News #45: le Big Tech licenziano come non era mai successo prima; cambia la privacy policy di TikTok; si consolida la proposta di AI Act.

Immagine di copertina di Brett Zeck grazie a Unsplash.

MERCATI DIGITALI

FACEBOOK – Dopo giorni di indiscrezioni, arriva la notizia ufficiale: Facebook licenzia 11 mila dipendenti. Si tratta, indiscutibilmente, della più grande campagna di licenziamenti della storia delle #bigtech – più grande addirittura, in termini assoluti, del maxi licenziamento di Twitter di cui abbiamo parlato nella newsletter della scorsa settimana. Per stessa ammissione del CEO di Meta – Mark Zuckerberg – le ragioni dei licenziamenti andrebbero ricercate in un errore di valutazione delle entrate attese, connesso inevitabilmente alla attuale e generale crisi economica mondiale. In ogni caso, è stato chiarito che ciascuno degli ex dipendenti riceverà una indennità pari a 16 settimane di retribuzione (più due settimane extra per ogni anno di servizio svolto presso Facebook). Inoltre – notizia gradita soprattutto per gli statunitensi coinvolti – agli ex dipendenti e ai loro familiari sarà garantita, per i prossimi sei mesi, una copertura assicurativa per spese sanitarie, completamente a spese della società. Ma il metaverso, forse, perde consensi..

ONU vs MUSK – Volker Türk, Alto Commissario dell’ONU, ha recentemente inviato una lettera aperta a Elon Musk per esortarlo – all’indomani del maxi licenziamento che ha investito i dipendenti di Twitter – al rispetto dei diritti umani. L’appello si sarebbe reso necessario a fronte dell’ormai nota presa di posizione nei confronti della #libertàdiespressione, intesa da Musk in termini assoluti. Tale atteggiamento estremamente permissivo potrebbe infatti comportare quale conseguenza non gradita l’avallo di pratiche spiacevoli, come ad esempio il #hatespeech

RENDICONTAZIONE DI SOSTENIBILITÀ – Lo scorso 10 novembre il Parlamento Europeo ha adottato la proposta di Direttiva in materia di rendicontazione di sostenibilità aziendale. La nuova normativa impone a grandi aziende e multinazionali una serie di obblighi relativi alla rendicontazione circa l’impatto della loro attività sull’ambiente. Al fine di assicurare l’adempimento delle nuove disposizioni, sono inoltre previsti controlli e revisioni indipendenti. Dopo l’ok del Parlamento, il prossimo 28 novembre toccherà al Consiglio dell’Unione esprimersi sulla proposta. In caso di conferma ed entrata in vigore, le nuove regole entreranno in vigore tra il 2024 ed il 2028. 

AGCOM E NUOVE REGOLE ANTI TRUFFA – Sono state emanate nuove regole dall’Autorità per le Garanzie nelle Comunicazioni (“AGCOM”) per il cambio della SIM, con l’obiettivo di arginare le truffe legate al cambio dell’operatore della scheda telefonica. Innanzitutto, l’operazione di cambio SIM potrà essere effettuata solo dall’intestatario dell’utenza, a differenza di quanto succedeva finora con le deleghe – sarà possibile procedere ancora per delega solo nel caso di SIM aziendali. La verifica dell’identità, inoltre, dovrà essere effettuata attraverso due diverse procedure – una con un documento di identità e una tramite un codice ricevuto via SMS sul numero interessato, e oggetto di cambio operatore.

CGUE E CONSUMATORI – La Corte Federale di Giustizia tedesca ha domandato alla Corte di Giustizia dell’Unione Europea (“CGUE”) di pronunciarsi sulla posizione giuridica delle associazioni di tutela dei consumatori in relazione a potenziali violazioni del trattamento dei dati da parte di Meta. La Corte ha dichiarato che è in corso di decisione se un’eventuale mancata informazione da parte di Meta sulla portata, lo scopo e l’utilizzo dei dati degli utenti possa dare luogo a richieste di provvedimenti ingiuntivi ai sensi del diritto della concorrenza, e possa essere seguita da azioni di associazioni di tutela dei consumatori.

LOTTA ALLA PIRATERIA – Alcune case discografiche italiane hanno riportato una notevole vittoria nella lotta contro la pirateria online: il Tribunale di Milano ha respinto il ricorso di CloudFlare contro l’inibitoria cautelare che gli imponeva di interrompere la fornitura del suo servizio Dns pubblico a tre siti BitTorrent, che in precedenza erano stati bloccati dall’AGCOM. CloudFlare è uno dei principali intermediari internet sfruttati dalla pirateria online, ed era stato destinatario, a luglio 2022, di un’ingiunzione cautelare per implementare le misure tecniche che impedissero agli utenti di accedere ai siti identificati tramite il suo servizio. I servizi di CloudFlare consentivano infatti agli utenti di accedere a siti web in violazione del copyright, sottraendo ricavi a coloro che investono e creano musica. Così, confermando l’ordinanza originaria contro CloudFlare, il Tribunale di Milano ha stabilito un precedente importante secondo cui gli intermediari online possono essere obbligati a prendere provvedimenti efficaci se i loro servizi sono utilizzati per la pirateria musicale.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY & CYBERSECURITY

PRIVACY POLICY DI TIKTOK – La piattaforma TikTok ha annunciato un aggiornamento della propria privacy policy per lo Spazio Economico Europeo (“SEE”), che sarà effettivo a partire dal 2 dicembre 2022. L’obiettivo è quello di migliorare la trasparenza del servizio e la sicurezza dei dati trattati dalla società per tutti gli utenti europei. A tale scopo, l’aggiornamento alla policy si occupa soprattutto di modificare le sezioni dedicate al luogo di conservazione dei dati e alle modalità di trattamento dei dati di geolocalizzazione. Per quanto riguarda i trasferimenti internazionali – punto cruciale delle preoccupazioni sul tema – la piattaforma va nella direzione di investire le proprie risorse nella risoluzione delle problematiche sollevate dalla sentenza Schrems II, anche al fine di evitare le pesanti sanzioni che le autorità hanno già applicato nei confronti di altre piattaforme, sprovviste di misure di sicurezza che consentissero l’effettiva tutela dei dati dei propri utenti dall’accesso delle autorità governative.

TESTO DI COMPROMESSO SUL “AI ACT”  – Il Consiglio ha reso pubblica la versione finale del testo di compromesso sulla proposta di Regolamento recante norme armonizzate sull’intelligenza artificiale (“AI Act“), e lo sottoporrà all’adozione dell’orientamento generale al Comitato dei Rappresentanti Permanenti durante la prossima riunione del Consiglio Trasporti, Telecomunicazioni ed Energia (“TTE”) dell’8 novembre 2022. Il testo di compromesso sottolinea che la presidenza del Consiglio intende presentare alcune modifiche alla legge sull’AI, e invita le delegazioni a formulare le loro osservazioni finali prima che il documento sia presentato.

NEWSLETTER EDPS – E’ stata pubblicata la newsletter dell’European Data Protection Supervisor (“EDPS”), che raccoglie alcuni temi privacy tra i quali (i) la protezione dei dati personali da phishing e attacchi ransomware; (ii) i recenti Audit del EDPS; (iii) Intelligenza Artificiale; (iv) Machine Learning, e molto altro consultabile al link qui indicato.

SICUREZZA INFORMATICA UE – In occasione dei negoziati relativi alla nuova Direttiva europea sulla #cyberdifesa, Joseph Borrell – alto rappresentante della politica estera e della difesa dell’Unione – ha annunciato l’imminente creazione di un Centro europeo di coordinamento per la cyberdifesa. Per il raggiungimento di tale finalità, e a fronte dei sempre più numerosi #cyberattacchi, l’Unione si impegna ad incoraggiare collaborazioni e sinergie tra gli Stati membri in settori critici, tra i quali energia e sanità.

PROPOSTA REGOLAMENTO UE – Lo scorso 7 novembre è stato annunciato che la Commissione Europea ha adottato una proposta di regolamento finalizzata a rafforzare la trasparenza in materia di raccolta e condivisione dei dati relativi ai servizi di #affitto e #alloggioabrevetermine. Tra gli obiettivi, (i) armonizzare i requisiti di registrazione delle proprietà offerte in affitto, (ii) semplificare la condivisione di dati tra piattaforme online e autorità pubbliche, (iii) consentire il riutilizzo dei dati in forma aggregata. Al fine di illustrare con maggiore chiarezza la nuova proposta, la Commissione ha messo a disposizione online una scheda informativa e una serie di Q&A.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

DECIMO ANNIVERSARIO DELLA LEGGE SEVERINO – A dieci anni dall’entrata in vigore della legge Severino, risulta quanto mai evidente che investire nell’Anticorruzione è un’utilissima e indifferibile manovra economica. Come ha affermato il Presidente dell’ANAC, intervistato per l’occasione, negli ultimi anni l’Italia ha fatto importanti passi avanti, scalando dieci posizioni nella classifica di Transparency International. Eppure, nonostante il balzo dell’ultimo periodo, la strada da percorrere è ancora lunga per prevenire e reprimere la corruzione e l’illegalità nella Pubblica amministrazione, oltre che per promuovere la trasparenza. L’obiettivo è prioritario, con i fondi del PNRR e l’attenzione dell’Unione europea sull’Italia per una corretta gestione di tali finanziamenti. Restano rilevanti criticità sui temi del whistleblowing e della regolamentazione del lobbying, fenomeni rispetto ai quali l’Italia non è ancora in linea con le direttive europee.

DELUDENTE MONITORAGGIO ANTICORRUZIONE – Lo scorso 9 settembre l’Autorità Nazionale Nazionale Anticorruzione (“A.N.AC.”) aveva provveduto all’aggiornamento del Piano Triennale di Prevenzione della Corruzione e della Trasparenza in vigore per il triennio 2019-2021, (i) modificando la parte relativa alla mappatura delle attività degli uffici dell’A.N.AC., (ii) individuando i comportamenti a rischio e la relativa valutazione, (iii) programmando misure specifiche. Poco tempo dopo, è emerso da una specifica ricerca su tutti gli uffici giudiziari dislocati sul territorio nazionale (Procure della Repubblica, Tribunali, Procure Generali, Corti d’Appello e Corte di Cassazione) che gli stessi Tribunali chiamati a giudicare sull’adeguatezza dei presidi di contrasto alla corruzione di società private ed enti pubblici, sono a loro volta privi dei Piani anticorruzione e di adeguati canali di whistleblowing.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

UE vs. MICROSOFT –  Sulla scia dell’Antitrust britannico, anche la Commissione Europea ha di recente annunciato l’apertura di un’indagine nei confronti di Microsoft in ragione della sua proposta (del valore di ben 69 miliardi di dollari) di acquistare Activision Blizzard, colosso mondiale dei videogiochi, nonché “mamma” del famosissimo Call of Duty. Le preoccupazioni sono connesse, più in particolare, alla possibilità che Microsoft precluda, in concreto, ad altre società l’accesso ai videogiochi di Activision Blizzard. La durata dell’istruttoria è di 90 giorni: la decisione dovrà pertanto arrivare entro il 23 marzo 2023. 

USA: LINEE GUIDA SULLE RISORSE DIGITALI  Il governo USA ha pubblicato delle nuove linee guida dedicate alle risorse digitali, comprese le criptovalute, sulla protezione di consumatori, investitori e imprese, insieme alla promozione della stabilità finanziaria, della sicurezza nazionale e dell’ambiente, riconoscendo che le risorse digitali, incluse le criptovalute, presentano evidenti opportunità per rafforzare la leadership degli Stati Uniti nel sistema finanziario globale e che, al contempo, esse comportano rischi significativi. Le linee guida, in questo senso, promuovono l’innovazione (i) avviando la ricerca e lo sviluppo del settore privato, (ii) supportando le aziende statunitensi all’avanguardia a trovare un punto d’appoggio nei mercati globali e (iii) ponendo misure per mitigare i rischi con una più severa applicazione delle leggi esistenti e la creazione di standard di efficienza.

BASSA SASSONIA – L’autorità garante della Bassa Sassonia ha recentemente emesso un comunicato stampa per ricordare alle società che trasferiscono dati fuori dallo Spazio Economico Europeo o verso organizzazioni internazionali che alla fine di quest’anno – più precisamente il 27 dicembre –  dovranno essere obbligatoriamente aggiornate all’ultima versione (quella del 27 settembre 2021) le Clausole Contrattuali Standard (#SCC), lo strumento che consente alle società di esportare i dati in sicurezza, nel rispetto della normativa e delle tutele dettate dal GDPR, pur in mancanza di una decisione di adeguatezza. L’ obbligo vige, più in particolare, per tutti i contratti conclusi prima del 27 settembre 2021, quelli cioè che fino al prossimo 27 godranno di un “periodo di favore”, scaduto il quale ogni trasferimento non allineato alle nuove Clausole sarà illegale.

BELGIO  La commissione parlamentare belga per l’economia, la protezione dei consumatori e l’agenda digitale ha approvato il disegno di legge sulla protezione delle persone che segnalano violazioni del diritto dell’Unione o del diritto nazionale riscontrate all’interno di un Ente (“whistleblowing”), recependo la Direttiva sulla tutela delle persone che segnalano violazioni del diritto dell’Unione.

AUSTRALIA (NEW SOUTH WALES) – La Commissione per l’Informazione e la Privacy (“IPC”) ha pubblicato la relazione annuale 2021/2022 documentando i risultati raggiunti ed evidenziando alcune statistiche riguardo a (i) iniziative strategiche e regolamentari; (ii) richieste di accesso, revisioni e reclami sulla privacy; (iii) pareri in tema di privacy per supportare la conformità da parte degli Enti; (iv) audit proattivi sull’accesso ai dati personali e (v) sensibilizzazione sulla privacy e sui diritti dei soggetti interessati.

CINA  Dall’8 al 10 novembre prende il via la seconda edizione della Digital China Week, evento di formazione in cui diversi esperti del settore e aziende presenti sul mercato proporranno spunti per sviluppare un business di successo in Cina. L’evento è considerato particolarmente significativo nel settore, anche dal momento che il digitale in Cina rappresenta un imprescindibile stile di vita, con piattaforme differenti da quelle occidentali e tendenze come il live streaming o il social commerce.

