News #6/2023: il chatbot Replika bloccato dal Garante italiano per gravi rischi verso i minori
Settimana n. 6/2023 – dal 6 al 12 febbraio 2023
Ecco a voi la nostra #Newsletter in edizione #2023 che raccoglie le più interessanti novità degli ultimi sette giorni in ambito Privacy, 231 e Mercati Digitali, oltre a uno sguardo sulle news dal mondo.
Grazie Not Boring Privacy!
LE PRINCIPALI NEWS DELLA SETTIMANA:
- il Garante italiano sospende il funzionamento di un chatbot (Replika) che aveva, tra le altre cose, assunto atteggiamenti aggressivi e pericolosi in diversi casi, mettendo a rischio i minori;
- la Corte di Giustizia UE ha precisato ulteriormente la propria posizione in merito all’indipendenza del DPO;
- interessanti spunti sul Modello 231 dalla GdF;
- è iniziata la battaglia sull’Intelligenza Artificiale, tra Google e Microsoft.
IL PROFILO DA SEGUIRE:
- questa settimana il consiglio è di seguire Odia Kagan, Chair of GDPR Compliance di Fox Rotschild LLP e grande comunicatrice con un occhio di attenzione sulla legislazione privacy di tutto il mondo, e fonte in particolare di numerosi spunti sulla situazione USA dal punto di vista interno, con importanti norme in discussione sia a livello statale che federale.
QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..
- Skyfall (James Bond Theme) – Adele (2012)
PRIVACY
REPLIKA – Il Garante per la protezione dei dati personali ha recentemente deciso di bloccare #Replika, la chatbox in grado di creare un “amico virtuale” mediante l’uso della #intelligenzaartificiale. Alla base della decisione si trovano le concrete preoccupazioni del Garante circa i rischi che l’uso di tale strumento presenta, soprattutto per gli utenti minori d’età. Tra le criticità evidenziate, la mancata predisposizione di un meccanismo in grado di verificare l’età dell’utente e l’assenza di qualsiasi tipo di garanzia in ordine alla protezione dei soggetti fragili – evidenziata anche in diverse recensioni degli utenti sui principali “app store” – di fronte a risposte inopportune. Alla luce di tali evidenze, i trattamenti effettuati da Replika sono risultati non conformi al GDPR, e pertanto illeciti. Alla società sviluppatrice dell’app è stato dunque imposto di #interrompere ogni trattamento relativo ai dati personali degli utenti italiani, nonché di comunicare nel termine di 20 giorni le misure intraprese per attuare le prescrizioni del Garante. Il rischio è quello di vedersi sanzionata per un massimo di 20 milioni di euro o fino al 4% del fatturato globale annuo.
SENTENZA CGUE – La Corte di giustizia dell’Unione europea ha emesso una sentenza (Caso C-453/21) relativa alla figura del #DPO, incentrata sull’articolo 38 del GDPR, nella quale ha stabilito che chi ricopre il ruolo dev’essere in grado di svolgere i propri compiti e mansioni in modo #indipendente, e non può essere incaricati di funzioni che porterebbero a determinare gli obiettivi e i metodi di trattamento dei dati personali da parte del Titolare del trattamento o di Responsabili. Non è insomma escluso che il DPO possa svolgere anche un altro ruolo, oltre a quello di supporto e verifica della #compliance aziendale, ma tale diversa attività non può in nessun caso confliggere con la prima.
PARLAMENTO EUROPEO SU DSA E DMA – Il Parlamento europeo ha accolto con favore una proposta di norme complementari alla Legge sui servizi digitali (“DSA”) e alla Legge sui mercati digitali (“DMA”) che riguarda la pubblicità politica online. Nel comunicato stampa l’istituzione sostiene che il trattamento di dati particolari per pratiche pubblicitarie come il microtargeting può danneggiare i diritti democratici degli individui. Le norme tradizionali possono essere inefficaci, poiché spesso sono difficili da applicare quando vengono applicate online, dove le nuove tecnologie e i nuovi strumenti creano opportunità per influenzare e indirizzare gli elettori. Le istituzioni mirano a raggiungere un accordo sulla proposta con i Paesi dell’Unione europea prima delle elezioni europee del 2024.
CYBER ATTACCO? – Lo scorso 5 febbraio migliaia di server in tutto il mondo sembrano essere stati interessati da un attacco #hacker di tipo #ransomware tra cui anche alcuni italiani. Secondo le informazioni attualmente in circolazione pare che l’attacco non abbia intaccato la sicurezza del nostro Paese, benché l’Agenzia per la Cybersicurezza Nazionale (ACN) lo avesse classificato ad “alto rischio”. In ogni caso il Governo, anche alla luce del vasto numero di attacchi subiti nel corso dello scorso anno, sembra stia lavorando su un Dpcm per agevolare la collaborazione tra le Regioni e l’ACN per lo sviluppo di attività di prevenzione.
