News #15/2023: chi ha paura dell’AI? EDPB avvia una task force per studiare la situazione
LE PRINCIPALI NEWS DELLA SETTIMANA
- task force europea per capire i progressi e i rischi dell’AI, mentre in Italia ci occupiamo di richieste formali di modifica (alcune impossibili o quasi) di ChatGPT e un tavolo di lavoro sulla “age verification” con AGCOM;
- Meta si prepara a far fronte ad una nuova, pesantissima sanzione – potenzialmente che può includere anche il blocco del trasferimento dati UE-USA, con già paventata sospensione di Facebook e Instagram;
- la Cassazione interviene sull’annosa questione dei risarcimenti ai clienti dopo episodi di phishing, questa volta dando ragione a Poste Italiane (anche se, va segnalato, oltre tredici anni dopo i fatti);
- in USA si muovono, sul fronte leggi privacy, anche Lousiana, Tennessee e Indiana.
IL PROFILO DA SEGUIRE:
- partner di Hogan Lovells e voce molto presente nelle conferenze e iniziative internazionali di IAPP, Eduardo Ustaran è il profilo LinkedIn che consigliamo di seguire questa settimana, anche per avere una privilegiata finestra di notizie sul mondo dello “UK GDPR” in costante movimento.
QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..
- Midnight Mood – Michael Brecker (2001 – Nearness Of You: The Ballad Book)
PRIVACY
CHATGPT / TASK FORCE EUROPEA – Dopo il provvedimento di limitazione provvisoria disposto dal Garante italiano nei confronti di #ChatGPT, i Garanti europei riuniti nell’EDPB hanno deciso di istituire una #taskforce dedicata. L’obiettivo è quello di unire le forze e le competenze al fine di promuovere la cooperazione e lo scambio di informazioni tra le stesse Autorità al fine di garantire l’applicazione e il rispetto del GDPR. Nel frattempo, alcune Autorità – come quella spagnola – hanno parallelamente annunciato l’avvio di indagini di approfondimento in materia: nessuna, però, intervenendo “con urgenza” come il nostro Garante con limitazioni o impedimenti al trattamento.
GARANTE E CHATGPT – Com’è noto, con il provvedimento di limitazione provvisoria adottato dal nostro Garante lo scorso 30 marzo è stato dato a #OpenAI – la società sviluppatrice di #ChatGPT – un termine di 30 giorni per adeguarsi alle prescrizioni imposte dal Garante. Con provvedimento dell’11 aprile il Garante ha stabilito che, qualora entro il 30 aprile la società avrà adottato le necessarie misure concrete atte a garantire la tutela dei diritti degli utenti italiani in materia, la limitazione provvisoria verrà sospesa, venute meno le ragioni d’urgenza che erano alla base del provvedimento. In particolare OpenAI dovrà (i) rendere sul proprio sito web una #informativa trasparente, (ii) selezionare la #base #giuridica del consenso o del legittimo interesse per il trattamento e l’utilizzazione dei dati, (iii) mettere a disposizione degli utenti tutti gli #strumenti utili per garantire l’esercizio dei #diritti sanciti dal GDPR. Scadenze differite – in particolare, entro il 31 maggio o al più tardi 30 settembre – sono fissate per quanto riguarda l’implementazione di un sistema di age verification per la tutela dei minori.
TAVOLO PER TUTELARE I MINORI – Tra AGCOM e Garante è stato aperto un confronto di durata annuale con l’obiettivo di rafforzare la tutela dei minori online, come si legge nel comunicato dello scorso 12 aprile: le due Autorità lavoreranno per creare un codice di condotta e altri strumenti finalizzati anche a sperimentare forme di cooperazione nella tutela degli utenti di servizi digitali, anche attraverso nuove soluzioni di age verification.