REGNO UNITO – L’Information Commissioner’s Officer (ICO), autorità garante inglese, ha annunciato di aver avvertito – o meglio, rimproverato- il Dipartimento per l’Istruzione locale per violazione dell’art. 5 del Regolamento Europeo 2016/679 (GDPR). Dalle indagini sarebbero infatti emersi accessi non autorizzati ad LRS (database che fornisce un registro delle qualifiche degli alunni – quasi 30 milioni – a cui i fornitori di servizi di istruzione possono accedere e memorizzare dati). Più in particolare, è stato rilevato l’accesso di Trust Systems Software UK Ltd (“Trustopia”), società di screening che utilizzava il database per aiutare le società di gioco d’azzardo a confermare che i clienti fossero maggiorenni. Concedendo l’accesso al database a Trustopia, il Dipartimento per l’Istruzione si è sostanzialmente reso responsabile di un uso illegale dei dati (che venivano, di fatto, trattati per scopi diversi da quelli consentiti). La decisione di non irrogare alcuna sanzione – che avrebbe sfiorato i 10 milioni di sterline, a fronte della gravità della violazione – è stata giustificata da John Edwards, sesto commissario dell’ICO, con il fatto che i soldi delle multe ritornano al Governo. L’impatto per il Dipartimento, pertanto, sarebbe stato sostanzialmente minimo.

BADEN-WÜRTTEMBERG – L’Autorità garante locale ha recentemente emanato una guida rivolta a società ed enti pubblici finalizzata ad impartire istruzioni per una corretta integrazione di video sui propri siti web in perfetta compliance con la normativa europea sulla protezione dei dati personali. Più in particolare, la guida si sofferma sul rispetto dei requisiti fissati dalla legge federale (21 giugno 2021) sulla protezione della privacy nelle telecomunicazioni e nei telemedia (TTDSG). 

GERMANIA (ASSIA) – L’HBDI, Autorità garante dell’Assia, ha di recente rilasciato una dichiarazione in merito all’utilizzo di #GoogleFonts. Secondo quanto chiarito dall’Autorità, quando i fonts di Google sono integrati online, i dati dell’utente utilizzatore vengono trasferiti a Google. L’accento della questione viene posto sulla necessità che tale trasferimento sia supportato da una adeguata #basegiuridica, così come richiesto dall’art. 6 del GDPR. In particolare, le maggiori problematiche riguardano il fatto che un trasferimento di dati a Google si sostanza, nella pratica, in un trasferimento verso gli Stati Uniti (paese “particolarmente attenzionato” in seguito alla sentenza Schrems II e conseguente caduta del Privacy Shield).

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) del Regno Unito ha annunciato una consultazione pubblica fino al 19 dicembre sulla priorità che l’autorità garante dà ai reclami in materia di libertà di informazione. L’ICO ha indicato che la consultazione è stata stimolata da finanziamenti limitati e da una maggiore necessità di sostenere le autorità pubbliche in difficoltà, che insieme hanno creato una “tempesta perfetta”. L’autorità di regolamentazione ha spiegato che il nuovo schema prenderà in considerazione i reclami in cui vi sia un chiaro interesse pubblico per le informazioni.

IRLANDA  La Commissione irlandese per la protezione dei dati ha presentato una bozza di decisione sulla conformità di Yahoo agli obblighi del GDPR, in materia di trattamento dei dati personali. Il vice commissario Graham Doyle ha dichiarato che l’indagine, iniziata nell’agosto 2019, ha esaminato la conformità dell’azienda ai requisiti di fornire informazioni trasparenti agli interessati ai sensi delle disposizioni del GDPR. Le autorità di controllo interessate avranno tempo fino al prossimo 24 novembre per opporsi al progetto di decisione.

CANADA  I governi di Canada, Singapore e Regno Unito hanno annunciato l’impegno congiunto ad aumentare le misure di sicurezza informatica per i dispositivi dell’Internet degli oggetti. I governi hanno dichiarato che i vantaggi delle tecnologie IT possono essere realizzati con requisiti di sicurezza informatica appropriati, che sono integrati nei prodotti fin dalla fase di progettazione, piuttosto che far ricadere questo onere sui consumatori. Il lavoro congiunto dei tre Paesi eviterà la frammentazione e ridurrà la duplicazione di test e valutazioni simili. 

News #44: il Data Markets Act è legge (e il 2 maggio 2023 sarà applicabile); colpa di organizzazione e modello 231 per la Cassazione; TwitterSaga, again..

Immagine di copertina di Andrea Vaiuso grazie a Unsplash.

PRIVACY

DIGITAL MARKETS ACT – Con la sua entrata in vigore lo scorso 1 novembre, il DMA diventa ufficialmente legge. La nuova legge sui mercati digitali si prefigge l’obiettivo di porre fine alle pratiche sleali poste in essere da quelle aziende definite #gatekeeper – quelle cioè che, fungendo da punto di incontro tra utenti commerciali e consumatori, godono di una posizione privilegiata che, sostanzialmente, consente loro di “dettare le regole del gioco”, col rischio di compromettere il delicato l’equilibrio dell’economia digitale. Tre i criteri fissati dal DMA per qualificare un’impresa come gatekeeper: (i) le dimensioni in termini di fatturato, (ii) il numero di utenti finali raggiunti (45 milioni su base mensile o almeno 10 mila su base annua) e (iii) l’aver raggiunto una posizione consolidata e duratura, attraverso il raggiungimento degli obiettivi fissati dal secondo criterio per almeno tre anni. Nel mirino dell’UE rientrano quindi sicuramente le #bigtech americane – come Facebook, Google, Amazon – nei confronti delle quali l’UE fissa specifici obblighi e divieti. Il DMA comincerà ad essere applicato il 2 maggio 2023: da tale momento i potenziali gatekeeper avranno due mesi per comunicare alla Commissione i propri risultati al fine di consentire una loro corretta qualificazione ai fini delle nuove regole comunitarie.

CODICE DI CONDOTTA SIC – Lo scorso 4 novembre il Garante per la protezione dei dati personali ha comunicato sulle proprie pagine di aver definitivamente approvato il testo del #Codicedicondotta degli operatori del settore di informazione creditizia. Il Codice, che entrerà in vigore il giorno successivo alla sua pubblicazione in Gazzetta Ufficiale, va a definire un pacchetto di garanzie e tutele finalizzate ad assicurare il corretto funzionamento del mercato creditizio e finanziario, nel rispetto dei diritti degli interessati. In quest’ottica il Codice specifica, tra le altre cose, le tipologie di dati che possono formare oggetto di trattamento, i tempi di conservazione e le modalità con cui mantenere informati gli interessati. Il nuovo Organismo di Monitoraggio (#OdM) è stato investito del compito di vigilare sull’osservanza delle regole fissate dal Codice e di tutelare i consumatori in caso di problemi con i Sistemi di informazione creditizia: a tale organo dovrà essere proposto reclamo in caso di violazioni, ferma restando la possibilità di adire il Garante, per tutto quanto di sua competenza.

“AI ACT” –  La presidenza ceca del Consiglio dell’Unione ha presentato agli altri paesi membri la versione finale del #AIACT, il nuovo strumento europeo finalizzato a regolamentare l’#intelligenzaartificiale in relazione al “rischio potenziale”, secondo quanto riporta Euractiv. Il testo, solo lievemente modificato rispetto alla precedente versione proposta qualche settimana fa, si sta dunque avviando verso l’approvazione definitiva da parte dei Ministri dell’UE, prevista per il prossimo 6 dicembre in occasione della riunione del Consiglio Telecomunicazioni.

AGGIORNAMENTO ISO – A fronte dei sempre più frequenti e sofisticati attacchi informatici e nell’ottica di una migliore gestione della sicurezza delle informazioni, l’Organizzazione Internazionale per la Standardizzazione (ISO) ha recentemente annunciato di aver rilasciato una nuova versione della sua ISO/IEC 27001.

Non è stato fornito nessun testo alternativo per questa immagine

D.LGS. 231

RINVIATA LA RIFORMA CARTABIA – Nel Consiglio dei Ministri del 31 ottobre il Governo ha approvato il D.L. 162/2022, con cui è stata posticipata l’entrata in vigore del D.Lgs. 150/2022 recante norme per l’efficienza del processo penale, nonché in materia di giustizia riparativa e disposizioni per la celere definizione dei procedimenti giudiziari. La riforma, pubblicata in Gazzetta Ufficiale lo scorso 17 ottobre, sarebbe dovuta entrare in vigore il 1° novembre, modificando il termine per la pubblica accusa per richiedere il decreto penale di condanna nei confronti dell’ente. Il D.L. 162/2022 ha invece rinviato di due mesi la data di efficacia delle modifiche, fissandola – al momento – al prossimo 30 dicembre.

REATI COLPOSI – E’ stata pubblicata la sentenza della Cassazione n. 39615/2022 sui reati colposi in materia 231, a seguito del ricorso presentato da una società, condannata sia in appello che in primo grado, per lesioni colpose patite da un proprio dipendente, rimasto schiacciato nel 2008 durante lavori all’interno di un silos. Per quanto riguarda la #colpa di #organizzazione, in primo luogo, essa deve essere specificamente provata in giudizio, avendo riguardo (i) al concreto assetto organizzativo adottato dall’impresa in tema di prevenzione e (ii) al nesso causale tra la carenza organizzativa e il verificarsi del reato presupposto. La sentenza dei giudici di legittimità, inoltre, ripercorre e sintetizza l’evoluzione giurisprudenziale in materia di norme sulla sicurezza sul lavoro in ambito 231, ponendo l’attenzione su (i) il c.d. criterio di #compatibilità, in virtù del quale, per potersi apprezzare l’interesse o il vantaggio dell’Ente, va effettuata una valutazione rispetto alla condotta e non all’evento; (ii) sulla #natura #soggettiva del criterio dell’interesse, dato che esso rappresenta l’intento del reo di procurare un beneficio all’ente mediante la commissione del reato, tale valutazione va fatta solo a priori; (iii) sul #vantaggio, che è un criterio oggettivo, da analizzare a posteriori perché legato all’effettiva realizzazione di un profitto in capo all’ente come conseguenza della commissione del reato.

DIRETTIVA PIF – È entrato ufficialmente in vigore ieri il D. Lgs. 156/2022 – pubblicato in Gazzetta Ufficiale lo scorso 22 ottobre, recante “Disposizioni correttive e integrative del decreto legislativo 14 luglio 2020, n.75, di attuazione della direttiva (UE) 2017/1371, relativa  alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale” – c.d. #correttivoPIF. Con i suoi sei articoli, il Decreto apporta modifiche a reati quali, tra gli altri, quelli #tributari previsti dall’art. 25-quinquiesdecies del D. Lgs. 231/2001.

COMMISSARIAMENTO E PATTEGGIAMENTO – Una società indagata per corruzione può, comunque, accedere all’applicazione della pena su richiesta delle parti (“patteggiamento”): lo ha affermato la Cassazione con la sentenza n. 40563/2022, stabilendo che il commissariamento non può essere inserito tra le sanzioni amministrative applicabili, ma rappresenta una misura diversa che non impedisce di patteggiare.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TRUFFE VIA SMS –  Sono state segnalate dalla Consob, da ultimo con la comunicazione del 31 ottobre, numerose truffe via SMS, che fanno indebitamente leva sulla notorietà del marchio #Amazon per estorcere ai risparmiatori denaro o dati personali, e prospettano opportunità di guadagno irrealistiche legate al presunto acquisto di azioni della piattaforma e-commerce. La Consob precisa che le truffe, non realmente riconducibili ad Amazon, risultano finalizzate all’acquisizione di dati personali e/o somme di denaro degli utenti. Amazon stessa conferma l’accaduto, e precisa che le comunicazioni via e-mail, sms o telefono da parte di Amazon non includono mai richieste di informazioni personali e/o proposte di investimenti finanziari finalizzati ad opportunità di guadagno.

MULTA A MEDIAWORLD PER PRATICHE COMMERCIALI INGANNEVOLI – L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha sanzionato Mediaworld per aver messo in atto una prassi commerciale nei confronti di prodotti IT particolarmente desiderati dai consumatori (smartphone, pc, iPad, playstation, smart tv) che, in media, presentano un prezzo non irrisorio e che vengono di frequente esposti al pubblico in “offerta”. Secondo l’AGCM, infatti, nei volantini e nei cartelli in negozio la società ha utilizzato modalità ingannevoli per promuovere tali prodotti, spesso presentati come in promozione e invece abbinati e venduti insieme ad un prodotto accessorio, facendo pagare così al consumatore un prezzo superiore e diverso rispetto a quello pubblicizzato.

TWITTER SAGA – Dopo i vertici societari, tocca a dipendenti: #Musk continua a licenziare. Dai dati disponibili online pare che ad essere colpiti dalla nuova mossa di Mr. Tesla sarebbero oltre 3 mila persone (ben il 50% dei dipendenti!). A colpire non è solamente il merito della scelta – che, secondo Musk, sarebbe “obbligata” a fronte delle perdite che stanno investendo la società – quanto, soprattutto, le modalità di comunicazione prescelte. È stata infatti una semplice e-mail a comunicare ai dipendenti le sorti della loro permanenza in #Twitter. I lavoratori licenziati non hanno comunque aspettato a fare la loro mossa: una class action è già stata presentata al Tribunale Federale di San Francisco per violazione della legge californiana in materia di licenziamento (in spregio all’obbligo di preavviso di licenziamento fissato a 60 giorni, Twitter ha, immediatamente dopo la comunicazione, bloccato gli account dei dipendenti coinvolti). La gestione del caos con i dipendenti si aggiunge, per altro, alla delicata questione dei rapporti della società con i suoi investitori, molti dei quali – come L’Oreal e Volkswagen – cominciano ad abbandonare la nave.

DATA ACT – E’ stato pubblicato il report dell’European Telecommunications Network Operators (“ETNO”) sul #impatto del Data Act – la proposta di regolamento relativo a norme armonizzate in materia di accesso equo ai dati e di loro uso – sugli operatori di telecomunicazioni europee. Lo studio #analizza come le nuove regole proposte influenzeranno i modelli di business, sia quelli già esistenti che quelli emergenti, nei mercati B2B, B2C, business-to-government (“B2G”), cloud e edge computing. Le fonti di dati per realizzare lo studio sono state raccolte attraverso un sondaggio e varie interviste.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

UK GDPR vs. UE GDPR – Dal 2 al 4 novembre alcuni eurodeputati membri della LIBE (Commissione per le libertà civili) sono volati a Londra per discutere con alcune importanti figure britanniche (tra cui funzionari di governo e membri delle Camere) delle possibili conseguenze della riforma in materia di protezione dei dati personali. In particolare, la missione esplorativa consentirà all’Unione di valutare l’effettiva adeguatezza dell’UK alla luce del GDPR e del LED (direttiva in materia di trattamento dei dati personali da parte delle autorità competenti per finalità di prevenzione, investigazione e repressione di reati).