GESTIONE DEL RISCHIO AI – L’International Standards Organization (“ISO”) ha pubblicato, il 6 febbraio 2023, la guida ISO/IEC 23894:2023 sulla gestione del rischio di intelligenza artificiale (“AI”). In particolare, la guida assiste gli enti che sviluppano, implementano o utilizzano sistemi di intelligenza artificiale per gestire i rischi correlati a tali sistemi. La guida, corredata anche di tre allegati, è suddivisa in tre parti: la prima che descrive i principi alla base della gestione del rischio, la seconda relativa a un quadro di gestione del rischio; e la terza, sui processi di gestione del rischio.
D. LGS. 231
ESCLUSIONE DAGLI APPALTI – Lo scorso 5 gennaio è stato trasmesso al Senato dal Consiglio dei Ministri il testo il testo dello schema di decreto legislativo di modifica del “Codice dei contratti pubblici”. Tra le novità proposte dal decreto – attualmente oggetto di analisi da parte delle commissioni parlamentari – gli articoli 95 e 98 prevedono la possibilità che un ente venga #escluso dalla partecipazione ad una gara pubblica anche in caso di mera contestazione contestazione di uno dei reati presupposto previsti dal Decreto 231 idonei a legittimarne l’esclusione, e ciò a prescindere dalla effettiva applicazione di una specifica sanzione interdittiva. Lo schema di decreto prevede, tuttavia, anche un #meccanismo per evitare l’esclusione dell’ente, e cioè l’adozione e l’attuazione di un Modello di organizzazione, gestione e controllo idoneo a prevenire la commissione di reati o illeciti. Con un documento di commento alla bozza di decreto – scaricabile gratuitamente per gli iscritti all’Associazione Aodv231 – l’Unione delle Camere Penali Italiane e la stessa Associazione Aodv231 si sono espresse in maniera critica su alcuni passaggi del testo normativo. In particolare, sottolineando la presenza di rinvii alla Riforma Cartabia (ormai superata) e alla previsione di esclusione dalla gara anche in caso di mera contestazione di un illecito amministrativo, gli autori chiedono una revisione dell’intera disciplina.
EFFICACIA MODELLO – La Guardia di finanza, nell’edizione 2023 di “Telefisco”, ha fornito utili indicazioni al fine di stabilire quali sono i criteri che, in sede di controllo, permettono di accertare la effettiva idoneità del Modello di organizzazione, gestione e controllo adottato da una società. Tra i criteri citati rilevano, in particolare, (i) una corretta regolamentazione della formazione del personale, (ii) la puntuale mappatura delle aree aziendali maggiormente esposte ai rischi di commissione dei reati 231 e (iii) la costituzione di un effettivo Organismo di Vigilanza.
MERCATI DIGITALI
VOTO ELETTRONICO – È stata resa pubblica oggi alle ore 12 la nuova versione di Eligo, “Eligo Next”, l’innovativa piattaforma del #voto elettronico (e-voting) e online (i-voting). La nuova versione offre maggiore sicurezza e riservatezza dei dati. Eligo Next supporta infatti la crittografia end to end, e qualunque informazione che transita dai browser degli utenti è cifrata con crittografia asimmetrica, rendendo pressoché impossibile intercettare e decifrare le preferenze di voto espresse. Il sistema memorizza tutti i dati di voto e di scrutinio, applicando un ulteriore livello di sicurezza che rende i dati accessibili solo all’utente e a nessun altro. La nuova versione, Eligo Next, è stata sviluppata dopo numerose ricerche volte ad affrontare le sfide della democrazia digitale. Tra i vantaggi: (i) creare e gestire qualsiasi tipo di assemblea deliberativa ed elettiva online, in presenza o in forma ibrida, nel totale rispetto della sicurezza e legalità del voto; (ii) Incoraggiare la partecipazione e l’inclusività, grazie alla flessibilità delle modalità di voto; (iii) minimizzare l’errore umano con scrutini automatici, impedendo la possibilità di schede nulle o contestabili. (iv) attivare un’iniziativa sostenibile grazie all’azzeramento del cartaceo.
L’AI SECONDO GOOGLE… – Dopo il clamoroso successo mediatico ottenuto da #ChatGPT anche Google ha provato sviluppare la sua propria chatbot basata sull’intelligenza artificiale: #Bard. Il risultato, tuttavia, non è stato quello sperato. Durante la presentazione della “creatura”i dirigenti di Google non sono infatti riusciti a convincere gli investitori, che hanno di conseguenza bocciato il progetto, tra l’altro alla luce di alcuni disguidi – anche piuttosto divertenti – durante la presentazione. Come conseguenza del sostanziale fallimento dell’evento, Alphabet – holding del gruppo di cui Google è parte – ha perso valore a Wall Street per oltre l’8%.
