News #35: attachi informatici al settore energia; la Cassazione sulle raccomandazioni “illecite”​; Cuba ha una legge privacy, mentre gli USA no.

Immagine di copertina di Agence Olloweb grazie a Unsplash.

  • PRIVACY & CYBERSECURITY

ATTACCHI INFORMATICI NEL SETTORE ENERGIA – Dopo GSE (Gestore dei servizi energetici) anche ENI finisce nel mirino degli attacchi informatici: secondo le notizie di stampa diffuse nei giorni scorsi, gli accessi non autorizzati alle reti aziendali non avrebbero causato conseguenze di rilevante entità, e tuttavia la soglia di allarme rimane alta. Appare a questo punto evidente l’intenzione di attaccare un settore, come quello energetico, di carattere strategico e attualmente sensibilissimo a causa del conflitto in corso.

CYBERSICUREZZA – Lo scorso 20 agosto è stato pubblicato in Gazzetta Ufficiale il D. Lgs. 123/2022, che adegua la normativa nazionale al Regolamento Europeo 2019/881 in materia di cybersicurezza. Tra le novità introdotte, l’individuazione di una autorità nazionale di certificazione della cybersicurezza (ACN, Agenzia per la Cybersicurezza Nazionale) e la definizione di un sistema sanzionatorio per i casi di violazione.

NEWSLETTER DEL GARANTE ITALIANO – Lo scorso 1 settembre è stata pubblicata la newsletter della nostra Autorità, nella quale si riporta: un parere in merito alla Carta d’Identità Elettronica per i residenti all’estero; un assenso al sistema informativo che monitora i minori non accompagnati in Italia; il via libera del Garante al database centralizzato per la lotta al riciclaggio di denaro derivante da attività criminose e per finanziamento del terrorismo.

REGISTRO OPPOSIZIONI – Dallo scorso 27 luglio è operativo il Registro delle opposizioni, strumento offerto ai cittadini allo scopo di bloccare l’arrivo, anche sul proprio cellulare, di chiamate moleste di marketing diretto. A un mese dal lancio, si registrano quasi due milioni di iscritti: tuttavia, secondo quanto riportato dall’Unione Nazionale Consumatori, soltanto nel 37% dei casi le chiamate sono effettivamente scomparse, registrandosi per altro un 5% dei casi in cui, addirittura, assolutamente nulla sarebbe cambiato, nemmeno in termini di minor frequenza di chiamate. A fronte di questi dati, la proposta dell’UNC prevede un sistema di indennizzi automatici per tutti coloro che, nonostante l’iscrizione, continuano ad essere colpiti da telefonate di marketing.

DATA BREACH PER SAMSUNG – Con un post all’interno del proprio “security response center” il colosso coreano ha confermato rumors che riferivano di un importante data breach (perdita di dati personali) avvenuto “nel tardo mese di luglio”, e conosciuto dall’azienda intorno al 4 agosto, riguardo a utenti e clienti USA. La mancanza di un sistema di reporting tempestivo come sotto il GDPR può aver contribuito a questo importante ritardo di comunicazione, dato che la normativa americana varia da stato a stato. Seguiranno aggiornamenti.

  • 231

RACCOMANDAZIONI ILLECITE – Secondo quanto stabilito dalla Suprema Corte di Cassazione (con sentenza n. 30564 dello scorso 2 agosto, consultabile gratuitamente per gli iscritti all’associazione AODV231) il semplice sfruttamento di una relazione con un pubblico agente o il mero uso di una relazione personale non è sufficiente per integrare il reato di traffico di influenze illecite, di cui all’art. 346-bis c.p. Affinché la fattispecie di reato si realizzi, è necessario che sussista un quid pluris, e cioè che la mediazione illecite si concretizzi in un vero e proprio accordo accordo tra committente e mediatore finalizzato a produrre un indebito vantaggio per il primo.

NUOVO WHISTLEBLOWING IN FRANCIA – E’ entrata in vigore lo scorso 1 settembre la legge di riforma del Whistleblowing nel paese, che tocca anche la “Sapin II” omologa – per alcuni temi e, in particolare, per anticorruzione e antiriciclaggio – della nostra 231/2001. Qui un articolo di Data Guidance e qui la nuova legge, mentre le modifiche alla Sapin II le trovate qui (in lingua francese, naturalmente).

  • MERCATI DIGITALI

DIGITAL LEARNING – Atlas VPN (servizio VPN nato con l’obiettivo di rendere internet sicuro e accessibile a tutti) ha recentemente condotto e diffuso una ricerca sulle app educative presenti nello store di Android, all’esito della quale ha stilato una classifica delle dieci che raccolgono il maggior numero di dati. Dal report, per di più, si evince che nel 70% dei casi tali dati vengono condivisi con terze parti. Le maggiori preoccupazioni si ricollegano al fatto che, nella gran parte dei casi, gli utilizzatori di tali piattaforme sono soggetti minori: tra le app più “dativore” HelloTalk e Google Classroom.