META – La Commissione europea per la protezione dei dati personali (EDPB) ha comunicato di aver adottato lo scorso 13 aprile una #decisione #vincolante ex art. 65 GDPR relativa al progetto di decisione del Garante irlandese (DPC) in materia di trasferimenti di dati personali verso gli Stati Uniti effettuati da #Meta e, più in particolare, dal suo servizio #Facebook. La decisione, più in particolare, risolve in collaborazione con altre Autorità garanti europee la questione relativa all’opportunità di irrogare una #sanzione amministrativa e/o disporre un ulteriore ordine di adeguamento del trattamento all’interno della decisione finale del Garante irlandese. Entro un mese dalla notifica della decisione vincolante, la DPC è tenuta ad adottare la sua decisione, dopo di chè sarà poi disponibile anche il testo della decisione vincolante resa dall’EDPB.
UE-USA – Nell’ambito della Commissione per le libertà civili deI Parlamento europeo, una risoluzione adottata dalla maggioranza dei deputati si è dichiarata contraria all’adozione del progetto di decisione di adeguatezza relativo ai trasferimenti internazionali verso gli Stati Uniti (cd. Data Privacy Framework). A renderlo noto è lo stesso Parlamento con comunicato dello scorso 13 aprile all’interno del quale spiega che, secondo i deputati, il progetto – pur rappresentando indubbiamente un miglioramento – non è sufficiente a giustificare l’adozione di una decisione di adeguatezza della Commissione. Inoltre, sebbene il Data Privacy Framework istituisca un tribunale per il riesame finalizzato a decidere sui risarcimenti da erogare ai cittadini europei, resterebbe tuttavia la segretezza delle stesse decisioni del tribunali a minare i diritti del GDPR, in particolare quello di accesso e quello di rettifica dei propri dati personali.
231 & PENALE SOCIETARIO
MANIPOLAZIONE DEL MERCATO – Con la sentenza n. 12340 dello scorso 23 marzo (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che per integrare il reato di cui all’art. 185 TUF, #manipolazione del #mercato, è sufficiente che dalla diffusione di informazioni false o dalla messa in atto di artifizi possano derivare delle modifiche relative al valore delle azioni, non essendo necessaria una effettiva alterazione dello strumento finanziario. Secondo gli Ermellini “l’alterazione dell’andamento del titolo azionario (…) certamente assume una valenza altamente sintomatica dell’idoneità della condotta illecita [ma ciò non toglie che il delitto di cui all’art. 185 T.U.F. sussista a prescindere da variazioni del valore del titolo azionario, tutelando la fattispecie in questione l’interesse dell’ordinamento giuridico alla corretta formazione del prezzo dello strumento finanziario”. Sulla base di ciò, la Cassazione ha pertanto confermato la condanna di due imprenditori che, attraverso la diffusione della notizia falsa per cui degli investitori fossero interessate all’acquisto del 49,99% delle quote azionarie di una società, avevano generato una alterazione sensibile del titolo azionario di tale società.
USA / INDAGINI SUGLI ENTI – Alcune importanti novità in materia di criminalità di impresa sono state annunciate dal Dipartimento di Giustizia americano (DOJ), tra cui l’adozione della nuova versione della “Evaluation Guidance”. La guida raccoglie una serie di indicazioni per gli organi investigativi finalizzate a (i) valutare i sistemi di compliance delle aziende coinvolte in procedimenti penali e (ii) promuovere accordi tra accusa e difesa. In particolare, vengono individuati tre tipi di controllo: (i) accertare che i sistemi di compliance aziendale siano stati ben implementati in ottica di prevenzione di illeciti aziendali, (ii) valutarne l’effettiva attuazione attraverso l’analisi dei fondi impegnati dalla società per perseguire tali obiettivi di compliance e (iii) valutare le comunicazioni, la formazione interna, i rapporti con i terzi e i flussi informativi. Il Dipartimento chiarisce poi nel documento che l’eventuale commissione di un illecito non indica di per sé una mancanza di compliance nel contesto aziendale. La valutazione, infatti, va compiuta innanzitutto ex ante sugli sforzi profusi dalla società per evitare l’illecito, e solo dopo va estesa all’accertamento delle cause e alle azioni compiute per porvi rimedio, anche attraverso l’attivazione del sistema disciplinare.