.. E l’AI SECONDO MICROSOFT – La società di Seattle ha annunciato il rilascio per la prossima settimana di una nuova versione del motore di ricerca #Bing che integra l’Intelligenza Artificiale di OpenAI; anche una versione “speciale” di Teams, che include una IA a supporto delle call per appunti e memo, è in corso di testing. Il CEO Satya Nadella ha affermato, in proposito, di voler “sfidare” proprio Google su questo terreno, in cui Microsoft ha investito moltissimo di recente, unendosi in “matrimonio digitale” con OpenAI.
DICHIARAZIONE EUROPEA SUI DIRITTI E PRINCIPI DIGITALI – Il 15 dicembre 2022, il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione europea hanno adottato la Dichiarazione europea sui diritti e i principi digitali, la cui bozza è stata presentata dalla Commissione europea alla fine di gennaio. La dichiarazione esprime e rappresenta l’impegno dell’Unione europea per una trasformazione digitale sicura e sostenibile, che metta al centro le persone, in linea con i valori e i diritti fondamentali dell’Unione europea. Essa promuove la solidarietà e l’inclusione, la libertà di scelta, la partecipazione allo spazio pubblico digitale, la sicurezza, la protezione e l’empowerment digitale, nonché la sostenibilità. Il suo obiettivo è anche quello di sottolineare che i diritti e le libertà devono essere rispettati sia online che offline.
ALTRE NEWS DAL MONDO
USA
- SEC – La Securities and Exchange Commission ha di recente reso noto di aver inflitto una sanzione di ben 35 milioni di dollari alla società Activision Blizzard Inc per violazione delle norme dettate dall’Exchange Act. La società, più in particolare, è stata sanzionata per non aver mantenuto adeguati controlli sulla divulgazione relativi a denunce di cattiva condotta sul posto di lavoro e per violazione della regola di protezione degli informatori.
- MINNESOTA – E’ stato presentato un disegno di legge relativo alla privacy dei dati dei consumatori, che stabilisce obblighi per gli enti che trattano dati personali dei consumatori e impone che i dati personali relativi ai consumatori non possano essere venduti o diffusi, a meno che il consumatore non ne abbia ricevuto comunicazione espressa e gli sia stata data la possibilità di esercitare il diritto di recesso.
- TEXAS – anche nello stato della stella solitaria è stato introdotto un atto legislativo, ancora in discussione, a protezione dei diritti dei cittadini consumatori con imposizioni similari a quelli di altri stati (tra cui: privacy notice, diritti di accesso e rettifica, conduzione di DPIA e cancellazione dei dati non più necessari).
SPAGNA – Lo scorso 8 febbraio l’AEPD, Autorità garante spagnola, ha pubblicato un post relativo alla frequenza con cui i titolari del trattamento dovrebbero aggiornare le misure di sicurezza implementate a protezione dei dati personali. Nel suo post l’Autorità ha spiegato che, tra le altre cose, ogni modifica relativa alle categorie di dati trattati, alle finalità del trattamento o all’incidenza del trattamento sui diritti e le libertà degli interessati impone una revisione delle misure di sicurezza adottate.
BELGIO – L’autorità di protezione dei dati personali del Belgio ha ordinato a un Titolare del trattamento di ottemperare a una richiesta di accesso ai dati da parte di un interessato, ai sensi dell’art. 58(2) del GDPR. L’intervento dell’autorità si è reso necessario a causa del mancato adempimento da parte del Titolare, che ha affermato di non aver ricevuto l’istanza dell’interessato a causa di problemi tecnici con la sua casella e-mail.
FINLANDIA – Una scuola dell’infanzia è stata sanzionata dall’autorità garante finlandese per violazione degli articoli 5, 12 e 13 del GDPR, dopo aver diffuso alcune istruzioni ai genitori sulle modifiche all’apprendimento e all’insegnamento in seguito alla pandemia. L’autorità garante ha rilevato che non era stato chiarito se la restituzione del modulo fosse obbligatoria, e non erano state fornite informazioni che specificassero la base giuridica per il trattamento dei dati personali.
GERMANIA – La Corte Suprema tedesca ha confermato le decisioni dei precedenti gradi di giudizio, e ha stabilito che un medico – soggetto interessato del trattamento – non avesse il diritto di cancellazione nei confronti di un sito web di comparazione e recensione che aveva pubblicato un profilo su di lui. Il trattamento era legittimo ai sensi dell’articolo 6(1)(f) del GDPR, in quanto il diritto commerciale del Titolare del trattamento e la libertà di espressione del pubblico erano di maggiore rilevanza rispetto al diritto dell’interessato alla protezione dei dati.
ROMANIA – L’autorità garante rumena ha multato uno studio dentistico che aveva pubblicato i dati personali di un paziente in un blog medico senza il relativo consenso. Lo studio dentistico, inoltre, non ha informato l’autorità per la protezione dei dati personali entro 72 ore dal momento in cui era stato informato della violazione dei dati, in violazione di quanto previsto dall’articolo 33 del GDPR.