GIAPPONE – Il Paese punta a un deciso rafforzamento della propria unità di difesa informatica: secondo quanto reso noto in un comunicato del ministero della Difesa, Tokyo rinforzerà notevolmente il proprio organico di esperti in materia di cybersecurity, puntando a contare anche su più di cinquemila addetti militari specializzati, entro il 2027.

SPAGNA – L’Autorità garante spagnola, AEPD, si è recentemente pronunciata nei confronti di una società per il trattamento di dati personali di soggetti minori (infraquattordicenni) in violazione delle disposizioni #GDPR nonché della legge locale in materia di servizi della società dell’informazione e del commercio elettronico (LSS). Dai rilievi dell’Autorità sarebbe in particolare emerso, tra le altre cose, che la Società (i) raccoglieva dati personali in assenza di consenso, (ii) procedeva a conservarli senza prevedere un idoneo tempo di conservazione, (iii) forniva le informazioni di trattamento esclusivamente in inglese (lingua non ufficiale del Paese e, in quanto tale, di non facile comprensione per la gran parte degli utenti). Inoltre, in violazione dell’art. 8 del Regolamento, le pagine web della società risultavano sforniti dei meccanismi idonei a raccogliere il consenso dei genitori o tutori dei minori. Alla luce di tali gravi violazioni, l’AEPD ha irrogato alla società una importante sanzione, di oltre mezzo milione di euro.

PERÙ – L’Autorità garante peruviana, ANPD, ha di recente approvato la “Guida all’implementazione delle Clausole Contrattuali Tipo per il trasferimento dei dati personali”, strumento che consentirà un trasferimento di dati personali sicuro ed in linea con gli standard internazionali.

INDIA – Pubblicate nella Gazzetta Ufficiale le nuove modifiche alle norme sugli intermediari IT,  che puntano a rafforzare i requisiti di due diligence e a garantire la responsabilità dei social media e di altri intermediari online.

USA – Il 31 ottobre la Cybersecurity and Infrastructure Security Agency (“CISA”) ha pubblicato due schede che illustrano le minacce contro i sistemi che utilizzano l’autenticazione a più fattori (“MFA”). La CISA ha esortato tutte le organizzazioni a implementare l’autenticazione multifattoriale resistente al phishing o la corrispondenza dei numeri come misura di mitigazione provvisoria.

UCRAINA – È stato presentato al Parlamento ucraino un progetto di legge sulla protezione dei dati, volto a disciplinare il trattamento dei dati personali, nonché di altri tipi di dati, comprese le informazioni biometriche. La legge si rende necessaria soprattutto in quanto la legislazione attuale non garantisce pienamente la protezione dei dati personali in Ucraina, alla luce dello sviluppo degli standard internazionali in questo settore.

News #43: il diritto UE non favorisce la conservazione degli indirizzi IP; siti web aziendali “sicuri”​, o è sanzione; molte novità per la 231

Immagine di copertina di Paul Green grazie a Unsplash.

PRIVACY

CONSERVAZIONE DEGLI INDIRIZZI IP – E’ stato pubblicato il 27 ottobre il parere dell’Avvocato Generale nella causa C-470/21 della Corte di Giustizia dell’Unione europea, che ha sostenuto che il diritto dell’Unione europea non deve essere #interpretato in un’ottica di #conservazione generale e indiscriminata degli indirizzi IP assegnati alla fonte di una connessione; piuttosto, essi devono essere conservati per un periodo di tempo #limitato e strettamente #necessario ai fini della prevenzione dell’indagine, dell’accesso e del perseguimento di reati online, in mancanza di altri mezzi di indagine.

NEWSLETTER DEL GARANTE – Pubblicata lo scorso 24 ottobre l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie, il parere positivo nei confronti del #Bonusvista, l’iniziativa del Ministero della Salute che prevede l’elargizione di un contributo una tantum per l’acquisto di occhiali da vista o di lenti a contatto correttive. Nel corpo della newsletter il Garante rende inoltre nota la sottoscrizione della Convenzione attuativa del #Protocollodintesa Garante – CINI (Consorzio Interuniversitario Nazionale per l’Informatica), avente l’obiettivo di stimolare occasioni di confronto e approfondimento di tematiche particolarmente rilevanti nel settore informatico con particolare riguardo al rispetto dei principi e della normativa applicabile in materia di protezione dei dati personali.

NIENTE SSL SUL SITO? AHI AHI AHI AHI – L’Autorità Garante italiana ha sanzionato un’azienda per 15.000 Euro per non aver protetto adeguatamente i dati dei clienti registrati sull’area riservata del proprio #sitoweb. Per scongiurare il rischio di furti d’identità e garantire adeguata tutela dei dati personali, infatti, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli tecnologici di sicurezza almeno adeguati agli #standard più diffusi (come SSL / HTTPS). Tali obblighi, ha precisato il Garante, si applicano anche ai sistemi preesistenti alla data di efficacia del GDPR.

CYBERSECURITY SENZA SCOPO DI LUCRO – E’ stata istituita la Cyber Security Italy Foundation, un ente senza scopo di lucro che si propone di diffondere e promuovere la #cultura della #cybersicurezza. La fondazione, nell’ottica di fornire supporto alla collettività mediante lo svolgimento di programmi e progetti di intervento, organizzerà iniziative nei settori della formazione, della sicurezza dei dati informatici, dell’intelligenza informatica e della ricerca scientifica e tecnologica.

DATA E AI ACTS – Oltre alla pubblicazione del “DSA” nella Gazzetta Ufficiale dell’UE, avvenuta lo scorso 27 ottobre, il Consiglio dell’Unione europea ha presentato #revisioni sui primi cinque capitoli della nuova legge sui dati, che chiariscono la possibilità per gli utenti di accedere ai dati che hanno contribuito a generare, indipendentemente dal luogo di stabilimento. Con riguardo all’intelligenza artificiale (#IA), i co-legislatori del Parlamento europeo stanno valutando una posizione comune e proponendo modifiche alla formulazione originale. In tema di #riservatezza, i deputati hanno proposto che i principi di limitazione delle finalità e minimizzazione dei dati si applichino alla richiesta di informazioni presentata dalle autorità competenti al fornitore di Intelligenza Artificiale.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

MODIFICHE SULLA LOTTA ALLA FRODE CHE LEDE GLI INTERESSI FINANZIARI DELL’U.E. – E’ stato pubblicato in Gazzetta Ufficiale il D. Lgs. 156/2022 (in vigore dal 6 novembre 2022), che modifica (i) il D. Lgs. 75/2020 – di attuazione della direttiva relativa alla #frode che lede gli interessi finanziari dell’Unione europea mediante il diritto penale – e (ii) il relativo reato 231 (Art. 25-quinquiesdecies), che, in relazione alla commissione dei reati tributari, li estende all’ambito di sistemi fraudolenti #transfrontalieri connessi al territorio di almeno un altro Stato membro dell’Unione europea. 

MODIFICA 231 DALLA RIFORMA CARTABIA – L’art. 68 del D. Lgs. 150/2010, recante norme per l’efficienza del processo penale, nonché in materia di giustizia riparativa e disposizioni per la celere definizione dei procedimenti giudiziari (“Riforma Cartabia”, in vigore dal 1 novembre) ha modificato l’art. 64 del D. Lgs. 231/2001 e ha esteso da sei mesi a un anno il termine per la pubblica accusa per richiedere il decreto penale di condanna nei confronti della persona giuridica. La relazione illustrativa alla Riforma Cartabia spiega che tale termine si adegua (i) al termine, anch’esso annuale, di durata delle indagini preliminari per i delitti diversi delle contravvenzioni e (ii) al termine previsto per i delitti di cui all’art. 407 co. 2 c.p.p., per i quali il termine è un anno e sei mesi.

NOMINA DIFENSORE DELL’ENTE – Con sentenza n. 38149 (consultabile gratuitamente per gli iscritti all’associazione AODV231) i giudici della Suprema Corte di Cassazione hanno ribadito l’esistenza di un generale e assoluto #divieto di #rappresentanza #processuale dell’ente anche nei confronti degli amministratori indagati per il reato presupposto – e dunque, non solamente per gli amministratori indagati. La nomina del difensore dell’ente, infatti, anche laddove operata da parte dell’amministratore indagato, può in concreto essere produttiva di effetti potenzialmente dannosi per la società.

ILLECITA INTERMEDIAZIONE DI MANODOPERA E FATTURAZIONE- Secondo quanto stabilito dalla Cassazione con la sentenza n. 33994 (consultabile gratuitamente per gli iscritti all’associazione AODV231), l’illecita #intermediazione di #manodopera – qualora posta in essere sotto le mentite spoglie di appalto di servizi – comporta come ulteriore conseguenza la produzione di fatture oggettivamente false, da cui discende la relativa responsabilità 231 tanto per il soggetto che le emette quanto per quello che le riceve e le utilizza.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

FACEBOOK – È stato recentemente reso pubblico da Meta (prontamente ripreso dalla stampa specializzata) un rapporto secondo il quale sarebbe stata rilevata l’esistenza di oltre 400 app progettate per #rubare le informazioni di accesso degli utenti di Facebook. La società di Menlo Park fa sapere che i risultati sono già stati condivisi con Google e Apple, che gli utenti potenzialmente coinvolti sono stati contattati e, in ultimo, che le app – già prima della pubblicazione del rapporto – sono state #rimosse.

TWITTER – “Qual è il grado di vitalità di Twitter?” è stato il quesito posto qualche mese fa da Elon Musk sul suo account, che ha ricevuto risposta da un report interno del social network, dal titolo “Dove sono finiti i tweeter?”. Il report rivela, tra le altre cose, che, a livello di contenuti, gli interessi degli utenti stanno #cambiando: il mondo delle criptovalute e i cosiddetti contenuti “non sicuri per il lavoro” (Nsfw), che includono nudità e pornografia, sono oggi fra gli argomenti di maggiore interesse (13% del totale). Allo stesso tempo, l’interesse per notizie, sport e intrattenimento sta #diminuendo tra questi utenti. I tweet su questi argomenti sono molto desiderabili per gli inserzionisti.

TWITTER/2 – “The bird is freed”, l’uccellino è stato liberato. L’annuncio arriva giusto qualche ora prima dell’inizio del processo dinanzi al Tribunale del Delaware (che dunque non prenderà mai le mosse): per la cifra di 44 milioni di dollari, il social è stato ufficialmente acquistato dal patron di Tesla. Dopo mesi di reciproche offensive mediatiche, la #controversia “Twitter vs Musk” volge finalmente al termine. La nuova era del social di  viene inaugurata da un’importantissima e significativa decisione del suo nuovo “numero uno”, la #destituzione dei quattro dirigenti più importanti, compreso il CEO Parag Agrawal. Rimaniamo ora in attesa di scoprire le #prossime #mosse di Mr. “Chief Twit”.

TELECOMUNICAZIONI E NUOVE RETI – L’indagine annuale dell’Area studi di Mediobanca sul settore delle telecomunicazioni ha mostrato una netta #diminuzione nel traffico di SMS e di telefonate (la rete mobile in drastico calo rispetto alla fissa), causata dalla evidente diffusione delle reti di nuova generazione per la banda ultra-larga fissa e del 5G. I dati mostrano che, però, il nostro Paese resta #indietro sull’accesso a queste tecnologie e sulle competenze digitali di base. L’indagine paragona anche l’andamento italiano alla media dell’Unione europea, che rimane indietro rispetto a Cina e Stati Uniti, i quali hanno #potenziato gli investimenti per diffusione delle nuove reti mobili.

DIGITALIZZAZIONE E TV – Si è tenuto a Milano il 26 ottobre l’evento “Buongiorno Advanced Tv”, organizzato da AudienceXpress, sul tema della #digitalizzazione e del cambiamento che alimenta i formati della televisione. Si è discusso, tra i vari temi, di targettizzare l’utente per le #campagnepubblicitarie con la possibilità di raggiungere audience ampie e sempre più precise. E’ stata anche rilevata una sensibilità in crescita rispetto al mercato: dalla ricerca condotta da AudienceXpress, è risultato che l’83% dei responsabili marketing italiani si aspetta un incremento dei budget in Advanced TV nel 2023, con il 95% disposto a investire sulle piattaforme supportate dalla pubblicità. Si tratta di percentuali sopra la media europea, che lasciano immaginare un #futuro sistema in grado di offrire opportunità a inserzionisti ed editori.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

44° GLOBAL PRIVACY ASSEMBLY – Questa settimana la Turchia ha ospitato la 44° Assemblea globale sulla privacy. L’evento ha riunito #autorità di regolamentazione, funzionari governativi e molte altre parti interessate provenienti da tutto il mondo. Fra i temi trattati, (i) entro la fine dell’anno l’EDPB chiuderà la sua prima azione coordinata di #enforcement sull’uso dei servizi cloud nel settore pubblico, e aprirà la sua seconda azione incentrata sul ruolo dei responsabili della protezione dei dati all’inizio del prossimo anno; (ii) i delegati statunitensi hanno confermato che l’Organizzazione per la Cooperazione e lo Sviluppo Economico (“OCSE”) sta raggiungendo un punto di svolta nelle #discussioni sulle pratiche di accesso dei governi membri dell’OCSE. Questi colloqui sono stati oggetto di attenzione da parte della comunità, in quanto potenzialmente in grado di sciogliere alcuni attriti sui trasferimenti di dati tra le varie giurisdizioni. Ulteriori sviluppi sul tema potrebbero essere approvati formalmente durante la riunione ministeriale dell’OCSE di dicembre.

AUSTRALIA – A fronte dell’inefficacia dimostrata dalle misure attualmente esistenti, Mark Dreyfus, procuratore generale dell’Australia, ha recentemente annunciato che il Governo locale è in procinto di introdurre una #nuova #legislazione finalizzata ad aumentare le sanzioni connesse a gravi violazioni della normativa privacy.  Il disegno di legge si inserisce in un progetto di più ampio respiro, una riforma completa della legge sulla privacy che dovrebbe vedere la luce già alla fine di quest’anno.

BADEN-WÜRTTEMBERG – L’autorità garante del Baden-Württemberg ha recentemente reso disponibili per il #download (gratuito!) delle icone da includere nelle informative privacy al fine di rendere fruibili in maniera più semplice le informazioni in esse contenute. Attraverso l’uso di questo nuovo #strumento, i titolari del trattamento saranno messi in condizione di poter spiegare agli interessati, in modo chiaro e comprensibile, tutti gli avvisi relativi al trattamento e alla protezione dei dati personali. Le #icone, presentate negli scorsi giorni a Stoccarda, dovranno essere presentate prossimamente anche al Comitato Europeo per la protezione dei dati (EDPB) in modo tale da valutare possibili ed ulteriori usi nel resto d’Europa.

