News #47: importante sanzione AGCM per chiamate indesiderate; diritto all’oblio valido in tutto il mondo; arrivano i regolamenti DORA e CHIPS
Immagine di copertina di Ash Edmonds grazie a Unsplash
MERCATI DIGITALI
AGCM vs ENEL ENERGIA – L’Autorità Garante della Concorrenza e del Mercato (AGCM) ha recentemente annunciato di aver sanzionato Enel Energia e le sue agenzie partner per un totale di oltre 5 milioni di euro. Il provvedimento si ricollega alla constatata natura ingannevole delle pratiche commerciali operate nella vendita di servizi energetici effettuate mediante servizi di segreteria telefonica automatizzata al fine di indurre i consumatori – anche quelli che non avevano prestato un preventivo consenso alla telefonate di marketing – a stipulare contratti con la società. Più in particolare, la voce pre-registrata avrebbe diffuso false notizie circa la data prevista per la cessazione del cd. #mercatotutelato (fissata al 10 gennaio 2024 ma spacciata come “imminente”). La natura ingannevole e l’insistenza delle telefonate hanno permesso all’Autorità di qualificare le pratiche commerciali come #aggressive e #scorrette.
TWITTER/1 – Ancora una settimana interessante per quanto riguarda la “nuova era Musk” di #Twitter. All’esito di un sondaggio condotto sulla piattaforma, #DonaldTrump – espulso dal social nel gennaio 2021, a seguito dei suoi tweet a sostegno dell’attacco a Capitol Hill – è stato riammesso. Per dare il “bentornato” all’ex @potus – account ufficiale del “President of the United States” – #Musk ha deciso di pubblicare (senza permesso) una tavola di #MiloManara, ironizzando sulle capacità di Trump di non cadere nella “tentazione” di usare il social. La reazione del fumettista italiano non è tardata ad arrivare: l’artista ha affermato sulle proprie pagine social (scrivendo, provocatoriamente, anche in inglese) l’intenzione di far causa a Musk per 44 miliardi così da poter comprare a sua volta Twitter.;
TWITTER/2 – Dopo l’ondata di licenziamenti che ha colpito oltre la metà dei dipendenti della società, Twitter procede ad una assunzione che fa (altrettanto) notizia. Per i prossimi tre mesi, infatti, lavorerà alle funzionalità della piattaforma George “geohot” Hotz, hacker famosissimo a livello mondiale anche per aver collaborato con le big Google e Facebook. Nel frattempo si segnala che il lancio dell’iniziativa “premium” (prevista per il 29 novembre) è stata nuovamente rinviata, stavolta a data da destinarsi.
META SOSPENDE “GALACTICA” – Meta ha sospeso “Galactica”, piattaforma AI language-based descritta come in grado di memorizzare, combinare e ragionare sulla conoscenza scientifica, riassumendo articoli, risolvendo equazioni ed eseguendo una serie di altri compiti. Scienziati ed accademici hanno presto rilevato, invece, che l’intelligenza artificiale genera una grande disinformazione, anche attraverso la citazione di autori di articoli scientifici che non esistono. Secondo gli esperti del Max Planck Institute of Intelligent Systems, Galactica avrebbe creato false citazioni attribuendole a ricercatori del mondo reale. Inoltre la piattaforma distingue fake news da evidenze scientifiche, tanto da risultare pericolosa nella diffusione di contenuti di vario tipo.
DORA (DIGITAL OPERATIONAL RESILIENCE ACT) – Il Parlamento europeo ha approvato il contenuto del Regolamento “DORA” (Digital Operational Resilience Act), riguardante la resilienza operativa digitale per il settore finanziario. Lo spirito del regolamento è promuovere la resilienza operativa, costruire modelli operativi solidi ed efficaci per offrire tutele ai consumatori e costruire una solida struttura del settore finanziario, innovato profondamente da digitalizzazione e sistemi informatici, attraverso intermediari che offrono i loro servizi online.