ANTITRUST USA VS. APPLE – Secondo alcune indiscrezioni, il Dipartimento di Giustizia degli Stati Uniti starebbe lavorando in vista di una possibile causa in materia di antitrust contro Apple. Al centro della questione vi sarebbero gli Airtag – gli innovativi dispositivi che consentono di non smarrire gli oggetti sui quali vengono apposti. La causa sembrerebbe ricollegarsi ad un reclamo proposto da Tile, società anch’essa californiana e anch’essa produttrice di simili dispositivi.

TWITTER-WATCH – Prosegue la “saga” di Twitter vs. Musk, questa volta con la diffusione della notizia del deposito di una denuncia a carico del social network da parte dell’ex responsabile della sicurezza, Peiter “Mudge” Zatko, legata a pesanti mancanze nella protezione degli utenti. Naturalmente, gli avvocati del magnate sudafricano si sono subito affrettati a citare il whistleblower nella causa in corso, la cui udienza sarà il prossimo 9 settembre. Trovate un interessante riassunto su Guerre di Rete, qui. Stay tuned!

  • NEWS DAL MONDO

CUBA – Lo scorso 25 agosto è stata pubblicata nella Gazzetta Ufficiale della Repubblica di Cuba la Legge sulla protezione dei dati personali (n.149/2022). La nuova normativa – che  entrerà a tutti gli effetti in vigore trascorsi 180 giorni dalla pubblicazione – garantirà ai soggetti interessati il controllo sui propri dati al fine di evitare il verificarsi di qualsiasi violazione nella trasmissione dei propri diritti personali per finalità diverse da quelle legalmente consentite.

GERMANIA – Il Ministro tedesco del digitale e dei trasporti sta attualmente lavorando su un progetto di legge volto a semplificare la gestione del consenso relativo ai cookie. Più nello specifico, l’obiettivo sarebbe quello di ridurre il numero di pop-up in cui gli utenti si imbattono nel corso della loro navigazione. In tal senso, un’eccezione riguarda i siti finanziati da pubblicità: se l’utente presta il consenso, nessun pop-up verrà più visualizzato, mentre, qualora lo rifiuti, il pop-up finalizzato alla sua raccolta verrà di volta in volta riproposto.

USA – La FTC (Federal Trade Commission) ha recentemente reso noto di aver intentato una causa nei confronti di Kochava Inc., broker di dati. Le ragioni della causa sono da rintracciarsi nell’attività di vendita di informazioni – relative a centinaia di migliaia di soggetti – utilizzate per tracciare gli spostamenti degli individui coinvolti, anche da e per luoghi sensibili (ad esempio luoghi di culto o centri di accoglienza per senzatetto).

HONG KONG – Il Garante per la protezione dei dati personali di Hong Kong (PCPD) ha recentemente pubblicato le “Misure per la valutazione della sicurezza delle esportazioni di dati”, contenenti precisi e rigorosi requisiti relativi alle modalità di effettiva esecuzione di tali valutazioni di sicurezza. L’Autorità locale ha poi provveduto a precisare che, laddove i requisiti siano soddisfatti, potrebbe essere richiesto al soggetto che ha effettuato le valutazioni un inoltro delle risultanze alla Cybercrime Administration of China (CAC, Garante cinese).

NORVEGIA – L’Autorità locale ha recentemente pubblicato i risultati di uno studio condotto in tema di monitoraggio dei lavoratori, che include diversi interessanti spunti su come rendere il luogo di lavoro tecnologico (e lo smart working) più a misura di GDPR. Data Guidance ne fa un riassunto qui, per chi non conoscesse il norvegese.

News #34: negli USA si avvicina la legge privacy federale; novità su smart working e controllo da remoto; prima sanzione privacy in California.

Immagine di copertina di Timothy Dykes grazie a Unsplash.

  • PRIVACY

LAVORATORE SPIATO – Scoprire che il lavoratore non adempie alla propria prestazione mediante l’attività di un investigatore privato non consente, da sola, al datore di lavoro di licenziarlo. È quanto stabilito dalla Corte di Cassazione con ordinanza 25287 dello scorso 24 agosto. Il controllo sull’operato del dipendente, infatti, spetta esclusivamente al datore di lavoro, che non può in nessun caso avvalersi di altri soggetti.