MERCATI DIGITALI
CASSAZIONE SU PHISHING – Con la recente sentenza n. 7214/2023 la Corte di Cassazione ha confermato la pronuncia della Corte d’Appello di Palermo, che aveva rigettato la domanda risarcitoria proposta da un cliente di Poste Italiane a seguito di una truffa online. Il cliente, infatti, avrebbe agito in modo imprudente e negligente, consegnando le proprie credenziali di accesso al conto corrente a un truffatore online, che avrebbe disposto illegittimamente un bonifico di 6.000 euro. L’intermediario Poste Italiane, invece, è stato esonerato dal risarcimento del danno, perché aveva adottato tutte le misure di sicurezza del caso, e aveva adeguatamente informato i clienti della necessità di avere cura delle proprie credenziali per evitare truffe. Il testo della sentenza è disponibile su richiesta.
TWITTER – Twitter Inc non esiste più. Stando a un documento depositato lo scorso 4 aprile presso un tribunale federale della California, la società fa ora parte di X Corp – società di social media di proprietà dello stesso Elon #Musk. L’idea del magnate sudafricano pare essere quella di modificare l’essenza del social in modo da renderla “qualcosa di più”, qualcosa di simile alla cinese #WeChat: uno strumento, cioè, che sia in un’unica soluzione un social, un servizio di messaggistica e uno strumento di pagamento. Tale mossa potrebbe essere stata pensata dal patron di Tesla per rientrare dalle perdite registrate nei mesi successivi all’acquisto del social, il cui valore attuale si attesta alla metà di quello posseduto in fase di acquisto (20 miliardi, a fronte dei 44 pagati).
WHATSAPP – Anche #WhatsApp si sta trasformando. L’idea di Mark Zuckerberg – CEO di #Meta – è infatti quella di renderla una piattaforma idonea per l’e-Commerce e per retail in generale attraverso l’implementazione di funzionalità di pagamento in app. Per il momento la funzionalità è già attiva in Brasile, in via sperimentale e in relazione ai soli account Business. Anche Mark, come Elon, pare aver subito il fascino del modello #WeChat.
SPUNTE BLU PER LINKEDIN – Come i principali social al mondo hanno impostato da tempo, anche LinkedIn ha deciso di avviare le spunte blu sul sito. A differenza di Facebook, Instagram e Twitter però, la rete professionale di proprietà Microsoft non chiederà alcun pagamento per ottenere il badge, che sarà invece associato, per gli utenti che lo chiederanno, al proprio datore di lavoro. Una sorta di riconoscimento per appurare che il professionista è realmente chi afferma di essere sul network. In particolare, LinkedIn evidenzierà le verifiche con un segno di spunta sui profili. La verifica tramite e-mail aziendale è già disponibile per tutti gli utenti di LinkedIn, a condizione che lavorino presso una delle oltre 4.000 aziende supportate. La verifica di Microsoft tramite il sistema “Entra” verrà invece lanciata alla fine di aprile per 2 milioni di membri e poi estesa a tutti gli altri.
CULTURA DIGITALE – Nuovi fondi per sostenere le imprese digitali attive nel settore della cultura sono stati destinati attraverso il Pnrr per la transizione digitale e verde della filiera: con un avviso pubblico, infatti, il Governo ha dichiarato che gli interventi saranno finalizzati: (i) alla realizzazione di attività, progetti o prodotti improntati sul #ecodesign e sulla #sostenibilità, anche finalizzati alla sensibilizzazione del pubblico verso tematiche ambientali; (ii) all’ideazione di strumenti e soluzioni per la realizzazione di #eventi, attività e servizi culturali a #basso #impatto #ambientale; (iii) alla realizzazione di azioni di pianificazione strategica, organizzativa ed operativa per la redazione e attuazione di piani di sviluppo di governance e di misurazione degli impatti ambientali; (iv) alla realizzazione di prodotti #culturali con una forte componente educativa e didattica finalizzati alla sensibilizzazione del rispetto dell’ambiente; (v) alla realizzazione di attività di sviluppo e prototipazione sperimentale, finalizzate all’ecodesign dei prodotti e al recupero, #riuso, #riciclo di prodotti.