PRIVACY & CYBERSECURITY
IL DIRITTO ALL’OBLIO VALE IN TUTTO IL MONDO – Con una recentissima pronuncia (ordinanza n. 34658, pubblicata lo scorso 24 novembre) la Suprema Corte di Cassazione si è pronunciata in materia di #dirittoalloblio. Accogliendo il ricorso proposto dal #Garante contro #Google (relativo alla diffusione, da parte del colosso di Mountain View, di informazioni inerenti ad una vicenda giudiziaria di natura penale – conclusasi con l’archiviazione – che ha coinvolto un manager italiano), gli Ermellini hanno stabilito che il diritto a non veder diffuse informazioni pregiudizievoli sul proprio conto deve essere esteso a tutte le piattaforme della società, anche quelle extraeuropee (il manager, infatti, risulta residente a Dubai). La decisione sconfessa dunque la ricostruzione fatta dal Tribunale di Milano, che aveva sostenuto la non extraterritorialità della legge italiana e dei provvedimenti della Garante per la protezione dei dati personali. A fondamento delle proprie ragioni, i giudici di piazza Cavour hanno richiamato la sentenza “Cnil” (resa dalla Corte di Giustizia dell’Unione il 24 settembre 2019) secondo la quale le autorità giudiziarie e di controllo devono in questi casi (i) procedere, innanzitutto, ad un bilanciamento tra #dirittodicronaca e diritto degli interessati a veder tutelata la propria sfera privata e (ii) richiedere ai gestori dei motori di ricerca di effettuare una #deindicizzazione dei contenuti su tutte le sue versioni. Lo standard valutativo per effettuare il bilanciamento – aggiunge in chiusura la Cassazione – deve essere quello proprio del diritto europeo o interno.
CENTRI UE PER LA SICUREZZA INFORMATICA – Come annunciato nella strategia europea del 2020 per la cybersicurezza, la Commissione europea e il Centro europeo di competenza sulla cybersicurezza (“ECCC”) hanno pubblicato un invito a selezionare gli enti che ospiteranno e gestiranno le piattaforme transfrontaliere per il rilevamento delle minacce informatiche negli Stati membri. All’interno degli organismi collaboreranno enti pubblici competenti di diversi Stati membri insieme a soggetti privati. I centri operativi per la sicurezza transfrontaliera acquisteranno e utilizzeranno strumenti e servizi di individuazione delle minacce informatiche.
INFORMATIVE PRIVACY E INCLUSIVITA’ – Il Gruppo di Lavoro per l’agevolazione dell’esercizio dei diritti dell’interessato di Federprivacy ha condotto una ricerca su un campione di 400 siti web in lingua italiana di settori diversi, verificando il livello di accessibilità delle informazioni presenti agli utenti con disabilità o limitazioni di altra natura. Nonostante la maggioranza dei siti esaminati abbia aggiornato la propria informativa, i risultati dal punto di vista dell’inclusività possono essere ampiamente migliorati, anche alla luce della recente strategia europea per le garanzie dei diritti umani delle persone svantaggiate, che dovrebbero comunque vedere rispettati i loro diritti sulla privacy. A questo fine, il Gruppo di Lavoro di Federprivacy ha preparato un vademecum per supportare gli enti pubblici e privati a redigere informative accessibili e inclusive.
CHIPS ACT – Gli Stati membri dell’UE hanno raggiunto un accordo, guidati dalla presidenza ceca nella sede del Consiglio, sulla legge europea sui semiconduttori (“Chips Act”). L’apposizione del sigillo da parte del Consiglio dell’Unione europea è fissata per il prossimo 1 dicembre, mentre è prevista per il prossimo anno l’approvazione del testo definitivo, a seguito di dibattito nel Parlamento europeo. Il Chips Act ha l’obiettivo di (i) rilanciare un settore ad alta innovazione dell’industria dell’Unione europea e (ii) allentare la dipendenza dai fornitori di semiconduttori di Stati Uniti e Asia, rendendo la catena di approvvigionamento più affidabile e resistente agli shock.
GUIDA ICO SUI TRASFERIMENTI INTERNAZIONALI – L’Information Commissioner’s Office (“ICO”) del Regno Unito ha pubblicato una guida sui trasferimenti internazionali (“TRA”, cioè “Transfer Risk Assessment”) che include uno strumento di sei domande utili per effettuare una valutazione sui trasferimenti internazionali. Le domande riguardano (i) le circostanze specifiche del trasferimento, (ii) il livello di rischio per i soggetti interessati in base ai dati personali trasferiti, (iii) la ragionevolezza e la proporzionalità del trattamento, (iv) rischi di violazione dei diritti umani (v) l’azionabilità del meccanismo di cui all’art. 46 UK GDPR (“garanzie adeguate”), (vi) dati con rischio significativo.