LEGGE FEDERALE USA – Continua il percorso della proposta normativa denominato “ADPPA” (American Data Privacy and Protection Act), questa volta con una inedita lettera, inviata da ben 48 diverse associazioni americane per i diritti civili allo Speaker della Camera, Nancy Pelosi. Il generale consenso sulla necessità di uniformare lo spettro della legislazione USA in materia appare evidente e, mai come prima, potrebbe essere il viatico per un avanzamento della bozza di legge: sul punto è interessante questo articolo dello IAPP, che include anche altri sviluppi normativi USA ad esempio in materia di intelligenza artificiale.

NOYB-GMAIL – NOYB (None of your business), l’organizzazione senza scopo di lucro guidata da Max Schrems, ha recentemente presentato una denuncia contro Google presso l’Autorità garante francese (CNIL). La doglianza di NOYB è basata sulle ripetute violazioni da parte di Google della normativa e della giurisprudenza europea in materia di marketing diretto. Pare infatti che Google, in spregio alla Direttiva ePrivacy e ad una sentenza della Corte di Giustizia (C-102/20), abbia ripetutamente inviato ai propri utenti e-mail contenenti pubblicità, e ciò senza che gli utenti stessi avessero prestato il loro consenso a riguardo.

ISTRUTTORIA SUL VIDEO DI PIACENZA – Il Garante per la protezione dei dati italiano ha annunciato di aver aperto un’istruttoria al fine di individuare le responsabilità – dal punto di vista della normativa privacy – dei soggetti coinvolti nell’ambito del caso della violenza sessuale avvenuta a Piacenza. Il caso, già serio di per sè stesso, ha subito un aggravamento (soprattutto dal punto di vista della vittima, in termini di dignità e tutela) in seguito all’uso strumentale che ne è stato fatto ai fini della campagna elettorale da parte di una forza politica che, per raccogliere consensi, ha provveduto a diffondere online il video.

META E LA SANZIONE IRLANDESE – Rimandata all’autunno la decisione sui trasferimenti internazionali effettuati da Facebook e Instagram (Meta Platforms) a seguito delle contestazioni sollevate da alcune autorità locali alla bozza di decisione della DPC irlandese: principale scoglio, l’assenza (incomprensibile) di alcuna sanzione verso il gigante USA seppur nella conferma della violazione di diversi precetti del GDPR. Si è pertanto aperta la procedura di cui all’art. 65 GDPR, che seguiremo da vicino nelle prossime news.

  • MERCATI DIGITALI

SMART WORKING – Il Governo interviene ancora, in piena estate, sulla materia dello “smart working”, con il Decreto ministeriale n. 149/2022 – pubblicato in Gazzetta Ufficiale lo scorso 19 agosto a firma del Ministro Orlando – che fissa alcune novità. Ai fini di un corretto svolgimento del lavoro in modalità agile, tra l’altro, sembra essere scomparso l’obbligo di effettuare al Ministero la comunicazione dei lavoratori coinvolti prima dell’inizio dello smart working, decadendo anche la relativa sanzione. Ne parla il Sole 24 Ore in questo e in questo articolo, mentre il Ministero ha rilasciato una nota stampa qui.

TWITTER – HateAid, organizzazione tedesca no-profit, ha denunciato Twitter presso l’Ufficio federale di giustizia. La denuncia si fonda sulla violazione di una disposizione del Network Enforcement Act, che prescrive l’obbligo di comunicare i meccanismi con i quali i social gestiscono i reclami: secondo quanto lamentato dall’organizzazione, Twitter non avrebbe adempiuto a ciò nel suo ultimo Rapporto sulla trasparenza, relativo al periodo gennaio-giugno 2022. In una notizia non correlata, l’ex responsabile della sicurezza di Twitter (Peiter ‘Mudge’ Zatko) ha lanciato pesanti accuse contro il social network per gravi e reiterate falle nella gestione della protezione degli utenti e nella lotta ai “bots”: qui un interessante articolo del The Guardian.

GOOGLE ENTRA NELL’OOH – Con un blog post ufficiale Google ha annunciato di aver integrato, nella propria piattaforma di adv, anche strumenti di “out of home”, ovvero pubblicazione di annunci commerciali attraverso videowall in stazioni, aeroporti, centri commerciali e altri luoghi di alto traffico di persone. L’azienda di Mountain View si è subito affrettata a precisare, per inciso, che non saranno utilizzati dati personali per “targettizzare” le pubblicazioni, ma solo “dati contestuali”, ad esempio mostrando annunci relativi allo specifico luogo di diffusione e/o al contesto reale in cui lo spettatore si trova.