SPAGNA – L’AEPD, autorità garante spagnola, ha recentemente inflitto una sanzione di 12 mila euro (poi ridotta a 9 mila e 600 euro) a Vodafone España per violazione dell’art. 48.1(b) della legge generale sulle telecomunicazioni e, più segnatamente, per #chiamate di #marketing #illegali. Secondo i risultati dell’istruttoria condotta dall’autorità, Vodafone avrebbe ripetutamente inoltrato chiamate di marketing anche nei confronti di chi, essendo registrato all’interno della Robinson list (l’equivalente del nostro Registro delle opposizioni), vi si era preventivamente opposto. 

SPAGNA/2 – Lo scorso 25 ottobre il Garante spagnolo ha annunciato il lancio di un nuovo strumento di consulenza. Si tratta di #AsesoraBrecha, un tool gratuito in grado di supportare i titolari del trattamento e guidarli affinché, caso per caso, capiscano se è necessario o meno effettuare una notifica di #databreach all’autorità competente.

REGNO UNITO – L’Information Comissioner’s Office (“ICO”) ha pubblicato una #dichiarazione il 26 ottobre in cui (i) esprime preoccupazione per l’incapacità degli #algoritmi con tecnologie biometriche di rilevare adeguatamente gli aspetti emotivi delle persone (così creando dei “bias” nei sistemi) e (ii) specifica che una #analisi delle #emozioni nelle tecnologie biometriche si basa sulla raccolta, l’archiviazione e l’elaborazione di una serie di dati personali, tra i quali le risposte comportamentali o emotive e, in alcuni casi, dati particolari. L’ICO ha sottolineato che sta predisponendo una #guida sull’utilizzo delle tecnologie biometriche già utilizzate con successo nell’industria, che sarà pubblicata nella primavera del 2023.

FRANCIA & SUD COREA – L’autorità francese per la protezione dei dati (“CNIL”) e la Commissione sudcoreana per la protezione delle informazioni personali (“PIPC”) hanno annunciato, il 26 ottobre 2022, un accordo di #cooperazione che prevede (i) ricerche congiunte sulle nuove tecnologie e sulle questioni relative alla protezione dei dati; (i) condivisione di best practice ed esperienze, anche nell’ambito delle loro indagini; (iii) organizzazione di seminari e formazione; e (iv) scambio di funzionari tra le due autorità.

News #42: cookie wall e “pagamento”​ con i dati, è rivoluzione; report OCSE sulla corruzione, l’Italia non brilla; TikTok apre il suo marketplace.

Immagine di copertina grazie a Dall-E (Alberto Scirè).

PRIVACY

PAYWALL E COOKIE WALL, ORA SI “PAGA” CON I DATI – Ha fatto molto rumore, anche al di fuori del “circolo” degli esperti privacy, l’iniziativa di Gruppo GEDI, Il Fatto Quotidiano e del Corriere di impostare un #banner cookie nel quale, in alternativa, l’utente può acquistare un abbonamento e rifiutare i #cookie, oppure accedere ai contenuti gratuitamente in cambio di un #consenso alla #profilazione. Senza entrare nel merito dell’impostazione – piuttosto “nuova” in Italia – non si può non rilevare un certo coordinamento tra testate, e una implementazione dei principi del GDPR in ottica alquanto ardita, seppure (almento in linea di principio) non illecita. Il #Garante Privacy ha dichiarato di monitorare attentamente la situazione di queste iniziative, e ha poi aperto una istruttoria.

AGGIORNAMENTO LINEE GUIDA EDPB 9/2022 SUL DATA BREACH – L’EDPB ha aggiornato le linee guida sulla notifica delle violazioni dei dati personali (“data breach”) emesse in precedenza, e poi già aggiornate, ai sensi del GDPR. Le #novità riguardano in particolare il paragrafo 73, in merito alla notifica da rivolgere alla/e Autorità del luogo ove si verifica la violazione, chiarendo che il luogo del rappresentante in UE non è sufficiente per attivare il meccanismo del #onestopshop: la notifica sarà da inviare a ciascuna Autorità locale interessata. Il testo resterà aperto alla consultazione pubblica fino al 29 novembre 2022: dopo tale data, anche in base ai commenti ricevuti, verrà pubblicata una versione aggiornata.

SANZIONE (ANCHE) DAL CNIL PER IL RICONOSCIMENTO FACCIALE – L’autorità francese per la protezione dei dati (“CNIL”) ha annunciato, in data 20 ottobre 2022 una sanzione di 20 milioni di euro a Clearview AI Inc., per violazione degli articoli 6, 12, 15, 17 e 31 del GDPR’, a seguito di denunce di privati e autorità per la protezione dei dati, tra le quali anche il Garante Italiano il 9 marzo 2022. In particolare, i reclami proposti riguardavano l’uso da parte di Clearview AI del software di riconoscimento facciale, e la CNIL ha sottolineato di aver ricevuto diverse denunce in merito alle difficoltà incontrate nell’esercizio dei propri diritti di accesso e cancellazione.

SURVEY SULLA PRIVACY DEI CONSUMATORI – Il sondaggio effettuato da Cisco ha rivelato che la trasparenza è la chiave della fiducia dei consumatori, e ha mostrato, sulla base delle rilevazioni effettuate e presenti nel report, l’aumento della #consapevolezza della privacy tra i consumatori. Il report mostra anche una #analisi approfondita dei risultati dell’indagine e #raccomandazioni su come le organizzazioni possono rispondere alle tendenze e ai desideri dei consumatori.

REGISTRO DELLE OPPOSIZIONI – Dopo tre mesi dall’entrata in vigore, il 27 luglio 2022, del Registro delle opposizioni, l’impressione rilevata dai feedback degli iscritti è che il sistema abbia un netto margine di miglioramento: nonostante la regolare iscrizione, accade spesso che si venga contattati comunque da numeri indesiderati. Le proposte per perfezionare il meccanismo comprendono la creazione di un portale, attraverso il quale gli utenti potranno anche monitorare la loro posizione personale, e l’accesso a tale portale tramite SPID.

USA – L’Interactive Advertising Bureau (IAB), la principale associazione di categoria che rappresenta oltre diverse aziende di comunicazione e pubblicità negli Stati Uniti, ha aggiornato l’accordo sulla Privacy valido per diversi stati (“MSPA”). Esso copre le nuove legislazioni di California, Colorado, Connecticut, Utah e Virginia e include disposizioni che riguardano le transazioni gap, la misurazione, il frequency capping e la pubblicità contestuale.

Non è stato fornito nessun testo alternativo per questa immagine

231

RAPPORTI TRA COLLEGIO SINDACALE E ODV – Pubblicato dall’Associazione AODV231 in collaborazione con AIDC Sezione di Milano un paper molto interessante che si occupa di supportare lo scambio di informazioni tra l’organo preposto al controllo del Modello 231 aziendale e il Collegio sindacale. Il testo ne riepiloga le rispettive esigenze informative e individua i focus e le informazioni che possono costituire il flusso informativo che le due entità si scambiano a supporto delle proprie attività, nel presupposto del continuo miglioramento del sistema di controllo interno.

INDEBITA COMPENSAZIONE – Con le due sentenze n. 32330 e n. 32331 la Corte di Cassazione ha espresso due precisazioni sul reato di #indebita #compensazione (art. 10 quater D.Lgs. 74/2000): (i) sulla natura dell’indebito risparmio che la norma incriminatrice mira a colpire, esso può riguardare non soltanto il mancato versamento di imposte dirette o dell’IVA, ma anche di #contributi assistenziali e previdenziali; (ii) l’evidente inesistenza del credito, che si desumeva dall’insufficiente descrizione dell’attività di Ricerca e Sviluppo dalla quale il credito sarebbe stato generato, rende #irrilevante la mancata acquisizione del parere del Ministero dello Sviluppo Economico ai fini della sussistenza del reato, che non stabilisce, quindi, alcuna pregiudiziale rispetto alle valutazioni del giudice.

REPORT DELL’OCSE SULLA CORRUZIONE INTERNAZIONALE IN ITALIA –  L’Organizzazione per la Cooperazione e lo Sviluppo Economico (“OCSE”) ha pubblicato il “Phase 4 Report – Italy”, monitorando il grado di applicazione della “Convenzione sulla lotta alla corruzione di pubblici ufficiali stranieri nelle transazioni commerciali internazionali”. La Convenzione è stata ratificata anche dall’Italia, che prevede il reato di corruzione di pubblici ufficiali stranieri (art. 322-bis, co. 2, n. 1) c.p.). Dal report emerge che l’Italia ha: rafforzato in modo significativo il proprio sistema normativo per la lotta alla corruzione internazionale (a) allungando i termini di prescrizione del reato; (b) aumentando la quantità delle pene detentive e delle sanzioni interdittive; (c) introducendo un sistema di tutela per i whistleblower; mostrato un livello di applicazione della legge con un ritmo crescente dal 2011; compiuto sforzi considerevoli per rinforzare il proprio quadro giuridico e politico per la cooperazione internazionale e l’estradizione, attraverso verifiche fiscali e collaborazione tra le autorità fiscali e le autorità italiane preposte all’applicazione della legge. Purtroppo, però, i casi di corruzione internazionale trattati in Italia hanno dato luogo a un elevato numero di archiviazioni o proscioglimenti, e quasi tutte le sanzioni penali per corruzione internazionale sono applicate attraverso il patteggiamento; in tema di responsabilità degli enti, le sanzioni pecuniarie sono così basse da essere inadeguate. I termini di prescrizione sono molto più brevi per le aziende che per le persone fisiche. L’Italia deve migliorare nella individuazione delle notizie di reato di corruzione internazionale, nella sensibilizzazione dell’opinione pubblica sul fenomeno, soprattutto verso i pubblici ufficiali e gli imprenditori, anche per promuovere l’adozione e l’applicazione di programmi di compliance anti corruzione internazionale. Il Report è disponibile a questo link.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TIKTOK – La piattaforma TikTok ha presentato il suo nuovo marketplace (“TTCM” o “TikTok Creator Marketplace”) in occasione del summit TikTok world. I nuovi strumenti offrono alle aziende e agli esperti di marketing un modo per ripensare il coinvolgimento con la community di TikTok, attraverso strumenti come (i) il TTCM Match, che crea suggerimenti; (ii) i link di invito, che consentono alle aziende di collaborare con qualsiasi creator; (iii) gaming e content anchors, che favoriscono collegamenti con aziende di gaming e permettono di bloccare un link per scoprire più informazioni sui prodotti e sui servizi.

DATA ACT – Proseguono i lavori del Parlamento europeo per l’approvazione del Data Act, che rappresenta il secondo step della strategia europea in materia di dati, dopo l’approvazione del Data Governance Act a maggio 2022, con entrata in vigore a settembre 2023. In materia di Data Act, Euractiv riporta che il relatore della commissione per il mercato interno e la protezione dei consumatori, Adam Bielan, ha proposto la #rimozione dalla bozza di atto la parte che obbligherebbe i fornitori di servizi cloud a consentire ai clienti di passare a un concorrente entro 30 giorni, garantendo però al contempo l’equivalenza funzionale.

PAGAMENTI SEMPRE PIÙ DIGITALI – L’Osservatorio “Innovative Payments” del Politecnico di Milano, che ha analizzato i trend tecnologici e le principali soluzioni nel mondo dei pagamenti innovativi, consultabile a questo link riporta che nei negozi e nelle attività commerciali la modalità di pagamento preferita è, sempre più frequentemente, quella “contactless”: il transato delle carte prepagate cresce del +19%, quello delle carte di debito del +24%, e anche le carte di credito beneficiano della ripresa dei consumi ad alto importo per i servizi, il turismo e i viaggi aziendali, con una crescita del +21%. 

RETE E BUSINESS AZIENDALE – Il report di NTT DATA (di cui una sintesi è disponibile a questo link) ha mostrato che la scarsa qualità della rete influenza negativamente il business delle aziende. Le aziende sono più performanti quando comprendono il valore di investire in tecnologie strategiche, come reti aziendali core, 5G, edge, intelligenza artificiale. Poiché la rete svolge un ruolo fondamentale nelle strategie di trasformazione digitale e nell’operatività ed elaborazione distribuite, è prevedibile un aumento del numero di aggiornamenti delle reti aziendali. Il report mostra anche che questo sviluppo sta spingendo le organizzazioni a passare a soluzioni di sicurezza centralizzate, basate sui cloud, e, in generale, ad aumentare gli investimenti nella cybersecurity.

INSTANT ARTICLES DI META – Instant Articles è il servizio di Facebook-Meta che permette agli utenti di accedere a siti web validati, che postano link a notizie sulla piattaforma. Ideato nel 2015, Instant Articles non ha avuto grande successo ed è stato utilizzato mediamente dal 3% degli utenti, come ha dichiarato il portavoce di Meta, spiegando che la piattaforma interromperà il supporto per il servizio.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

CALIFORNIA, USA – La CPPA (“California Privacy Protection Agency”) ha rivisto la bozza del California Consumer Privacy Act (“CCPA”), la più recente legge californiana sulla privacy, volta a migliorare i diritti dei consumatori per i residenti. Le revisioni includono modifiche alla definizione di “sforzo sproporzionato” e chiarimenti su come determinare se un ulteriore “scopo divulgato” è compatibile nel contesto della raccolta. 

NEW YORK, USA – La piattaforma e-commerce per la vendita di capi di abbigliamento SHEIN ha ricevuto una sanzione di 1.9 Milioni di dollari da parte dell’Attorney General di New York per un data breach avvenuto nel 2018, che non è stato gestito tempestivamente. Nel 2018 la piattaforma aveva subito un attacco informatico e il furto delle credenziali dei suoi utenti, tra i quali molti statunitensi, ma aveva potuto avvisare solamente una parte di essi. SHEIN ha dichiarato di aver collaborato con l’autorità americana e di aver implementato, dopo l’accaduto, misure di sicurezza adeguate.

BRASILE – L’autorità brasiliana per la protezione dei dati (“ANPD”) ha pubblicato il 18 ottobre 2022 una guida sui cookie, che cerca, in particolare, di identificare le pratiche positive e negative associate all’uso delle politiche sui cookie e sui cookie banner. 