D. LGS. 231
CONTRASTO ALLA PROPAGANDA NAZIFASCISTA – Lo scorso ottobre sono state presentate in Parlamento due proposte di legge volte a emendare l’art. 604-bis c.p. ( rubricato “Propaganda e istigazione a delinquere per motivi di discriminazione razziale etnica e religiosa”) anche al fine di un suo inserimento nel novero dei reati-presupposto previsti dal #Decreto231. L’intento del legislatore sarebbe quello di includere all’interno della fattispecie la propaganda dell’ideologia nazifascista. La nuova fattispecie andrebbe dunque ad inserirsi nel già esistente articolo 25-terdecies (che attualmente trova il proprio fondamento esclusivamente nella legge n.654/1975, relativa alla eliminazione di tutte le forme di #discriminazionerazziale).
NOMINA DIFENSORE DELL’ENTE – I modelli di organizzazione, gestione e controllo (#MOGC) devono prevedere indicazioni specifiche per la nomina del difensore della società per tutti quei casi – chiaramente da scongiurare – in cui il rappresentante legale risulti indagato per uno dei reati-presupposto previsti dalla normativa #231. È quanto stabilito dalla Suprema Corte di Cassazione (con sentenza n. 35387, consultabile gratuitamente per gli iscritti all’associazione AODV231) al fine di assicurare alla società una difesa svincolata dal rischio di eventuali #conflittodiinteresse rispetto alle indagini a carico del rappresentante legale.
SUPERBONUS – Con sentenza n. 42012 (consultabile gratuitamente per gli iscritti all’associazione Aodv) la Corte di Cassazione ha affrontato la questione della rilevanza, dal punto di vista della responsabilità 231, dello sconto in fattura o cessione del credito nell’ambito delle ristrutturazioni agevolate dal #superbonus #110%. In particolare, secondo i giudici di piazza Cavour, la fatturazione in acconto di lavori non ancora eseguiti (o completati soltanto parzialmente) integra il reato di emissione di fatture per operazioni inesistenti: i crediti di imposta – idonei all’utilizzo a fini fiscali – sarebbero nella realtà assolutamente inesistenti.
NEWS DAL MONDO
ROMANIA – L’Autorità nazionale di vigilanza per il trattamento dei dati personali rumena (“ANSPDCP”) ha sanzionato per 20.000 euro una banca locale per un incidente di sicurezza, che ha comportato la divulgazione e l’accesso ai dati personali dei clienti della banca senza previa autorizzazione. Nella decisione si legge, in particolare, che la banca non aveva posto in essere misure tecniche e organizzative adeguate per garantire la sicurezza dei diritti e delle libertà delle persone fisiche.
USA/1 – Un gruppo di Procuratori Generali di vari stati U.S.A. (tra gli altri, quelli di California e Massachusetts) ha di recente inviato una lettera ad #Apple per esprimere le proprie raccomandazioni (e preoccupazioni) affinché questa si metta in moto per garantire che le app terze presenti sull’ App Store agiscano nel rispetto degli standard privacy necessari per assicurare un adeguato livello di garanzia per i diritti degli interessati interessati (soprattutto quando in gioco c’è la raccolta di dati inerenti alla salute riproduttiva). In particolare, i Procuratori Generali hanno intimato ad Apple di chiedere agli sviluppatori delle varie app di garantire l’adozione di misure di tutela, tra cui l’eliminazione dei dati non necessari per l’utilizzo dell’app.
USA/2 – Il “National Do Not Call Registry” (anche “DNC Registry”) è lo strumento che – al pari del nostro Registro delle Opposizioni – consente ai consumatori statunitensi di inserire il proprio numero di telefono all’interno di una lista di contatti che non gradisce ricevere telefonate di #marketing. Una volta in lista, ogni telefonata molesta può essere segnalata direttamente alla Federal Trade Commission (FTC). Lo scorso 21 novembre la FTC – come ogni anno, da 14 anni – ha rilasciato il “National Do Not Call Registry Data Book”, documento che fornisce un resoconto dei reclami promossi dai consumatori iscritti al DNC Registry contro le chiamate di telemarketing ricevute nel corso dell’anno. Secondo i risultati condivisi, nel corso del 2022 sarebbero stati oltre 3 milioni i reclami presentati e oltre 2,5 milioni i consumatori di nuova iscrizione.