  • NEWS DAL MONDO

CALIFORNIA – Arriva la prima sanzione del public enforcement locale contro una società per violazione del CCPA, seppure attraverso un accordo transattivo: Sephora, gigante del retail cosmetico, dovrà pagare 1,2 milioni di dollari per aver venduto i dati degli utenti senza effettuare loro alcuna notificazione o dare accurate informazioni, e inoltre sarà tenuta a specificare tali attività mediante diversi interventi concordati con l’autorità. Il portavoce di quest’ultima, per inciso, ha comunicato che sono in corso di invio circa cento altre lettere ad altrettanti brand, per violazioni della legge locale a protezione dei consumatori.

TURCHIA – KVKK, Autorità garante turca, ha pubblicato una bozza – destinata alla consultazione pubblica – di linee guida in materia di trattamento di dati genetici. Scopo del documento è aiutare i titolari del trattamento nel trattamento di tale delicata categoria di dati, nella scelta di un’adeguata base giuridica e nell’adempimento degli obblighi posti dalla normativa nazionale vigente.

USA – L’Electronic Privacy Information Center (EPIC) e il National Consumer Law Center (NCLC) hanno rilasciato una dichiarazione congiunta per sollecitare la Federal Communication Commission (FCC) a imporre sanzioni più severe nei confronti di tutte le compagnie telefoniche che non sono in grado di proteggere i consumatori da telefonate automatiche di truffa.

ROMANIA- L’ANSPDCP, autorità locale, ha recentemente reso nota la propria decisione di infliggere una sanzione di 10 mila euro a Enel Energie Muntenia SA per aver violato gli artt.32  e 33 del GDPR. Infatti, in seguito ad un incidente (un dipendente Enel ha inoltrato ad un destinatario sbagliato dati personali riferibili ad altro soggetto) Enel Energie non ha provveduto a dimostrare di aver posto in essere tutte le misure necessarie per evitare che un simile inconveniente potesse ripetersi in futuro, nè si è adoperata in termini di segnalazione dell’incidente stesso all’Autorità. 

PERÙ – In occasione della “Festa del bambino”, celebrata in Perù lo scorso 21 agosto, il Garante peruviano (ANPD) ha emanato delle raccomandazioni finalizzate alla protezione dei dati personali e alla prevenzione di molestie sessuali nei confronti di soggetti minori. Tra i consigli offerti dall’Autorità, evitare di fornire indicazioni precise circa la scuola e gli altri luoghi frequentata dai bambini, non accettare richieste da soggetti sconosciuti e evitare di rispondere a questionari e/o domande sui minori che appaiono discutibili e inappropriate.

BRASILE – Meta è stata condannata dal SENACON a pagare un risarcimento di 6.6 milioni di Real (circa 1,2 milioni di euro) per le violazioni derivanti dallo scandalo Cambridge Analytica, tra cui l’analisi e valutazione delle risposte attraverso app e “giochi” al fine di indirizzare il voto dei cittadini durante le elezioni.

News #33: attacchi “hacker” in aumento; attenti a cosa digitate attraverso TikTok e Facebook; Google sanzionato anche in Australia.

Immagine di copertina di Ryan Wilson grazie a #Unsplash.

  • PRIVACY & CYBERSECURITY

CYBERSICUREZZA IN ITALIA – Nel corso della tradizionale riunione del Comitato nazionale per l’ordine e la sicurezza pubblica – presieduto dalla Ministra dell’Interno, Luciana Lamorgese- sono stati resi pubblici dati preoccupanti circa la situazione della sicurezza informatica nel nostro paese. Secondo i dati rilasciati dal Viminale, infatti, gli attacchi hacker rilevati nell’ultimo anno sono oltre il 75% in più rispetto a quelli registrati nell’anno precedente.

IL DPO NON PUÒ DIFENDERE L’ENTE – Il Garante ha sanzionato, con decisione del 9 giugno scorso emersa di recente, il Comune di Policoro per aver affidato al proprio DPO (avvocato) alcuni incarichi di tutela in contenziosi aventi ad oggetto il tema privacy. In questo modo, evidentemente, generando un irrisolvibile conflitto d’interessi tra controllato e controllore, non accettabile in particolare se riguarda un ente pubblico.

GOOGLE NELLE SCUOLE – Continua a restare sulla linea del rigore l’Autorità danese in riferimento all’utilizzo – molto diffuso anche in Italia – di Google Workspace nelle scuole. In un aggiornamento della vicenda, infatti, la municipalità ha inviato una DPIA considerata “insufficiente e scarsa” dalla DPA danese, oltre che non commentata (!!) dal DPO nominato: nessuna misura di salvaguardia, in sostanza, è stata assunta per tutelare i minori dall’uso indiscriminato dei dati da parte della Big Tech USA, che per diversi trattamenti è considerata “titolare” del trattamento, e non responsabile.