ISLANDA – L’autorità islandese per la protezione dei dati (“Persónuvernd”) ha annunciato di aver firmato una dichiarazione sulla cooperazione continua con diverse autorità dei paesi nordici, tra le quali l’Ufficio del Mediatore per la protezione dei dati, l’Autorità svedese per la protezione della privacy, l’Autorità norvegese per la protezione dei dati, l’Autorità danese per la protezione dei dati, l’Ispettorato dei dati delle isole Åland e l’Autorità delle isole Faroe.

TEXAS, USA – L’Attorney General ha citato in giudizio Google per l’acquisizione e l’utilizzo non autorizzato di dati biometrici, affermando che l’acquisizione di dati come le impronte vocali, attraverso servizi come Google Assistant, senza consenso dell’interessato, viola la legge del Texas. La comunicazione pubblica è disponibile a questo link.

News #41: il metaverso sembra ancora un “deserto”​; Europrivacy approvata come prima certificazione GDPR; carcere per il CISO di Uber

Immagine di copertina di Remy Gieling grazie a Unsplash.

MERCATI DIGITALI

IL METAVERSO È PIUTTOSTO SOLITARIO (ALMENO, PER ORA) – Un interessante articolo di Coindesk, ripreso anche da diverse testate generaliste, racconta dell’ecosistema “Decentraland” – valutato ben più di un miliardo di dollari – in cui ci sarebbero circa 38 (!!) utenti attivi al giorno. Seppur il conteggio potrebbe essere leggermente più alto (se si considerassero non solo le transazioni in bitcoin, ma tutti gli utenti che fanno login, si arriverebe a circa 8.000 utenti al giorno), resta piuttosto evidente che al momento a “entrare nel metaverso” siano in pochissimi, e che il quoditiano sia ancora fortemente agganciato alla realtà “reale”. E a qualcuno, la mente corre subito a Second Life.

… ANCHE SE L’ONLINE DOMINA GLI ACQUISTI – Il report diffuso da BigCommerce, piattaforma ecommerce Open SaaS per marchi B2C e B2B, ha rilevato che molti consumatori (55%) fanno acquisti online più volte alla settimana, e ha sottolineato – forse, con una leggera forzatura – che il Metaverso, le criptovalute e gli NFT sono strumenti già pronti per rivoluzionare il commercio, e le esperienze di acquisto personalizzate e gli incentivi, come le spedizioni gratuite e gli sconti, diventeranno sempre di più dei fattori chiave per gli acquisti.

NORMATIVA UNI PER I BRAND – Presentata al “Brand Festival” di Jesi la nuova normativa UNI/PdR 111:2022 per la progettazione e gestione della marca (o “brand” per gli amanti dell’inglese). Qui il testo completo scaricabile gratuitamente, mentre qui un approfondimento – sintetico e molto utile a capire di cosa si tratta – di Matteo Lusiani.

PHISHING AS A SERVICE – Durante le indagini sull’attività di phishing nei confronti dei propri clienti, gli esperti di Managed Defense hanno scoperto una piattaforma di Phishing-as-a-Service (“PhaaS”) chiamata Caffeine, che, con un’interfaccia intuitiva e un costo relativamente basso, fornisce una moltitudine di funzionalità e strumenti ai suoi clienti criminali per orchestrare e automatizzare gli elementi fondamentali delle loro campagne di phishing. Tra le altre cose, Caffeine fornisce anche modelli di e-mail di phishing destinati all’uso contro obiettivi cinesi e russi; una caratteristica generalmente non comune e degna di nota della piattaforma.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

EUROPRIVACY È LA PRIMA CERTIFICAZIONE GDPR – L’EDPB ha approvato (finalmente) il primo schema di certificazione – di Europrivacy – con il quale ciascun soggetto che lo desidera può seguire il tracciato dell’art. 42 GDPR e dimostrare la propria “compliance” con effetto in tutti gli Stati Membri. Per le aziende, quindi, non resta ora che trovare un (bravo/a) auditor certificato e iniziare il percorso!

GOOGLE RIMUOVE I TUOI RISULTATI DI RICERCA – E’ disponibile da poco il tool di Google “Results about you”, che permette di chiedere la rimozione dai risultati di ricerca di informazioni personali come il proprio numero di telefono o l’indirizzo email. Danny Sullivan di Google ha affermato in una intervista a Gizmodo che la risposta di Google alla crescente sensibilità degli utenti verso le informazioni online che li riguardano passa attraverso la #gestione delle loro richieste in modo attento e consapevole, con attenzione alla rimozione di informazioni che potrebbero avere un interesse per il pubblico. Questa strategia si completa, tra l’altro, con pubblicazioni come il recente paper a tema “privacy by design” in cui BiG prende posizione in merito a questa tematica.

DEEP FAKE, AVVIATA L’ISTRUTTORIA – Il nostro Garante ha avviato una istruttoria sull’app “Fakeyou” di The Storyteller Company, che permette di falsificare la voce di personaggi noti, anche italiani, facendo leggere un testo inserito dall’utente.

EDPB E L’ARMONIZZAZIONE DEL GDPR – Il 10 ottobre l’EDPB ha inviato alla Commissione europea una comunicazione con una lettera contenente una lista di aspetti procedurali, con la finalità di migliorare l’armonizzazione del GDPR e delle relative procedure. La lista contiene, tra le altre cose: lo status e i diritti delle parti nelle procedure amministrative; scadenze delle procedure; requisiti per l’ammissibilità o il diniego dei riscontri; i poteri investigativi delle Autorità Garanti; e l’implementazione pratica delle procedure di cooperazione.

CONDANNATO AL CARCERE IL CISO DI UBER – Il verdetto della giuria della Corte Federale di San Francisco ha condannato Joe Sullivan, (ex) Chief Information Security Officer di Uber licenziato dalla società nel 2017, per gravi responsabilità nell’insabbiamento di data breach subiti dalla startup che ha rivoluzionato il settore dei trasporti. La Corte ha affermato che le aziende che conservano i dati dei loro clienti hanno la responsabilità di proteggerli e di agire correttamente quando si verificano dei data breach; si è aggiunto anche un comunicato del Dipartimento di Giustizia della California, molto interessante. Qui i dati del processo.

IAPP TECH VENDOR REPORT – Pubblicato il report di IAPP sulle tendenze privacy del 2022, in cui si analizzano ben 346 fornitori di tecnologia attivi nel settore.

Non è stato fornito nessun testo alternativo per questa immagine

231

FONDI INAIL PER PROGETTI DI SICUREZZA SUL LAVORO – Il 16 novembre prossimo si terrà un “click day” durante il quale saranno assegnate le risorse del bando ISI INAIL 2021, destinato a fornire contributi a fondo perduto per progetti in materia di salute e sicurezza sui luoghi di lavoro: le iscrizioni saranno aperte dal 28 ottobre prossimo.

MODELLO ORGANIZZATIVO ADOTTATO MA NON ATTUATO – Con la recente sentenza n. 38025/2022 (disponibile per gli iscritti all’Associazione #AODV231) la Cassazione ha respinto il ricorso di una società, condannata in forza del D.Lgs. 231/2001, la quale lamentava la mancata riduzione della sanzione pecuniaria seppur a fronte dell’adozione di un Modello Organizzativo. La Suprema Corte ha sottolineato che l’ente può beneficiare di una riduzione della sanzione se, oltre ad aver adottato un Modello Organizzativo, lo ha reso anche operativo: e non è sufficiente la mera nomina di un Organismo di Vigilanza.

FRENA LA LOTTA ALLA CORRUZIONE – La pubblicazione del report di Transparency International “Exporting Corruption 2022 – Assessing Enforcement of the OECD Anti-Bribery Convention” ha visto attivi nella lotta alla corruzione sempre meno paesi (solo USA e Svizzera in maniera rigorosa), e sanzionato l’Italia con il passaggio di applicazione della convenzione da “moderato” a “limitato”. La insostenibile durata dei processi è al banco degli imputati insieme a inadeguati sistemi di whistleblowing.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

BELGIO – Il Garante belga si è pronunciato sui ricorsi presentati da diverse persone che venivano riprese da una videocamera privata, installata – senza previa registrazione agli uffici competenti – allo scopo di sorvegliare le motociclette del proprietario di un giardino. Dal provvedimento che ha sanzionato il Titolare del trattamento si comprende che le registrazioni delle persone fisiche con telecamere di sorveglianza sono dati personali; e ciò supera la non-applicabilità del Regolamento alle persone fisiche nell’esercizio di attività puramente personali o domestiche. all’art. 2(2)(c) del GDPR.

OLANDA (E FLORIDA) – Un tribunale olandese ha ordinato a un’azienda di sviluppo software con sede in Florida di pagare 75.000 euro a un ex dipendente che si era rifiutato di lasciare la webcam accesa. Il residente nei Paesi Bassi, che lavorava per CHETU, ha dichiarato che i requisiti di condivisione dello schermo e di utilizzo della webcam da parte dell’azienda erano “un’invasione” della privacy e violavano le norme sulla privacy dei dati.

AUSTRALIA – Approvata dal ACTU locale una risoluzione per la protezione dei dati personali dei dipendenti, in cui si delineano le linee guida per le aziende a tutela dei lavoratori. Tra i tanti spunti, il divieto di usare geolocalizzazione e biometria laddove non vi sia una necessità particolare, e l’obbligo di dotarsi di policy specifiche e chiare.

G7 – Pubblicato in seno all’OECD un documento relativo ai trasferimenti internazionali di dati personali, che punta a supportare l’agenda dei paesi più industrializzati e tende a uniformare – ove possibile – l’approccio. Molto interessante alla luce dei recenti cambiamenti in USA, in Cina e in Russia, oltre che delle novità legislative dell’Unione Europea (DMA).

News #40: arriva un nuovo accordo USA-UE sui dati (parte speciale!); norme sul whistleblowing; il TAR annulla la sanzione AGCM ad Amazon e Apple 

Immagine di copertina di Justin Luebke grazie a Unsplash.

SPECIALE DATA TRANSFER USA-UE

Per quanto sia ormai cosa nota – che si trascina da tempo senza particolari novità utili – la questione del “trasferimento di dati” tra UE e USA e le sue ricadute sull’utilizzo dei servizi forniti dalle società americane è giunta questa settimana ad un importante punto di #svolta.

Abbiamo quindi preparato un breve focus delle risorse ad oggi disponibili, per capire meglio cosa sta accadendo: seguiranno approfondimenti specifici man mano che la “novità” sarà commentata dagli attori in campo – incluso, e certo non ultimo, Max #Schrems, che ha già manifestato dubbi sul “passo in avanti” compiuto dall’amministrazione Biden e che #vigilerà con occhio attento sulle “svolte” della legislazione in materia di data protection.

Il nuovo E.O. di Biden

Il 7 ottobre il Presidente USA ha firmato un “Executive Order” (E.O.) finalizzato a consentire l’implementazione del nuovo EU-US Data Privacy Framework (“DPF”): in un fact sheet la Casa Bianca ha pubblicato i contenuti cardine di questa importante decisione, che mira a consentire all’Unione Europea (e nello specifico alla Commissione) di pronunciarsi nuovamente sulla #adeguatezza degli Stati Uniti d’America rispetto al libero flusso di dati personali sulle sponde dell’atlantico. L’annullamento del precedente Privacy Shield nel 2020, infatti – ad opera della sentenza #SchremsII – aveva reso complesso, e a tratti impossibile (vedi vicenda Google Analytics), utilizzare strumenti forniti da soggetti americani o comunque collegati a società USA-based.

Q&A pubblicato dalla Commissione UE

Al di qua dell’oceano, l’Unione Europea non si è fatta trovare impreparata. Lo stesso giorno la Commissione UE ha pubblicato una pagina di domande & risposte in cui dettaglia perchè, dopo l’annuncio congiunto del 25 marzo scorso, questo E.O. è un passo nella direzione di un nuovo accordo. In particolare:

  • sono previste salvaguardie di legittimità verso l’accesso ai dati personali da parte delle agenzie federali USA, con limiti legati alla necessità e proporzione di tutela di reali e legittimi interessi pubblici;
  • è previsto un meccanismo giudiziale di diversi livelli, a tutela di lamentele e situazioni limite (o in violazione della normativa), che include una corte dotata di poteri.

Cosa succede ora?

Al momento, nulla di significativo per l’uso di #GoogleAnalytics o di altri tool a matrice USA: come chiarisce anche il fact sheet della Commissione UE, al momento deve essere valutata l’adeguatezza dell’E.O. di Biden per arrivare ad una nuova decisione sui flussi di dati personali USA-UE, oltre che un nuovo “schema di certificazione” emesso dal Dipartimento del Commercio USA che stabilisca i requisiti per le società USA.

Certamente, l’uso delle clausole contrattuali tipo (“SCC”) e degli altri meccanismi già in vigore resta valido, e andrà rivalutato alla luce della situazione aggiornata: ci si chiede se può considerarsi ora meno rischioso il trasferimento di dati verso gli USA, dopo che l’E.O. ha superato (almeno in parte) i dubbi riguardanti il FISA 702 e l’E.O. 12333 al centro della sentenza Schrems II di annullamento del Privacy Shield.

Commenti a caldo

Non sono mancate le reazioni a questo importante annuncio: forse la più rilevante – e facile da prevedere – è stata quella di Max Schrems che, con la sua no-profit “NOYB” (None Of Your Business) ha pubblicato un primo articolo di revisione in cui propende per la non sufficienza di questo E.O. rispetto alle necessità poste dal diritto UE per una decisione di adeguatezza che sia solida ed effettiva. Segnaliamo anche una revisione “strutturata” del testo dell’E.O. sempre prodotta da NOYB, molto interessante.

A quando la decisione di adeguatezza?

Probabilmente non prima di alcuni mesi, dato che è necessario il parere – non vincolante – dell’EDPB (garanti europei riuniti) e dei singoli Stati Membri: NOYB ipotizza la primavera 2023, mentre l’annuncio di marzo poneva il prossimo autunno come la deadline sperata.

  • PRIVACY & CYBERSECURITY

MESE EUROPEO DELLA CYBERSECURITY – La ricorrenza rappresenta un’occasione per affinare la percezione dei #rischi connessi agli attacchi informatici, migliorando gli strumenti per difendersi. Gli esperti sottolineano ormai costantemente l’importanza di disporre di #backup dei propri dispositivi (“business continuity”, “disaster recovery”), e la sicurezza delle credenziali di autenticazione usate; ancora, il mese della cybersecurity è un buon momento per dare un’occhiata a #report come il Rapporto Clusit 2022, che mostra come phishing e ransomware siano fra le tecniche più utilizzate per gli attacchi.