TECNOLOGIE IMMERSIVE E FORMAZIONE – L’Università Luiss Guido Carli di Roma è stata scelta da #Meta nell’ambito di un progetto europeo che mira ad analizzare l’impatto delle tecnologie immersive sull’educazione, attraverso test sul campo e iniziative sperimentali. Cinque le istituzioni accademiche selezionate oltre ad una serie di esperti e think-tank – tra cui l’università di Glasgow, l’Esade di Barcellona, il France Immersive Learning e il Straightlabs in Germania. L’iniziativa fa seguito ad una recente ricerca condotta dalla Xr Association e dalla International Society for technology in education, da cui è emerso che un’ampia percentuale degli insegnanti considera l’extended reality uno stimolo alla curiosità e al coinvolgimento degli #studenti in classe.
ALTRE NEWS DAL MONDO
KENYA – L’Ufficio della Commissione per la protezione dei dati kenyota (ODPC) ha annunciato tramite un tweet la propria decisione di emettere un avviso di sanzione di 5 milioni di KES (pari a circa 33 mila 800 euro) contro Regus Kenya per non aver dato esito non solo ai reclami dell’interessato denunciante, ma anche alle relative richieste sollevate dall’Autorità. Le doglianza del denunciante, più in particolare, riguardavano il frequente (e fastidioso) spam di comunicazioni automatizzate inoltrate dalla società nonostante le plurime richieste di interrompere tale pratica.
GUYANA – Pubblicato il 16 aprile un draft della legge locale in materia privacy, aperto per commenti sino al 3 maggio 2023. In un post di Bartlett Morgan l’approfondimento, particolarmente interessante perchè fornisce anche una overview della situazione nell’area, chiarendo l’ispirazione al GDPR.
USA (LOUISIANA) – Lo scorso 10 aprile è stato presentato e letto per la prima volta in Senato il disegno di legge n.199 in materia di protezione dei dati dei consumatori. Il disegno di legge prevede, in particolare, istituisce obblighi per le società titolari e responsabili del trattamento stabilite in Louisiana e per le società che producono prodotti o forniscono servizi destinati ai consumatori dello Stato.
USA (INDIANA) – Il Senato dell’Indiana ha approvato un testo di legge (già contenente i rilievi della camera dei deputati) in materia di dati personali, che si pone nel solco della legge della Virginia. Per un approfondimento sulle particolarità della legislazione locale, consigliamo questo post.
USA (TENNESSEE) – Il terzo stato di questa settimana a intervenire in ambito privacy si sta occupando, in particolare, di trasparenza e uso dei dati genetici: si possono seguire gli sviluppi del testo legislativo qui.
SPAGNA – L’Autorità garante spagnola (AEPD) ha pubblicato lo scorso 10 aprile un blog sul proprio sito web dal titolo “AI: Systems vs Processing, Means vs Purposes”. Nel blog l’Autorità chiarisce che l’intelligenza artificiale può essere utilizzata dai titolari del trattamento per operazioni sui dati personali nell’ambito di più ampi trattamenti di dati personali, e che lo scopo del trattamento non sempre coincide con i suoi mezzi. In particolare, l’AEPD sottolinea che è compito del titolare stabilire se l’uso dell’intelligenza artificiale implica una decisione automatizzata o se, sempre a fronte dell’uso dell’AI, è previsto l’intervento di un umano al fine di adottare la decisione finale. In sintesi, nell’opinione dell’Autorità le decisioni automatizzate non sono connesse e discendenti dall’uso in sé dell’intelligenza artificiale bensì da una chiara scelta del titolare.
FRANCIA – La Direzione generale per le imprese (“DGE”) della Francia ha aperto una consultazione pubblica sugli universi immersivi virtuali. Le parti interessate, tra cui cittadini, aziende e ricercatori, sono invitate a presentare commenti fino al 2 maggio sulle aspettative relative a tecnologie come la realtà virtuale e aumentata, la realtà blockchain e i software di creazione 3D. La DGE ha dichiarato che si profila una transizione digitale immersiva, e la consultazione pubblica consentirà alle parti interessate di “esprimersi sulle loro aspettative di fronte a questa novità, al fine di progettare una strategia francese in grado di anticipare questa transizione.