AZIENDA vs. AZIENDA – L’Autorità belga per la protezione dei dati ha assunto di recente la posizione secondo cui una azienda, che ritenga un’altra in violazione del GDPR e/o della normativa locale, può adire proprio la DPA per vedere la seconda sanzionata. Si tratta sicuramente di un punto di vista interessante, anche se foriero (come diversi commentatori riportano) di numerosi profili critici, tenendo conto del già alto numero di contenziosi e procedimenti che il regolamento europeo ha portato con sè, a fronte di mezzi e risorse per le autorità locali di poco superiori al periodo ante-2018.

  • MERCATI DIGITALI

APPLE, ALLARME SICUREZZA – Arriva un annuncio ufficiale per tutti coloro che utilizzano dispositivi a marchio Apple: aggiornare quanto prima i propri device alla nuova versione dei sistemi operativi. A spingere la società di Cupertino a diffondere una tale comunicazione (e ad intervenire prontamente con un aggiornamento) sarebbe stata la scoperta di una falla nel sistema che, a quanto pare, consentirebbe ad hacker l’accesso ai dispositivi, con la conseguente possibilità che gli stessi si approprino dei dati personali in essi contenuti.

I SOCIAL SONO KEYLOGGER – Ha aperto un vero e proprio vaso di Pandora la scoperta che anche TikTok, oltre che Facebook e Instagram, effettuano iniezioni di codice informatico nei siti web che vengono visitati attraverso i browser “inclusi” nelle app per dispositivi mobili. La ragione? Con questa tecnica, i social network mappano e leggono ogni tasto premuto – e quindi ogni parola o click effettuato – dall’utente, di fatto venendo a sapere tutto ciò che avviene anche su portali di soggetti terzi, senza esclusione alcuna (e anche su Apple iOS). Si attendono indagini e verifiche, auspicabilmente, da parte delle autorità preposte.

  • NEWS DAL MONDO

AUSTRALIA – L’ACCC (Australian Competition and Consumer Commission) ha annunciato che la Corte federale australiana ha inflitto una salatissima multa a Google, di ben 60 milioni di dollari. Secondo la ricostruzione della Corte, il colosso digitale avrebbe reso dichiarazioni ingannevoli ai consumatori in merito alla raccolta e all’utilizzo dei loro dati personali, in particolar modo per quanto riguarda l’attività di profilazione degli stessi.

PORTOGALLO – L’Autorità nazionale per le comunicazioni portoghese (ANACOM) ha di recente annunciato la pubblicazione di una nuova legge (n.16/2022)  sulle comunicazioni elettroniche. Viene in tal modo stabilito un nuovo regime normativo, attraverso l’abrogazione della normativa precedente (che risaliva al 2004) e il recepimento di alcune direttive comunitarie. Tra le novità, l’obbligo di notifica all’ANACOM in caso di verificazione di qualsiasi tipo di incidente di sicurezza in grado di determinare un significativo impatto sul funzionamento di reti e servizi.

FILIPPINE – La Commissione nazionale per la privacy filippina ha recentemente emesso una circolare sulle linee guida in materia di sanzioni amministrative conseguenti alle violazioni della normativa vigente commesse da titolari e responsabili del trattamento. Scopo della circolare è quello di consentire l’irrogazione di sanzioni dissuasive e proporzionate alle infrazioni effettivamente commesse.

LITUANIA – L’autorità nazionale per la privacy ha recentemente pubblicato una interessante linea guida sulle funzioni e sui compiti del Data Protection Officer, tema sempre complesso è fonte di rischi privacy (come anche la recente decisione italiana riportata sopra ci ricorda).

News #32: i chiarimenti di INL sulla Trasparenza; data breach per Twilio; nuovi incentivi per la gestione dei rifiuti elettronici in azienda.

Immagine di copertina di Ray Hennessy grazie a Unsplash.

  • PRIVACY

D. LGS. TRASPARENZA – L’Ispettorato Nazionale Lavoro (“INL”) ha emanato una circolare, d’intesa con il Ministero del Lavoro, che contiene le “prime indicazioni di carattere operativo” sulla interpretazione di alcuni passaggi dell’ormai famoso D.Lgs. 104/2022, che è entrato in vigore lo scorso 13 agosto. Tra i numerosi spunti – tutti da verificare nella pratica – rileva la possibilità di avvalersi del “mezzo elettronico” per tutte le comunicazioni da effettuare a favore dei lavoratori (informative, istruzioni, ecc.). In relazione alla norma ed ai “nuovi” adempimenti privacy introdotti, segnaliamo poi l’interessante spunto di analisi offerto da Antonio Ciccia Messina su LinkedIn, qui.