CORTE DI GIUSTIZIA E DANNI PRIVACY NON MATERIALI – E’ stata di recente pubblicata l’opinione dell’Avvocato Generale della CGUE riguardo al caso (austriaco) C-300/21 di valutazione dell’automatismo, o meno, dei danni immateriali generati da una violazione del GDPR, di cui all’art. 82. In estrema sintesi, il parere propende per un diniego di ogni automatismo e una necessità di provare in concreto un effettivo danno per la persona, evitando qualunque presunzione o impostazione predefinita che superi il caso di volta in volta all’attenzione del giudice.

  • 231

WHISTLEBLOWING – Il prossimo 10 dicembre è una #data da tenere a mente per la compliance 231: il Governo sarà tenuto entro quel termine a rivedere la normativa in materia di #whistleblowing per adeguarla a quanto previsto dalla Direttiva UE 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell’Unione. Tra le novità che il Governo potrebbe introdurre nel recepire la normativa europea è compresa la #estensione dell’ambito applicativo del whistleblowing ad altri settori, quali la protezione dei dati personali, la sicurezza informatica e la sicurezza dei prodotti e dei trasporti.

  • MERCATI DIGITALI

TAR DEL LAZIO ANNULLA SANZIONE ANTITRUST  Con la sentenza n. 12507/2022 il TAR del Lazio (Sezione Prima) ha annullato le sanzioni comminate ad Amazon e ad Apple dall’Autorità Garante della Concorrenza e del Mercato (“AGCM”). All’esito del procedimento I842 (“VENDITA PRODOTTI APPLE E BEATS SU AMAZON MARKETPLACE”), le società avevano ricevuto, rispettivamente, sanzioni per 114.681.657 Euro e 58.592.754 Euro, per aver stipulato un’intesa ritenuta anticoncorrenziale e contestata in violazione dell’art. 101 TFUE. L’intesa era volta a riservare la vendita di prodotti Apple/Beats (prodotti Apple), tramite il #marketplace di Amazon agli Apple Premium Resellers, e riguardava una clausola del contratto stipulato tra Apple e Amazon nel 2018 che aveva l’obiettivo di contrastare la contraffazione presente nel marketplace online e, in particolare, in quello di Amazon. Le #censure proposte dalle ricorrenti – (1) tardività dell’avvio del procedimento; (2) violazione del contraddittorio in relazione alle informazioni rilevanti per la sua difesa; (3) irragionevolezza del termine a difesa – sono state accolte dal TAR del Lazio, che ha annullato i provvedimenti sanzionatori dell’AGCM.

DOCUMENTO CONTRO LA CONTRAFFAZIONE ONLINE – In occasione della settimana Anticontraffazione 2022, il 4 ottobre il Ministero dello Sviluppo economico ha presentato un documento programmatico condiviso, oltre che con società quali Amazon, Alibaba, Ebay, Meta, Google Italy, Yoox, Tik Tok, anche con il Movimento italiano genitori (“MOIGE”) e con l’Associazione per la tutela della proprietà intellettuale INDICAM. La finalità del programma è quella di tutelare i consumatori e le imprese dalla #contraffazione sul mercato online, notevolmente cresciuta durante il periodo Covid.

OPEN TERMS ARCHIVE  Un software gratuito e open source realizzato dal team dell’Ufficio dell’Ambasciatore francese per gli affari digitali. Il suo codice sorgente può essere liberamente riutilizzato e costruito, a condizione che i miglioramenti siano resi disponibili alla comunità alle stesse condizioni. Il suo funzionamento prevede che i #testilegali di un servizio online vengano riportati e poi tracciati da parte di collaboratori volontari che, più volte al giorno, li scaricano e archiviano e, quando sono individuati cambiamenti, li registrano e li espongono.

TWITTER-MUSK SAGA – Continuiamo con gli aggiornamenti sulla vicenda: il processo al momento è stato #sospeso per tre settimane, durante le quali saranno svolti dei negoziati volti a trovare un accordo transattivo e a consentire di concludere l’acquisto di Twitter da parte del magnate sudafricano. Entro il prossimo 28 ottobre sapremo di più.

  • NEWS DAL MONDO

UK – Annunciato dal nuovo Segretario di Stato per il Digitale, la Cultura i Media e lo Sport un “nuovo approccio” al trattamento dei dati che vorrebbe prendere una direzione divergente rispetto al GDPR e alla normativa attualmente in vigore, lo “UK GDPR”. #Preoccupante, a detta di molti commentatori, che in una fase così complessa a livello internazionale si decida di modificare nuovamente il framework operativo per un paese così importante, mettendo in pericolo anche la decisione di adeguatezza (provvisoria) emessa dalla Commissione UE.

USA  Il 4 ottobre 2022 la Casa Bianca ha un dato avvio a un progetto per una Carta dei diritti dell’intelligenza artificiale, che ruota intorno a #cinque #principi per la progettazione, l’uso e l’implementazione di sistemi automatizzati volti a proteggere il pubblico americano: (i) Sistemi sicuri ed efficaci; (ii) Protezioni contro la discriminazione algoritmica; (iii) Privacy dei dati; (iv) Avviso e spiegazione; (v) Alternative umane, considerazione e ripiego.

ARIZONA  Google LLC e il Procuratore Generale dell’Arizona hanno raggiunto un #accordo per 85 milioni di dollari a conclusione del processo per pratiche ingannevoli e sleali nei confronti degli utenti. Google LLC raccoglieva, senza consenso, i loro dati sulla posizione personale monitorando gli smartphone, anche quando i consumatori avevano disabilitato la cronologia delle posizioni.

INDIA – Sarà la sessione invernale del parlamento locale a valutare la #nuovanormativa (revisionata) in materia di data protection: lo ha annunciato il governo alla Suprema Corte indiana.

News #39: un nuovo passo verso il flusso di dati USA-UE; norme in arrivo per in ambito cyber resilience e AI; cambiano ancora alcuni reati 231

Immagine di copertina di Photoholgic grazie a Unsplash.

PRIVACY & CYBERSECURITY

VERSO UN NUOVO PRIVACY SHIELD – Politico ha riportato, nei giorni scorsi, che la Casa Bianca potrebbe #pubblicare l’atteso Executive Order a firma del Presidente Biden riguardo ai trasferimenti transatlantici di dati durante la prossima settimana. Nelle intenzioni dell’amministrazione federale USA, infatti, l’ordine del Presidente dovrebbe iniziare a porre le basi per una #soluzione alle problematiche che da diverso tempo vedono contrapposte le norme e i principi fondanti del GDPR rispetto alle pratiche di #sorveglianza negli Stati Uniti poste in essere dalle agenzie federali. Max Schrems ha già annunciato che, con NOYB, valuterà a fondo e con grande rigore questa novità: staremo a vedere.

PIANO ISPETTIVO DEL GARANTE ITALIANO – Pubblicato nei giorni scorsi il piano di ispezioni e attività per il periodo luglio-dicembre 2022: figura, in primo piano, l’attività in merito al tema “Google Analytics” (e non poteva essere diversamente), oltre a verifiche in ambito dati personali particolari (GreenPass, siti di incontro, intelligenza artificiale).

CONSIP E ACCORDI CYBERSECURITY – CONSIP procede con nuovi accordi e iniziative per la #digitalizzazione della Pubblica Amministrazione, con un’attenzione particolare ai servizi di sicurezza. Tra le varie opzioni messe a disposizione dal nuovo contratto figurano il “Security Operation Center”, che garantirà la corretta operatività dei sistemi attraverso la prevenzione, la gestione e la risoluzione di #criticità di sicurezza; il “Next Generation Firewall”, che consente il filtraggio del traffico di rete interno ed esterno, limitando o bloccando gli accessi non autorizzati e i malware; il “Web Application Firewall”, che abilita il monitoraggio e il blocco del traffico di un servizio Web, proteggendo gli enti pubblici dagli attacchi incorporati nei dati trasmessi dalle applicazioni online.

CYBER RESILIENCE ACT – E’ stata pubblicata la proposta di Regolamento (i cui aggiornamenti sono disponibili su questo sito dedicato) sulla #cybersecurity dei prodotti digitali (“European Cyber Resilience Act”). Lo scopo della normativa è migliorare la percezione della cybersecurity nelle varie fasi dello sviluppo di un prodotto. Fra i risultati attesi figurano, in particolare: un miglioramento della sicurezza dei prodotti con elementi digitali sin dalla progettazione e fase di sviluppo e durante l’intero ciclo di vita; la garanzia di un #framework di cybersecurity che faciliti la conformità per i produttori di hardware e software; un miglioramento della #trasparenza delle proprietà di sicurezza dei prodotti con elementi digitali.

TIKTOK: TRATTATIVE, SANZIONI E MODIFICHE PRIVACY – La piattaforma TikTok, della società di Pechino “ByteDance”, sta attuando importanti revisioni in tema di privacy. Già da due anni sono in corso trattative con gli Stati Uniti d’America, che avevano ordinato alla società cinese una cessione di TikTok, nel timore che i dati degli utenti americani potessero entrare nella disponibilità del governo comunista cinese. ByteDance, assicurando di poter soddisfare le preoccupazioni per la sicurezza nazionale degli Stati Uniti, apporterà modifiche alla sicurezza e alla governance dei dati nella piattaforma senza che la società madre debba venderla. Al di qua dell’oceano, la Information Commissioner’s Office britannica (“ICO”) ha inviato un avviso di intenti a TikTok, prospettando una sanzione di 27 milioni di sterline, per violazioni della legge sulla protezione dei dati del Regno Unito verificatesi tra il 2018 e il 2020. Nel frattempo, TikTok ha introdotto il tasto “Non mi piace” per manifestare dissenso nei confronti di un commento: una novità che nata con l’intento di aiutare a individuare commenti inappropriati, dando voce ai riscontri diretti degli utenti.

IL GARANTE E LE TELEFONATE INDESIDERATE – Pubblicato sul sito del Garante italiano (qui) un modulo standard per segnalare all’Autorità la violazione della recentissima normativa in materia di Registro Pubblico delle Opposizioni: in questo modo qualunque cittadino potrà informare l’Autorità della ricezione di telefonate indesiderate.

  • 231

INTEGRAZIONE AL D.LGS. 75/2020 – Il Consiglio dei Ministri, nella seduta del 28 settembre, ha approvato il decreto correttivo del D.Lgs 75/2020, prevedendo delle #specifiche in tema di: (1) appropriazione indebita da parte del funzionario pubblico; (2) congelamento e confisca degli strumenti e dei proventi dei reati o di beni di valore corrispondente; (3) indebita percezione di erogazioni a carico totale o parziale del Fondo europeo agricolo di garanzia e del Fondo europeo agricolo per lo sviluppo rurale; (4) reati concernenti le dichiarazioni IVA. Il Comunicato stampa della seduta è disponibile a questo link, mentre la relazione tecnica del Governo è disponibile a quest’altro link.

NON MIGLIORA L’APPORTO DELLE PA ALL’ANTIRICICLAGGIO – Secondo l’analisi di alcuni esperti, l’Unità di Informazione Finanziaria (“UIF”) ha rilevato una debolezza della Pubblica Amministrazione nel controllo dei reati di #riciclaggio che riguardano anche il nuovo canale di finanziamenti aperto dal #PNRR. Non sono soddisfacenti, tra le altre cose, la percentuale molto bassa di PA iscritte al portale Infostat-Uif e la scarsa segnalazione di situazioni di #rischio. Il documento di approfondimento dei Quaderni nell’antiriciclaggio è disponibile a questo link.

  • MERCATI DIGITALI

IDENTITA’ DIGITALE EUROPEA – Il Consiglio dei ministri dell’Unione europea, attualmente presieduto dalla Repubblica Ceca, ha formulato – come riporta Euractiv nella propria newsletter – una nuova versione del testo sull’Identità Digitale Europea. Oltre ai temi centrali dell’interazione con le altre normative, dell’uso offline del servizio e della relativa certificazione, dal punto di vista della protezione dei dati personali saranno assicurati metodi di protezione e di identificazione degli utenti, tra i quali l’autenticazione ad almeno due fattori e la minimizzazione dei dati attraverso la divulgazione selettiva.

DISSENSO SULLA LEGGE EUROPEA PER l’IA – Alcune associazioni europee del settore #software hanno chiesto all’Unione europea di eliminare i piani per includere la regolamentazione dell’IA generica, compresa l’elaborazione del linguaggio naturale e i chatbot, nel suo nuovo atto sull’IA, descrivendolo come un #allontanamento fondamentale dal suo obiettivo originale. Le associazioni hanno esortato le istituzioni dell’Unione europea a respingere le recenti aggiunte alla legge che includono la regolamentazione dell’IA generica e mantenere un #approccio basato sul rischio. La richiesta è disponibile a qui.

EURO DIGITALE – Il Presidente della Banca federale tedesca ha suggerito alle istituzioni economiche e finanziarie europee la possibilità di adottare una moneta unica europea digitale. L’idea era già stata considerata da parte della Banca Centrale europea, ma non è priva di rischi e necessita un’analisi adeguata. Lo scenario finanziario potrebbe, infatti, essere dominato da una valuta digitale dominante, e per scongiurare questo pericolo – afferma Fabio Panetta, membro del comitato esecutivo della Banca Centrale europea – bisogna prendersi tutto il tempo necessario.

UN PRIME DAY IN PIU’- Oltre al Prime Day di Amazon, organizzato a luglio, l’azienda proporrà altri due giorni di sconti il prossimo mese: anche l’11 e il 12 ottobre saranno offerte merci a prezzo scontato ai clienti Prime. È la prima volta in cui l’evento viene organizzato due volte l’anno. Questo ulteriore Prime Day può essere interpretato come un segnale di rallentamento degli scambi commerciali della piattaforma, dovuto alla recente crisi: risulta, infatti, che anche altre aziende stanno cercando di contrastare gli effetti di rallentamento dei commerci.

  • NEWS DAL MONDO

NORVEGIA – La Commissione per la Privacy, a seguito del mandato ricevuto dal Governo nel 2020, ha presentato il 26 settembre 2022 un report sulla situazione della data protection nel Paese: l’Autorità Garante locale (“Datatilsynet”) ha accolto con favore il resoconto e ne ha esposto i punti chiave in una rassegna stampa (il report, solo in norvegese, è disponibile a questo link).

USA – La Commissione Federale per le Comunicazioni (“FCC”) statunitense ha firmato dei protocolli d’intesa (“Memorandum of Understanding” o “MoU”) con l’agenzia nazionale brasiliana delle telecomunicazioni e l’Autorità nazionale rumena per promuovere la collaborazione fra i Paesi nella lotta contro le comunicazioni telefoniche indesiderate. Qui il comunicato stampa. 