ESTONIA – L’Autorità garante estone ha gestito tre reclami riguardanti lo stesso Titolare del trattamento, contestando loro di non aver risposto adeguatamente alle richieste del soggetto interessato e affermando che la richiesta di un documento d’identità a fini di verifica è accettabile se sussiste un ragionevole dubbio sull’identità dell’interessato. L’Autorità garante ha posto l’attenzione sul fatto che, ai sensi dell’articolo 5, paragrafo 1, lettera a), del GDPR , i dati devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato, e ai soggetti interessati non devono essere fornite informazioni fuorvianti in merito al trattamento dei dati. Ne parla anche GDPRHub, qui.
GERMANIA – Il Tribunale del lavoro di Heilbronn ha dichiarato invalida la risoluzione del contratto di lavoro di un DPO senza preavviso, a causa delle tutele garantite dalla legge tedesca sulla protezione dei dati (Bundesdatenschutzgesetz, “BDSG”) e della mancanza di prove di una concreta violazione dei doveri del DPO. Il tribunale ha dichiarato nullo il licenziamento del DPO, in quanto non sono stati riscontrati motivi ragionevoli per giustificare il licenziamento. La giustificazione della risoluzione del rapporto di lavoro si basava esclusivamente sull’incapacità del DPO di adempiere alle proprie responsabilità, in contrasto con la BDSG, che richiede una concreta violazione dei doveri del DPO, della quale deve essere data prova.
UK E COREA DEL SUD – Il Dipartimento per il digitale, la cultura i media e lo sport (DCMS) del Regno Unito ha recentemente annunciato di aver preso la decisione di stipulare un accordo di adeguatezza (il primo da “solista”, dopo l’uscita dall’UE) per il trasferimento dei dati personali con la Corea del Sud, ai sensi dell’art. 45 dell’UK GDPR. La decisione è stata presa a seguito di un iter di valutazione, al termine del quale è stato possibile affermare che – in virtù di una solida normativa in materia di privacy – la Corea offre adeguate tutele ai dati personali dei cittadini britannici. Sulla decisione è intervenuto anche l’ICO (Autorità garante locale) con un parere nel quale – oltre a concordare con la decisione – suggerisce, tra le altre cose, di tenere monitorate eventuali modifiche alla normativa sud coreana in materia (modifiche che potrebbero, eventualmente, impattare sulla sopravvivenza della decisione di adeguatezza).
HONG KONG – L’Office of the Privacy Commissioner for Personal Data (PCPD) ha annunciato di aver arrestato un uomo sospettato del reato di #doxxing, e cioè per aver divulgato – con intenzioni malevole – dati personali senza il consenso dell’interessato. Dalle indagini sarebbe emerso che l’uomo – un 48enne cinese, agente di approvvigionamento di lavori part-time che aveva organizzato per la vittima diversi lavori – aveva divulgato, in seguito ad una controversia, dati personali della vittima su una app di messaggistica istantanea. La divulgazione dei dati (tra i quali il nome, il numero di telefono e una copia del documento di identità) era stata inoltre accompagnata da un messaggio in cui l’imputato affermava che il soggetto in questione non sarebbe mai più stato assunto. Attualmente le indagini sono ancora in corso, ma all’imputato è stata intanto concessa la libertà su cauzione.
GERMANIA (BASSA SASSONIA) – Dopo aver ricevuto numerose segnalazioni circa l’uso di #GoogleFonts, la LfD Niedersachsachsen (Autorità garante della Bassa Sassonia) ha recentemente invitato gli operatori dei siti web a progettarli in maniera conforme alle norme dettate in materia di protezione dei dati personali. L’origine delle segnalazioni è da rinvenirsi in una sentenza (LG München I – 3 O 17493/20) resa lo scorso 20 gennaio dal tribunale regionale di Monaco, con la quale veniva riconosciuto alla parte attrice – promotrice di una causa contro un gestore di siti web – un risarcimento del danno per utilizzo di Google Fonts in violazione delle disposizioni a tutela dei dati personali. L’integrazione di tali Fonts, infatti, può avvenire in due modi: (i) integrandoli online – con la conseguenza, però, di un automatico trasferimento dei dati degli utenti verso gli U.S.A. – o (ii) scaricandoli e memorizzandoli localmente sul server dell’utente del sito web – soluzione consigliata dall’Autorità garante in quanto maggiormente tutelante per gli interessati.