UE-GIAPPONE – L’EDPS (European Data Protection Supervisor) ha annunciato di aver emesso un parere circa la possibilità che, nell’esecuzione di un partenariato UE-Giappone, vengano trasferiti anche flussi di dati personali. Sebbene il Giappone sia già dal 2019 considerato un “paese adeguato”, l’EDPS ha espresso il suo parere in termini di necessità di ulteriori e specifici negoziati. In particolare, l’obiettivo sarebbe quello di prevedere – seppur limitatamente a casi espressamente giustificati – l’adozione di misure che comportino la conservazione dei dati nell’ambito dell’UE o, comunque, dello Spazio Economico Europeo (SEE).

CNIL VS. CRITEO – Sebbene non sia ancora stata comminata alcuna sanzione definitiva, la notizia è già diventata virale: il CNIL avrebbe in serbo per il colosso Criteo una sanzione di ben 65 milioni di dollari. L’accusa sarebbe quella di aver violato il GDPR e, più nello specifico, di aver effettuato attività di tracciamento e profilazione in mancanza di una base giuridica valida. Nei giorni scorsi l’Autorità francese – così come prescritto dalla normativa vigente – ha informato Criteo dell’andamento della denuncia a proprio carico. Rimaniamo ora in attesa della definitiva decisione sul caso.

DATA BREACH IN TWILIO – Il sito ufficiale del fornitore di servizi di comunicazione con base USA (SMS automation in particolare) ha rilasciato una news sul proprio blog in cui riporta di aver subito un “social engineering attack” che ha compromesso dati di dipendenti e clienti, scoperto in data 4 agosto. I clienti coinvolti hanno ricevuto una e-mail di alert con una serie di istruzioni e chiarimenti ulteriori.

  • D.LGS. 231

ANTICORRUZIONE – L’Autorità Anticorruzione italiana (ANAC) ha recentemente lanciato un nuovo portale per fornire ai cittadini degli indicatori “oggettivi” al fine di valutare l’intensità del rischio di verificazione di eventi corruttivi. Attraverso il portale – denominato “Misura le corruzione” – l’utente potrà valutare il rischio di ciascuna città o provincia italiana. Tre le macro aree tematiche individuate: indicatori di contesto, rischio corruttivo negli appalti e rischi a livello comunale.

AMBIENTE E RIFIUTI DIGITALI – Pubblicato di recente in Gazzetta Ufficiale il Decreto del Ministero della Transizione Ecologica che mira ad incentivare l’introduzione volontaria dei sistemi certificati di gestione ambientale disciplinati dal Reg. UE (CE) 2009/1221. Si prevede un contributo sino a 15 mila euro per consulenza e attività di certificazione, qualora non si disponga ancora di tali sistemi di gestione.

  • MERCATI DIGITALI

MEDIASET VS. VIMEO – Notizie di stampa riportano che anche il giudizio di appello nella controversia in materia di copyright tra il colosso italiano e la piattaforma Vimeo è andato a favore della prima: confermata la sanzione da 8,5 milioni di euro per violazione dei diritti d’autore su migliaia di filmati tratti da programmi televisivi della media company. La decisione si innesta in un solco già ampiamente tracciato a livello europeo.

GOOGLE E LA TRASPARENZA – Sarà lanciata a breve anche in Italia la funzione “Informazioni su questo risultato”, con cui la big di Mountain View punta a rafforzare la sua “operazione trasparenza” chiarendo all’utente le ragioni per cui vengono mostrati certi risultati nella ricerca sul web. Si segnala, in proposito, anche una e-mail inviata da Google ai propri utenti non paganti (account free) in cui viene ricordato che i servizi offerti sono gratuiti propri grazie alla pubblicità con cui la big tech si finanzia.

WHATSAPP E LA PRIVACY – Con un annuncio tramite Facebook, Mark Zuckerberg ha dichiarato l’arrivo di nuove funzioni “privacy” all’interno del popolare sistema di messaggistica immediata, tra cui il divieto di effettuare screenshot delle chat istantanee e la possibilità di uscire “silenziosamente” dai gruppi.

MUSK-TWITTER – Elon Musk ha venduto azioni di Tesla per un ammontare complessivo di quasi 7 miliardi di dollari. Secondo indiscrezioni, la decisione sarebbe strettamente correlata al caso Twitter: temendo un eventuale giudizio contrario nella causa contro il social network, Musk starebbe cominciando a trovare i fondi necessari per l’acquisto dello stesso, nel caso in cui gli esiti dovessero rivelarsi per lui sfavorevoli.

  • NEWS DAL MONDO

RUSSIA – Il prossimo 1 settembre entreranno in vigore in Russia nuove disposizioni in materia di trattamento di dati personali. Lo scorso 11 agosto il Roskomnadzor, Servizio federale per la supervisione delle comunicazioni, della tecnologia, dell’informazione e delle comunicazioni, ha reso disponibile una sintesi delle imminenti modifiche legislative. Tra le nuove previsioni, l’obbligo di comunicazione di fughe di dati e la previsione di pene più severe in caso di trattamento illegale, da considerarsi come vero e proprio “atto criminale”.