BELGIO – La Corte d’Appello Belga ha proposto un rinvio di interpretazione alla la Corte di Giustizia dell’Unione europea avente ad oggetto il Transparency and Consent Framework (“TCF”), sviluppato da IAB, una società di pubblicità digitale. La Corte d’Appello, a seguito di numerose denunce e di un’indagine avviata dal Garante, ha chiesto se un TC-String, cioè un codice contenente la decisione di consenso dell’utente, sia un dato personale e quale sia la natura dei contitolari del trattamento. In attesa della pronuncia della Corte di Giustizia dell’Unione europea, il rinvio della Corte d’Appello Belga è disponibile a questo link.

News #38: Google Analytics bocciato anche in Danimarca; focus su 231 e infortuni sul lavoro; concorrenza e GDPR si intrecciano in UE

Immagine di copertina di David Köhler grazie a Unsplash.

PRIVACY

DANIMARCA –  Datatilsynet, autorità danese in materia di protezione dei dati personali, si è allineata con una recentissima pronuncia alle posizioni di altre autorità europee (tra le altre quelle di Austria, Francia e Italia) propendendo per la #illegalità di Google Analytics alla luce dei trattamenti effettuati che comportano, costantemente, un trasferimento di dati personali verso paesi non adeguati. Anche le società danesi si trovano dunque al fatidico bivio: implementare misure aggiuntive, allo scopo di rendere “legale” lo strumento (come, ad esempio, la psedunimizzazione), o smettere definitivamente di utilizzarlo. In aggiunta, l’autorità si è soffermata anche sulle misure tecniche previste per GA4, sostenendo che a prima analisi esse siano comunque #inadeguate a garantire trattamenti corretti.

ELEZIONI – Il Garante per la protezione dei dati personali ha inviato una richiesta urgente di chiarimenti a Facebook in merito alle attività da questa intraprese in occasione delle elezioni politiche dello scorso 25 settembre. La piattaforma aveva infatti iniziato una campagna – nei confronti dei soli utenti maggiorenni – volta a disincentivare l’astensionismo ed invogliare i suoi utenti al voto. Tuttavia, memore della sanzione comminata per lo scandalo “Cambridge Analytica” e del progetto “Candidati” avviato per le scorse elezioni politiche del 2018, il Garante preferisce vederci chiaro: le informazioni relative agli  orientamenti politici, infatti, rientrano nel novero dei dati personali “particolari”di cui all’art. 9 GDPR.

PLENARIA EDPB – Durante l’ultima riunione plenaria, il Comitato Europeo per la Protezione dei Dati (EDPB) ha discusso e pubblicato tre interessanti documenti: (1) la lettera aperta sul rifiuto di approvazione del proprio budget 2023 da parte della Commissione (di cui abbiamo già dato conto nella newsletter #37); (2) uno statement sul “EU Police Cooperation Code” (molto critico e che richiede interventi); (3) un parere molto interessante sul “European Privacy Seal”, schema di certificazione inoltrato da un ente tedesco (tra l’altro, uno dei primissimi): l’EDPB non sembra particolarmente positivo sul sistema proposto, sollevando diversi punti critici e individuando numerosi aspetti da migliorare. Al garante locale – tedesco – l’ultima parola.

RIFORMA PROCESSO PENALE – Il Garante per la protezione dei dati personali ha recentemente dato il proprio via libera alla riforma del processo penale (cd. #riformaCartabia), fornendo al contempo importanti suggerimenti in materia di protezione dei dati personali. In ragione della natura dei dati coinvolti – trattasi infatti di dati giudiziari, dunque particolari ex art. 9 GDPR – si è resa evidente la necessità di maggiori tutele. Tra i suggerimenti, la sottrazione delle notificazioni avvenute tramite annunci su internet alla indicizzazione sui motori di ricerca (con relativa fissazione del termine massimo di presenza del contenuto online) e due nuove forme di diritto all’oblio: la prima, che agisce in maniera preventiva, finalizzata a garantire la deindicizzazione dei provvedimenti giudiziari in modo tale da impedire – a monte – che nomi di imputati e indagati siano  oggetto di ricerca, e la seconda, che agisce invece ex post, consentirebbe ai soggetti coinvolti di richiedere la deindicizzazione dei propri dati personali dai provvedimenti.  

DATA RETENTION – Lo scorso 20 settembre la Corte di Giustizie dell’Unione Europea (CGUE) ha emesso la propria decisione nelle cause riunite C-793/19 e C-794/19 (rispettivamente SpaceNet e Telekom Deutschland). Con la sentenza la Corte ha ribadito che non è consentita, alla luce della legge dell’Unione, una conservazione generalizzata e indiscriminata dei dei dati relativi al traffico e all’ubicazione delle telecomunicazioni dei clienti, salvo che in caso di grave minaccia alla sicurezza nazionale. La decisione pare dunque mettere il bastone tra le ruote alla #TKG, la legge tedesca in materia di telecomunicazioni, che prescrive proprio tale obbligo agli operatori del settore della comunicazione elettronica.

  • 231

INFORTUNISTICA – Con la sentenza n. 33976 (consultabile gratuitamente per gli iscritti all’associazione AODV231) la Corte di Cassazione è tornata a pronunciarsi in materia di morte e lesioni del lavoratore. Nel caso sottoposto all’attenzione della Corte, un lavoratore aveva riportato gravi lesioni in seguito ad una scivolata causata dal pavimento bagnato (cadendo aveva infatti inserito la mano all’interno di una vasca di raccolta dell’uva, priva della prescritta griglia di protezione). Respingendo il ricorso presentato dalla società e dal suo presidente e confermando le condanna nei loro confronti, i giudici di piazza Cavour hanno stabilito che ai fini dell’esclusione del vantaggio non rileva che il risparmio di spesa sia esiguo rispetto alla capacità patrimoniale della società. Infatti, sebbene un esiguo risparmio di spesa può in via generale escludere la responsabilità dell’ente, si richiede che tale risparmio di spesa non  insista su un’area di rischio di rilievo.

INFORTUNISTICA/2 – Con la sentenza n. 34943 dello scorso 21 settembre la Corte di Cassazione ha stabilito che una società non risponde del reato di lesioni colpose commesso dal soggetto responsabile del servizio di prevenzione e protezione aziendale.  La scriminante opera nei confronti dell’ente alla duplice condizione che (i) il fatto sia imputabile ad una figura sottoposta alla direzione dei vertici, e che (ii) l’ente abbia in precedenza adottato un modello di organizzazione, gestione e controllo (cd. MOGC). Infatti, quando una fattispecie criminosa sia ascrivibile ad un soggetto sottoposto, l’adozione di un modello libera la società da ogni responsabilità 231 anche nel caso in cui il reato si sia reso possibile dalla violazione degli obblighi di direzione che gravano sui vertici.

AUTORICICLAGGIO – Affinché possa configurarsi il reato di autoriciclaggio è necessario che la condotta, nell’esatto momento della sua esecuzione, sia concretamente idonea a ostacolare la provenienza illecita dei beni. In tal senso si è pronunciata la Corte di Cassazione con sentenza n. 32571 (consultabile gratuitamente per gli iscritti all’associazione AODV231). Il criterio da seguire, dunque, per una corretta individuazione della condotta dissimulatoria è quella della idoneità ex ante.

  • MERCATI DIGITALI

CONCORRENZA E GDPR – Lo scorso 20 settembre l’avvocato generale della Corte di Giustizia dell’Unione, Athanasios Rantos, ha emesso un importantissimo parere circa la possibilità che una Autorità garante della concorrenza possa legittimamente pronunciarsi in merito al rispetto o alla violazione del GDPR. Il parere, che si inserisce in un contesto più ampio – la causa intentata da Meta Platforms Inc. nei confronti della Bundeskartellamt, autorità per la concorrenza tedesca – stabilisce che sebbene non sia compito di un’autorità garante della concorrenza pronunciarsi sul rispetto del GDPR, è sua facoltà (seppur in via meramente incidentale) valutare se le pratiche commerciali poste in essere dagli operatori del settore siano compatibili col Regolamento. Secondo l’avvocato generale, infatti, il fatto che una pratica sia conforme o meno al GDPR è un importante indizio per stabilire se la pratica in questione costituisca una violazione delle regole della concorrenza.

CYBERSECURITY – Per contrastare il numero sempre in crescita di attacchi hacker – soprattutto nei confronti di istituzioni statali – il D.L. n.115/22 (cd. Decreto Aiuti) ha introdotto  la possibilità di compiere operazioni cibernetiche offensive. La possibilità di ricorrere a tale strumento, previsto come extrema ratio, è attribuita esclusivamente al corpo dei servizi segreti e a due condizioni: che ci si trovi in una situazione di crisi o emergenza (con potenziali risvolti sulla sicurezza nazionale) e che, appunto, non sia possibile fronteggiare diversamente la situazione, ad esempio attraverso azioni di mera resilienza.

  • NEWS DAL MONDO

STATE OF PRIVACY ’22 – Ha avuto risonanza mondiale l’evento organizzato dal Garante italiano a Napoli, in cui si sono riuniti i principali stakeholder in materia di protezione dei dati, organizzati in tavoli tematici dedicati alle più importanti sfide del presente e del futuro di questo settore. Si attende ora, dopo gli annunci di comunicazione, la pubblicazione dei lavori e dei risultati di questi incontri, al di là delle immagini dei partecipanti.

FATCA e GDPR – Fabien Lehagre, presidente della Association des Américans Accidentels il cui scopo è difendere i cittadini (americani non) dagli effetti dannosi derivanti dalla extraterritorialità della legge americana, ha recentemente inoltrato una lettera al presidente dell’EDPB con lo scopo sollecitare i Garanti europei ad effettuare una valutazione di compatibilità tra gli accordi sottoscritti dagli stati membri con gli Stati Uniti – c.d. FATCA (Foreign Account Tax Compliance Act) – e il GDPR. Tali accordi, finalizzati a identificare tutte le persone soggette all’imposizione fiscale statunitense che detengono conti in Europa, inevitabilmente comportano un trasferimento di dati. Indispensabile, dunque, valutare caso per caso la compatibilità del FATCA, soprattutto a fronte delle ormai note complicazioni in materia di trasferimenti di dati verso gli USA. Al momento,tuttavia, solamente il garante slovacco ha effettuato una seria valutazione, finendo per dichiarare l’accordo non adeguato alle garanzie richieste dall’art. 46 GDPR. 

GERMANIA – L’ufficio federale tedesco per la sicurezza delle informazioni (“BSI”) ha pubblicato una guida per la gestione della cybersecurity da parte delle piccole e medie imprese, destinato a supportare con un approccio “easy-to-use” il miglioramento delle infrastrutture e l’organizzazione a tutela verso attacchi dall’esterno.

ROMANIA – Il Garante rumeno (ANSPDCP) ha irrogato una sanzione di circa 40mila lei (equivalenti a 8 mila euro) un responsabile del trattamento gestore di una piattaforma immobiliare per divulgazione non autorizzata di dati personali riconducibili a quasi 200mila interessati. Alla base della sanzione, dunque, la mancata implementazione da parte del responsabile delle misure tecniche ed organizzative necessarie per garantire un adeguato livello di sicurezza dei dati personali.

HONG KONG – Il Garante per la protezione dei dati personali di Hong Kong (PCPD) ha recentemente annunciato di aver effettuato un arresto nei confronti di un sospettato del reato di doxxing. Secondo le informazioni attualmente a disposizione, l’imputato – per lungo tempo dipendente e collaboratore del denunciante – avrebbe diffuso illecitamente informazioni personali dell’ex socio, anche a mezzo di manifesti affissi sui muri dell’edificio degli uffici. L’imputato, attualmente in custodia, rischia una multa di 1 milione di HKD (parti a poco più di 120 mila euro) e la reclusione per cinque anni: il reato di doxxing – ossia la diffusione pubblica di dati personali e privati al fine di arrecare un danno all’interessato – è infatti considerato (a buona ragione) particolarmente grave. 

BERLINO – Il Commissario di Berlino, autorità locale in materia privacy, ha inflitto una sanzione di oltre 500 mila euro ad una società per violazione del GDPR, riferisce DataGuidance. La sanzione si ricollega al conflitto di interessi emerso in seguito alla nomina del responsabile della protezione dei dati personali: dalle indagini è infatti emerso che il responsabile della protezione dei dati già ricopriva il ruolo di amministratore di due società del medesimo gruppo – società che, in concreto, aveva il compito di trattare dati personali proprio per conto della società sanzionata, nella quale l’amministratore era chiamato a svolgere le funzioni di DPO. 

News #37: Sanzione privacy in arrivo per TikTok; quante proposte di legge “digital”​ in UE; intanto la Commissione taglia il budget dei Garanti.

Immagine di copertina di Fauzan Saari grazie a Unsplash.

PRIVACY

FONDI UE, UN ALTRO NO –  Nonostante la sensibilità collettiva in materia di protezione dei dati personali divenga di giorno in giorno più alta – così come in crescita sono i dati relativi alle violazioni della normativa in materia – la Commissione Europea ha di recente #negato, per la seconda volta, l’approvazione del #budget prospettico presentato da EDPS ed EDPB. A tale atteggiamento di chiusura le Autorità hanno risposto inviando una lettera aperta al Presidente del Parlamento e al Consiglio europeo, nella quale hanno concentrato le loro preoccupazioni tanto in relazione alla tutela dei diritti dei cittadini in materia quanto sulla stessa credibilità del GDPR.

ORA TOCCA A TIKTOK – La DPC, Autorità garante irlandese, ha recentemente presentato ai propri omologhi europei il progetto di decisione relativo alla #indagine sui trattamenti di dati personali dei minori effettuati da TikTok. Come per le precedenti decisioni (ad esempio, Facebook e Instagram) che riguardano colossi mondiali dei social network, anche in questo caso il percorso per giungere ad una valutazione è dovuto passare dalla #Irlanda, dove anche TikTok ha eletto di avere la propria sede UE, ed anche in questo caos sta richiedendo molto tempo per giungere ad un punto fermo. Si deve al contempo notare il cambio di passo che la Commissioner Helen Dixon ha impresso recentemente, dopo le pesanti critiche piovute addosso all’Autorità locale da parte di altri garanti UE.

