modalità di cui all’art. 130 commi 1 e 2 del Codice Privacy, richiedono infatti il consenso anche per i numeri presenti in elenchi telefonici, sempre a condizione che ciò avvenga nel rispetto dei limiti e con le modalità che le leggi, i regolamenti o la normativa europea stabiliscono per la conoscibilità e pubblicità dei dati, ed in particolare secondo i requisiti fissati dalle disposizioni del Registro delle Opposizioni, di recente aggiornate e che diverranno operative a breve.

Quanto Spam possono ricevere gli utenti?

Fino a qualche tempo fa, l’invio massiccio di comunicazioni pubblicitarie veniva in buona parte bloccato dai software presenti nelle caselle di posta; progressivamente i livelli di spam hanno assunto proporzioni impressionanti e, ad oggi, si rileva che vengano distribuite decine di miliardi di e-mail indesiderate, corrispondenti a una percentuale fra il 60% e il 90% del volume complessivo delle e-mail totali scambiate. Questo ha comportato anche una significativa evoluzione nei software e nelle tecniche impiegate per diffondere le comunicazioni massive e, di conseguenza, anche le attività di Spam, a tutto danno dei poveri utenti del web.

Qual è la normativa applicabile in tema di Spam?

In generale, con l’entrata in vigore del Regolamento UE n. 2016/679 (“GDPR”), inviare messaggi promozionali senza il consenso dell’interessato costituisce un trattamento privo di una base giuridica valida e dunque illecito: in proposito, è stata nel tempo ridotta la portata “programmatica” del Considerando n. 47 al GDPR, che stabilisce “può essere considerato legittimo interesse trattare dati personali per finalità di marketing”, anche se l’idea in principio resta, pur nel bilanciamento di interessi precisato più volte dal Garante (ad esempio, nel provvedimento 2020 contro TIM). Se poi nella condotta dovessero ricorrere gli elementi costitutivi richiesti dall’art. 167 del Codice Privacy, e cioè l’acquisizione con mezzi fraudolenti di un archivio automatizzato o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, il trattamento illecito di dati personali effettuato mediante Spam potrebbe essere altresì qualificabile come illecito penale.

Lo spam può essere legittimo?

La pratica definita “Soft Spam” è considerata ammessa, seppure con precisi limiti, e consiste nell’invio di comunicazioni commerciali, in cui il mittente dei messaggi (“Titolare del trattamento”) può disporre di un proprio legittimo interesse: esso sussiste, ad esempio, quando i messaggi commerciali vengono inviati ad interessati già clienti del titolare perché hanno acquistato prodotti analoghi a quelli oggetto della promozione o che, in qualche modo, hanno manifestato interesse alla sua azienda. In tal caso, il mittente è (almeno inizialmente) esonerato dall’obbligo di richiedere il consenso espresso dell’interessato, ma dovrà in ogni caso informarlo espressamente del fatto che potrà ricevere messaggi di natura commerciale, concedergli la possibilità, in modo semplice, di negare il proprio consenso ad un successivo uso del suo indirizzo e-mail o del suo numero di cellulare, e dimostrare che con il trattamento dei dati, diritti e libertà dell’interessato non verranno lesi, confrontando gli stessi con il proprio legittimo interesse, secondo una procedura di autovalutazione da compiersi prima dell’inizio del trattamento.

Come possono tutelarsi gli utenti?

Si segnalano in primo luogo alcune tutele preventive, che sono state diffuse anche dal Garante Privacy come buone pratiche, tra cui ad esempio:

  • non diffondere, specialmente on-line, il proprio indirizzo e-mail o il numero di telefono;
  • leggere con attenzione le informazioni sull’impiego ed eventuale diffusione dei propri dati personali qualora sia necessario iscriversi a un sito web;
  • dedicare un apposito indirizzo e-mail per fare acquisti online o iscriversi a newsletter.

In ciascuna e-mail commerciale, per buona prassi più volte ribadita dall’Autorità italiana e dal EDPB a livello europeo, dovrà poi esserci un tool automatizzato di “cancellazione”, che è sempre possibile cliccare per rimuoversi da successivi invii, e – almeno in teoria – dovrebbe essere tanto semplice quanto lo è stata l’iscrizione alla newsletter stessa.

Una terza via è quella di esercitare i propri diritti fissati dagli artt. 15-22 del GDPR scrivendo al mittente delle comunicazioni di Spam, tramite indirizzi come “privacy@nomeazienda” o anche al Data Protection Officer che – ove nominato – deve essere indicato insieme ai suoi contatti in ciascuna informativa privacy: una semplice e-mail del tipo “Voglio essere rimosso da questa lista, con la mail da cui scrivo” potrà ben essere sufficiente, senza ulteriori formalismi.

C’è infine sempre la possibilità di inviare segnalazioni all’Autorità Garante, ove non si riceva riscontro nei tempi di legge (30 giorni dall’invio della richiesta), ricordando in particolare la possibilità di revocare in qualsiasi momento il consenso al trattamento dei propri dati e di conseguenza di pretendere la cancellazione definitiva di essi.

Quale extrema ratio, è sempre possibile agire in sede civilistica con un’azione per il risarcimento dei danni, ove patiti (con lo scoglio, tuttavia, di doverne dimostrare la consistenza).

E se sono un’azienda, cosa faccio?

Prima di tutto, le indicazioni fornite in questo articolo sono valide anche per impostare una corretta strategia di marketing tramite newsletter.

Per tutto quanto riguarda il “direct marketing” visto dietro le quinte del team aziendale vi rimandiamo, invece, ad un prossimo articolo.

___________________________________________

Photo by Amy Shamblen on Unsplash