FRANCIA – L’Autorità garante per la protezione dei dati francese (CNIL) ha recentemente pubblicato degli strumenti didattici indirizzati al settore sportivo non agonistico, finalizzati a garantire il rispetto della normativa privacy dettata dal GDPR. Tra gli obiettivi dichiarati dell’Autorità, quello di fornire i medesimi strumenti anche per il settore professionistico.

BANGLADESH – Il Dipartimento delle tecnologie, dell’informazione e della comunicazione bengalese ha emanato un progetto di legge in materia di protezione dei dati, il cui ambito di applicazione territoriale si espanderà anche oltre i confini del Bangladesh. Come specificamente dichiarato nel corpo della bozza, la normativa non si applicherà al trattamento di dati anonimi, crittografati e pseudonimizzati.

AUSTRALIA – Sono al vaglio del governo locale le ipotesi di riforma del “Privacy Act 1988”, nell’ottica di tenere in considerazione la legislazione europea (GDPR in particolare) come standard di trasparenza ed efficacia a cui ispirarsi: l’OIAC, commissioner locale simile alle nostre autorità garanti, ha espresso un dettagliato parere in proposito.

SINGAPORE – L’autorità locale per la trasparenza monetaria (MAS) ha pubblicato un paper sull’analisi del rischio operazionale delle terze parti, all’esito di una approfondita ispezione di diverse banche aventi sede nel territorio. Interessanti i controlli e le indicazioni di governance formulate, specifiche per il settore bancario.

News #31: la Corte UE “estende”​ i dati sensibili; sciarpe “smart”​ allo stadio; nel patteggiamento 231 l’ente non paga le spese processuali.

Immagine di copertina di Kalen Emsley grazie a Unsplash

  • PRIVACY

MATOMO, GA4 E I LORO FRATELLI – Mentre i dubbi continuano riguardo a Google Analytics 4 e alla sua (improbabile, a quanto pare) conformità al GDPR, salvo cambiamenti, emergono informazioni interessanti sui suoi competitor. Tra di essi Matomo, che – avendo avuto grande esposizione mediatica – sta venendo analizzato con sempre maggiore attenzione, e che presenta anch’esso potenziali profili di rischio a seguito del (dichiarato) utilizzo di soluzioni cloud offerte da Amazon Web Services (tramite la controllata neozelandese), in particolare per l’offerta di strumenti di CDN.

LA CGUE INTERPRETA I DATI PARTICOLARI – Una recentissima decisione dell’alta Corte UE (C-184/20) riguardo ad un caso lituano sembra aver aperto la strada per una interpretazione molto ampia di cosa costituisca un “dato particolare” ai sensi del GDPR. In particolare, la decisione ha ad oggetto i cosiddetti “dati inferiti”, cioè quelli derivati da altri dati personali: anche il dato derivato, insomma, è “particolare” se rivela – come nel caso di specie – un orientamento sessuale (o rientra comunque nella casistica di cui all’art. 9 GDPR). Tempi duri per servizi online come quelli di dating, di salute, o di pubblicità su temi “sensibili”?

BLOCKCHAIN VS. GDPR – Un report pubblicato da Bloomberg pone dei seri – e molto interessanti – quesiti sulla convivenza tra i diritti esercitabili in base alla normativa europea e la sostanziale “eternità” delle informazioni immagazzinate attraverso la blockchain, soprattutto riguardo a diritti di rettifica e “oblio”. Non solo: l’incertezza legale può arrivare a riguardare anche il concetto di “dati crittografati”, che con la blockchain rende complesso concedere uno dei diritti fondamentali, quello di accesso.

SCIARPA SMART – Ha fatto notizia l’avvio di una fase di test della “smart scarf” da parte del team inglese del Manchester City, che raccoglie dati utilizzando una serie di sensori a contatto con il collo e le spalle del tifoso che la indossa. Molto interessante come il club abbia rilevato i momenti di maggior interesse, emozione e coinvolgimento dei tifosi oggetto del pilota, lungo il corso dei 90 minuti di partita, tra cui il battito cardiaco e la temperatura corporea.

  • D. LGS. 231

PATTEGGIAMENTO – Con una recentissima sentenza (n. 30610 dello scorso 3 agosto, consultabile gratuitamente per gli iscritti all’associazione AODV231) la Suprema Corte di Cassazione ha stabilito che, in caso di patteggiamento, l’ente non può essere condannato al pagamento delle spese processuali. Secondo l’orientamento dei giudici di Piazza Cavour, infatti, l’istituto della applicazione della pena previsto per le persone giuridiche non è perfettamente sovrapponibile a quello previsto per le persone fisiche (che non prevede il beneficio dell’esenzione dalle spese).