G7 DELLE AUTORITA’ PRIVACY – Gli scorsi 7 e 8 settembre si è tenuto a Bonn il secondo #appuntamento del “G7” delle Autorità per la protezione dei dati personali. Sotto la presidenza del Commissario Federale tedesco per la protezione dei dati e la libertà di informazione, i Garanti di sette tra i sistemi socio-economici più importanti al mondo (Francia, Germania, Canada, Gran Bretagna, Italia, USA e Giappone) si sono riuniti per discutere di tutte le questioni, tecnologiche e normative, inerenti al “DFFT” (Data Free Flows with Trust). Al centro del dibattito la delicata questione del #trasferimento #internazionale di dati e, soprattutto, l’Intelligenza Artificiale. A tal proposito il Garante italiano – in persona del Vice Presidente Ginevra Cerrina Feroni – ha proposto ai colleghi di definire un codice etico e culturale in materia di IA, al fine di evitare che le nuove tecnologie connesse all’Intelligenza Artificiale possano sfociare in forme di sorveglianza massiva finalizzati a controllare e manipolare il comportamento degli individui.

  • 231

PRESCRIZIONE DEL REATO PRESUPPOSTO – La Suprema Corte di Cassazione ha stabilito (con la recente sentenza n. 30685/2022, consultabile gratuitamente per gli iscritti all’associazione AODV231) che l’intervenuta prescrizione del reato presupposto #non #incide – in alcun modo – sulla cognizione del giudice in ordine alla responsabilità dell’ente che dalla commissione del reato abbia, in ogni caso, tratto un #beneficio o un #vantaggio.

  • MERCATI DIGITALI

DMA E’ LEGGE – Il Consiglio e il Parlamento hanno firmato il Digital Markets Act, che diviene così ufficialmente legge in Unione Europea. I #gatekeepers sono avvisati: il mercato digitale UE dovrà diventare sempre più competitivo ed equilibrato (almeno nelle intenzioni della normativa), grazie a meccanismi di divieti di pratiche scorrette e diritti aumentati per i cittadini.

CYBER RESILIENCE ACT – Lo scorso 15 settembre la Commissione europea ha annunciato di aver presentato una proposta per una nuova legge in materia di #cybersicurezza: il Cyber Resilience Act. Con l’obiettivo di tutelare consumatori ed imprese da prodotti inadeguati, la legge – qualora approvata – introdurrebbe nuovi requisiti di sicurezza informatica per tutti i prodotti con elementi digitali.

MEDIA FREEDOM ACT – Alle altre novità si aggiunge anche la proposta di regolamento della Commissione UE destinata a proteggere #pluralismo e #indipendenza dei media nel territorio dell’Unione: tra le tante previsioni, il #divieto di “spyware” contro i giornalisti. Intanto, dopo un primo tentativo fallito nel 2018, si è avuta notizia di una seconda iterazione – giunta al traguardo – del “Codice Europeo contro la Disinformazione”, che costituisce un laboratorio di “co-regolamentazione” dedicato a toccare differenti settori: oltre a quello dell’informazione-disinformazione, infatti, si occupa ad esempio di hate speech e disciplina pubblicitaria. Approfondisce il tema il Prof. Oreste Pollicino su lavoce.info, qui.

GOOGLE CONDANNATA – Il Tribunale dell’UE ha deciso: Google condannata a pagare (poco più di) 4 milioni di euro. La decisione chiude un capitolo apertosi nel 2018, quando  la Commissione ha sanzionato la società per #abuso di #posizione #dominante nei confronti di aziende concorrenti, produttrici di dispositivi mobili. Sebbene la recente decisione sia leggermente più favorevole dal punto di vista economico (la sanzione viene infatti “scontata” per circa 200 mila euro) resta ferma la delusione del colosso di Mountain View, che sperava di veder chiusa la questione con l’annullamento totale della sentenza.

  • NEWS DAL MONDO

USA – In occasione del forum pubblico per la sorveglianza commerciale e la sicurezza dei dati – indetto dall Federal Trade Commission e tenutosi lo scorso 8 settembre – l’Electronic Privacy Information Center (EPIC) ha sollecitato la FTC ad adottare una regola in materia di minimizzazione dei dati. L’esortazione si è inserita all’interno di un più vasto discorso pronunciato dal Vice Presidente dell’EPIC, Caitriona Fitzgerald, che ha sostanzialmente manifestato le proprie considerazioni in merito al preoccupante “stato di salute” del sistema privacy statunitense.

ALBANIA/MALTA – L’Ufficio albanese del Commissario per l’informazione e la protezione dei dati (IDP) ha annunciato la firma di un accordo di cooperazione con l’omologo maltese. Scopo dell’accordo, approfondire la conoscenza reciproca e gettare le basi per una migliore collaborazione anche dal punto di vista dello scambio di informazioni.

TANZANIA – La proposta di legge privacy locale è stata sottoposta al Parlamento per approvazione: in caso di successo, proteggerà gli utenti dei servizi di comunicazione online, fatti oggetto dal testo normativo di particolari garanzie e tutele.

SPAGNA – L’AEPD (autorità locale) ha lanciato lo scorso 14 settembre un tool di valutazione del rischio derivante dal trattamento di dati personali, in lingua spagnola: tramite esso, i titolari potranno anche misurare la necessità di effettuare DPIA e assumere misure di contenimento e sicurezza adeguate. Maggiori informazioni qui.

INDONESIA – Anche il paese del sud-est asiatico si avvicina all’approvazione di una normativa locale in materia di data protection (il “PDP Bill”) che al momento risulta approvata dalla Camera dei Rappresentanti con alcune modifiche del Ministro della Comunicazione. Se ne attende ora l’avanzamento in plenaria e la successiva ratifica in legge.

News #36: il Garante boccia l’Ecosistema dei Dati Sanitari; multa salata per Instagram; battaglia (persa) in Giappone per il marchio Gucci.

Immagine di copertina di Surendran MP grazie a Unsplash.

PRIVACY

ECOSISTEMA DATI SANITARI – Il Garante ha recentemente bocciato lo schema di decreto – proposto congiuntamente da Ministero della salute e Ministero per l’innovazione tecnologica e digitale – che include la realizzazione di una nuova banca dati denominata “EDS” (Ecosistema Dati Sanitari). Essa, prevista dalla riforma del Fascicolo Sanitario Elettronico, comporterebbe infatti la #duplicazione di tutti i dati già presenti nel FSE, finendo così per diventare la più grande banca dati di informazioni sanitarie mai creata in Italia. Proprio in virtù delle tipologie di dati coinvolti e del numero di soggetti interessati (si tratterebbe by default di un trattamento sistematico su larga scala) il Garante si è dimostrato molto scrupoloso: ben venga insomma introdurre nuovi strumenti in grado di agevolare lo sviluppo dei servizi sanitari, se nel costante rispetto dei diritti fondamentali delle persone.

CORTE DEI CONTI SOTTO ATTACCO? – Anche la Corte dei Conti pare essere finita nel mirino degli hacker. Secondo alcune indiscrezioni, diversi giudici sono stati raggiunti da un messaggio tramite l’app WhatsApp, apparentemente proveniente dal numero di un collega. Il messaggio, che aveva l’aria di una innocua catena di Sant’Antonio, si è in realtà rivelata invece un’operazione di #phishing, che ha consentito ai cybercriminali di accedere a tutto quanto contenuto nei cellulari dei giudici della Corte. Dopo un’attenta bonifica dei cellulari colpiti dall’attacco, tutto è tornato sotto controllo. Resta, tuttavia, un problema di sicurezza: nel caso in cui dei giudici dovessero usare (o continuare ad usare) WhatsApp per le loro comunicazioni professionali, in quanto più celere rispetto allo scambio di e-mail, le loro comunicazioni rimarrebbero potenzialmente esposte ad ulteriori attacchi.

MULTA PER INSTAGRAM – A seguito di un’istruttoria durata oltre due anni, la Commissione irlandese per la protezione dei dati (DPC) ha imposto ad Instagram una #sanzione di ben 405 milioni di euro (la più alta finora imposta ad una società del gruppo Meta da parte della DPC) per violazione delle norme europee in materia di protezione dei dati personali dei #minorenni. Secondo le motivazioni del Garante irlandese, riportate da Euractiv, Instagram avrebbe consentito a utenti di età compresa tra i 13 ed i 17 anni di aprire e gestire account aziendali, con la conseguenza che i dati personali di minori sono stati resi pubblici, senza che gli stessi ne fossero effettivamente consapevoli.

LE RISORSE DEI GARANTI UE – L’EDPB ha pubblicato ieri, 5 settembre, una “overview” delle risorse di cui ciascuna Autorità nazionale è dotata, sia dal punto di vista economico che di personale a disposizione. Alcuni #spunti interessanti: (i) un tendenziale, seppur minimo incremento dei budget economici a disposizione delle Autorità tra il 2020 e il 2022; (ii) questi budget sono considerati dal 77% delle Autorità come #insufficienti – con la sorprendente eccezione del Garante nostrano; (iii) anche le risorse umane a disposizione tendono all’incremento, non venendo però considerate adeguate alle numerose attività in corso (ad esempio, per l’Italia, lo staff previsto è di 200 persone, a fronte di 139 operatori attualmente presenti). Nel paper sono riportati anche i grafici comparativi dei dati presenti, insieme ad altri spunti molto interessanti.

  • 231

FATTURE INESISTENTI – In materia di dichiarazione fraudolenta mediante fatture per operazioni inesistenti è necessario provare la fittizietà del soggetto formalmente emittente, nel caso in cui si tratti di una società appartenente al Gruppo. È quanto stabilito dalla Corte di Cassazione lo scorso 5 settembre, con la pronuncia delle #sentenze (consultabili gratuitamente per gli iscritti all’associazione AODV231)  n. 32505, n. 32506 e n. 32507. Secondo i giudici di Piazza Cavour, l’eterodirezione da parte della capogruppo non è un elemento di per sé sufficiente per sostenere la fittizietà della controllata e, di conseguenza, qualificare come inesistenti le fatture emesse da quest’ultima.

BANCA DATI ANTIRICICLAGGIO – Uno schema di legge proposto dal Ministero dell’economia e delle finanze (MEF) si propone di aggiornare la legge antiriciclaggio con l’introduzione di un articolo 34-bis istituendo una banca dati informatica centralizzata, previo parere dell’Autorità Garante per la protezione dei dati. Ne riporta diffusamente Maurizio Arena nella sua newsletter n. 14, qui.

  • MERCATI DIGITALI

GUCCI vs CUGGL – Gucci e CUGGL come Davide e Golia. La storica casa di moda italiana perde una importantissima #battaglia contro una piccola (e finora) poco conosciuta start-up giapponese. A scatenare il caso, la comparsa sul mercato di una t-shirt dove una scritta viene oscurata da una striscia di vernice che, in concreto, non permette di distinguere se il testo riporti la scritta “GUCCI” o “CUGGL”. A decidere le sorti dello scontro è stato l’Ufficio brevetti giapponese (JPO), il quale ha #respinto l’opposizione al marchio proveniente dalla maison fiorentina. Le probabilità che un consumatore si confonda e scambi le t-shirt a marchio CUGGL per autentiche Gucci sono, a detta del JPO, davvero molto basse. Vedere questo articolo e la foto qui di seguito per credere (e valutare).

LEGA VS. FACEBOOK – Nel nuovo millennio, si sa, le battaglie elettorali si combattono sui social. Ma c’è chi fa di più, decidendo di combattere addirittura “contro i social”. Un gruppo di parlamentari della Lega ha infatti deciso di presentare un esposto ad #AGCOM (Autorità per le garanzie nelle comunicazioni) contro Facebook. Il motivo, presentato a supporto dell’esposto, è il seguente: il social avrebbe, del tutto arbitrariamente, reso particolarmente difficoltosa (ed in alcuni casi, addirittura, oscurato) la circolazione dei loro post e contenuti elettorali. Al momento, tuttavia, Meta fa sapere che nessuna problematica è stata riscontrata. 

LA DEFINIZIONE DI “METAVERSO” – Il dizionario Merriam-Webster ha introdotto una definizione di Metaverso, che riportiamo in originale: “a persistent virtual environment that allows access to and interoperability of multiple individual virtuan realities“. Primo utilizzo riportato? #1992.

  • NEWS DAL MONDO

BELGIO – Rinviata davanti alla Corte Europea di Giustizia la controversia sul Transparency and Consent Framework di IAB Europe, utilizzato come standard negli ultimi anni per la gestione dei #cookie. Nei mesi scorsi, lo ricordiamo, l’Autorità belga di protezione dei dati personali aveva sanzionato pesantemente IAB Europe per non conformità alla normativa europea, ponendo in grande difficoltà tutti gli operatori che avevano aderito e implementato lo standard. Ne riporta Luiz Alberto Montezuma in questo post.

GERMANIA – L’ondata generata dalla sentenza “Schrems II” – con cui è venuto meno il Privacy Shield, l’accordo per gli scambi UE-USA di dati personali – pare non essersi ancora fermata. Con una recente decisione, la Camera degli Appalti del Baden-Württemberg ha stabilito che anche il mero accesso dall’estero ai dati personali equivale ad un trasferimento. L’interpretazione – evidentemente estensiva – del concetto è stata possibile a fronte della inesistenza, nel corpo del Regolamento UE 2016/679, di una definizione di “trasferimento”.

UK – L’Autorità per la protezione dei dati inglese (ICO) ha recentemente pubblicato una bozza di guida sulle tecnologie per il miglioramento della privacy (PETs) con l’obiettivo di aiutare le organizzazioni a sfruttare il potenziale dei dati mediante un approccio basato sulla privacy by design (dunque, protezione dei dati sin dalla fase della progettazione).

SPAGNA – Il Garante spagnolo (AEPD) ha pubblicato, lo scorso 6 settembre, una guida per tutti coloro che andranno a ricoprire, nei centri educativi, il ruolo di Coordinatore per il benessere e la protezione degli studenti – nuova figura introdotta dalla Legge organica n.8/2021 per la protezione dei bambini e degli adolescenti contro la violenza. Tra le funzioni proprie del Coordinatore, promuovere la comunicazione immediata tra centro educativo e Agenzia, in tutte quelle situazioni che possono verosimilmente comportare un trattamento illecito dei dati personali dei minori. L’AEPD, nella battaglia per la protezione dei minori, ha  anche messo a disposizione un canale prioritario per la segnalazione di materiale pornografico o violento su internet, di cui si richiede l’immediata rimozione.

USA – Proseguono gli studi legislativi verso il mondo digitale, questa settimana con importanti aggiornamenti dalla Federal Trade Commission che ha pubblicato una proposta di legge, e poi ora attende dagli stakeholder commenti entro il 21 ottobre prossimo.