WHISTLEBLOWING –  Lo scorso 2 agosto la Camera dei Deputati ha approvato in via definitiva il Disegno di Legge recante la delega al Governo per poter – finalmente – recepire anche all’interno del nostro ordinamento la Direttiva UE 2019/1937 (cd. Direttiva Whistleblowing). La Direttiva, come è ormai noto, avrebbe dovuto essere recepita in tutti gli Stati Membri entro il 21 dicembre dello scorso anno, tuttavia moltissimi sono stati i Paesi che – proprio come l’Italia –  non hanno provveduto nei termini stabiliti. Aggiunto il tassello del voto della Camera, non ci resta che aspettare il Decreto Legislativo dell’Esecutivo.

MALVERSAZIONE – Ai fini della sussistenza del reato di malversazione (di cui all’art.316-bis c.p.) non è necessario che il finanziamento sia erogato dallo Stato, essendo sufficiente che il denaro sia concesso in presenza di una garanzia pubblica. A stabilirlo è la Cassazione (con la sentenza  n. 28416 dello scorso 19 luglio).

RAPPRESENTANZA PROCESSUALE DELL’ENTE –  La Corte di Cassazione ha recentemente stabilito (con la sentenza n. 28963) che gli amministratori indagati o imputati per il reato-presupposto non possono rappresentare l’ente in giudizio. A fondamento di tale decisione, la Corte ribadisce il tenore dell’articolo 39 del Decreto 231, secondo il quale l’ente non può partecipare al procedimento per il tramite del proprio rappresentante, nel caso in cui questi risulti coinvolto in prima persona nello stesso. Una tale inderogabile previsione è necessaria per assicurare e garantire pienamente il diritto di difesa della persona giuridica.

  • MERCATI DIGITALI

YOUTUBE-AGCOM – L’Autorità per le garanzie nelle comunicazioni ha recentemente sanzionato Youtube (di proprietà di Google) per ben 750 mila euro. Alla base del provvedimento la diffusione, da parte della piattaforma, di pubblicità del gioco d’azzardo, comportamento vietato dall’art. 9 del Decreto Dignità (D.L. 87/2018).

AMAZON COMPRA ROOMBA – Il colosso di Jeff Bezos ha annunciato di aver acquisito la casa produttrice di iRobot, l’aspirapolvere auto-gestito tra i più diffusi nel mondo, così rafforzando la sua posizione di fornitore di beni, oltre che di servizi. Non va dimenticato, tra l’altro, che il Roomba mappa la geometria di casa per fornire il miglior servizio, conoscendo così – di fatto – dove e come viviamo.. al centimetro.

PROCESSO PENALE TELEMATICO – Il Consiglio dei Ministri ha approvato il Decreto Legislativo che dà il via alle tecnologie informatiche nel settore penale, intervenendo ad esempio su notificazioni per via telematica e trasmissione dei fascicoli tra gli uffici giudiziari, evitando così che tali adempimenti impieghino mesi o anni, come oggi.

  • NEWS DAL MONDO

RUSSIA – Anche WhatsApp finisce nel mirino del Roskomnadzor, il Servizio federale per la supervisione delle comunicazioni, delle tecnologie, dell’informazione e dei mass media. Così come era successo ad altri big del settore digitale, anche WhatsApp viene sanzionato per non aver conservato all’interno del territorio federale russo una copia della documentazione attestante che il trattamento dei dati dei cittadini russi fosse avvenuto sul territorio dello stato.

REPUBBLICA CECA – L’UOOU (Ufficio per la protezione dei dati personali ceco) ha inflitto, lo scorso 1 agosto, una pesante ammenda nei confronti del Ministero dell’Interno locale per violazione della “Legge sulla polizia” nazionale. In particolare, è stato sanzionato il trattamento di dati sanitari (e, dunque, particolari) caricati dai cittadini su una app dedicata alla quarantena.

BASSA SASSONIA – L’Autorità garante della Bassa Sassonia ha recentemente inflitto una salata sanzione (per ben 900 mila euro) a un istituto di credito per aver trattato dati personali senza avere a supporto una base giuridica sufficiente. In particolare, l’ente sanzionato avrebbe tratto dati personali – addirittura anche di ex clienti – senza consenso, sulla sola base dell’insufficiente legittimo interesse.

INDIA – A seguito di una mozione alla Camera bassa, riporta Data Guidance, il Governo locale ha cancellato il “data protection bill” del 2019, mentre è in corso di diffusione per pubblica consultazione la nuova norma che lo andrà a sostituire.