News #6/2023: il chatbot Replika bloccato dal Garante italiano per gravi rischi verso i minori

Settimana n. 6/2023 – dal 6 al 12 febbraio 2023 

Ecco a voi la nostra #Newsletter in edizione #2023 che raccoglie le più interessanti novità degli ultimi sette giorni in ambito Privacy, 231 e Mercati Digitali, oltre a uno sguardo sulle news dal mondo.

Grazie Not Boring Privacy!

Non è stato fornito nessun testo alternativo per questa immagine

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • il Garante italiano sospende il funzionamento di un chatbot (Replika) che aveva, tra le altre cose, assunto atteggiamenti aggressivi e pericolosi in diversi casi, mettendo a rischio i minori;
  • la Corte di Giustizia UE ha precisato ulteriormente la propria posizione in merito all’indipendenza del DPO;
  • interessanti spunti sul Modello 231 dalla GdF;
  • è iniziata la battaglia sull’Intelligenza Artificiale, tra Google e Microsoft.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana il consiglio è di seguire Odia Kagan, Chair of GDPR Compliance di Fox Rotschild LLP e grande comunicatrice con un occhio di attenzione sulla legislazione privacy di tutto il mondo, e fonte in particolare di numerosi spunti sulla situazione USA dal punto di vista interno, con importanti norme in discussione sia a livello statale che federale.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Skyfall (James Bond Theme) – Adele (2012)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

REPLIKA – Il Garante per la protezione dei dati personali ha recentemente deciso di bloccare #Replika, la chatbox in grado di creare un “amico virtuale” mediante l’uso della #intelligenzaartificiale. Alla base della decisione si trovano le concrete preoccupazioni del Garante circa i rischi che l’uso di tale strumento presenta, soprattutto per gli utenti minori d’età. Tra le criticità evidenziate, la mancata predisposizione di un meccanismo in grado di verificare l’età dell’utente e  l’assenza di qualsiasi tipo di garanzia in ordine alla protezione dei soggetti fragili – evidenziata anche in diverse recensioni degli utenti sui principali “app store” – di fronte a risposte inopportune. Alla luce di tali evidenze, i trattamenti effettuati da Replika sono risultati non conformi al GDPR, e pertanto illeciti. Alla società sviluppatrice dell’app è stato dunque imposto di #interrompere ogni trattamento relativo ai dati personali degli utenti italiani, nonché di comunicare nel termine di 20 giorni le misure intraprese per attuare le prescrizioni del Garante. Il rischio è quello di vedersi sanzionata per un massimo di 20 milioni di euro o fino al 4% del fatturato globale annuo.

SENTENZA CGUE – La Corte di giustizia dell’Unione europea ha emesso una sentenza (Caso C-453/21) relativa alla figura del #DPO, incentrata sull’articolo 38 del GDPR, nella quale ha stabilito che chi ricopre il ruolo dev’essere in grado di svolgere i propri compiti e mansioni in modo #indipendente, e non può essere incaricati di funzioni che porterebbero a determinare gli obiettivi e i metodi di trattamento dei dati personali da parte del Titolare del trattamento o di Responsabili. Non è insomma escluso che il DPO possa svolgere anche un altro ruolo, oltre a quello di supporto e verifica della #compliance aziendale, ma tale diversa attività non può in nessun caso confliggere con la prima.

PARLAMENTO EUROPEO SU DSA E DMA – Il Parlamento europeo ha accolto con favore una proposta di norme complementari alla Legge sui servizi digitali (“DSA”) e alla Legge sui mercati digitali (“DMA”) che riguarda la pubblicità politica online. Nel comunicato stampa l’istituzione sostiene che il trattamento di dati particolari per pratiche pubblicitarie come il microtargeting può danneggiare i diritti democratici degli individui. Le norme tradizionali possono essere inefficaci, poiché spesso sono difficili da applicare quando vengono applicate online, dove le nuove tecnologie e i nuovi strumenti creano opportunità per influenzare e indirizzare gli elettori. Le istituzioni mirano a raggiungere un accordo sulla proposta con i Paesi dell’Unione europea prima delle elezioni europee del 2024.

CYBER ATTACCO? – Lo scorso 5 febbraio migliaia di server in tutto il mondo sembrano essere stati interessati da un attacco #hacker di tipo #ransomware tra cui anche alcuni italiani. Secondo le informazioni attualmente in circolazione pare che l’attacco non abbia intaccato la sicurezza del nostro Paese, benché l’Agenzia per la Cybersicurezza Nazionale (ACN) lo avesse classificato ad “alto rischio”. In ogni caso il Governo, anche alla luce del vasto numero di attacchi subiti nel corso dello scorso anno, sembra stia lavorando su un Dpcm per agevolare la collaborazione tra le Regioni e l’ACN per lo sviluppo di attività di prevenzione.

GESTIONE DEL RISCHIO AI – L’International Standards Organization (“ISO”) ha pubblicato, il 6 febbraio 2023, la guida ISO/IEC 23894:2023 sulla gestione del rischio di intelligenza artificiale (“AI”). In particolare, la guida assiste gli enti che sviluppano, implementano o utilizzano sistemi di intelligenza artificiale per gestire i rischi correlati a tali sistemi. La guida, corredata anche di tre allegati, è suddivisa in tre parti: la prima che descrive i principi alla base della gestione del rischio, la seconda relativa a un quadro di gestione del rischio; e la terza, sui processi di gestione del rischio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

ESCLUSIONE DAGLI APPALTI – Lo scorso 5 gennaio è stato trasmesso al Senato dal  Consiglio dei Ministri il testo il testo dello schema di decreto legislativo di modifica del “Codice dei contratti pubblici”. Tra le novità proposte dal decreto – attualmente oggetto di analisi da parte delle commissioni parlamentari – gli articoli 95 e 98 prevedono la possibilità che un ente venga #escluso dalla partecipazione ad una gara pubblica anche in caso di mera contestazione contestazione di uno dei reati presupposto previsti dal Decreto 231 idonei a legittimarne l’esclusione, e ciò a prescindere dalla effettiva applicazione di una specifica sanzione interdittiva. Lo schema di decreto prevede, tuttavia, anche un #meccanismo per evitare l’esclusione dell’ente, e cioè l’adozione e l’attuazione di un Modello di organizzazione, gestione e controllo idoneo a prevenire la commissione di reati o illeciti. Con un documento di commento alla bozza di decreto – scaricabile gratuitamente per gli iscritti all’Associazione Aodv231 – l’Unione delle Camere Penali Italiane e la stessa Associazione Aodv231 si sono espresse in maniera critica su alcuni passaggi del testo normativo. In particolare, sottolineando la presenza di rinvii alla Riforma Cartabia (ormai superata) e alla previsione di esclusione dalla gara anche in caso di mera contestazione di un illecito amministrativo, gli autori chiedono una revisione dell’intera disciplina.

EFFICACIA MODELLO – La Guardia di finanza, nell’edizione 2023 di “Telefisco”, ha fornito utili indicazioni al fine di stabilire quali sono i criteri che, in sede di controllo, permettono di accertare la effettiva idoneità del Modello di organizzazione, gestione e controllo adottato da una società. Tra i criteri citati rilevano, in particolare, (i) una corretta regolamentazione della formazione del personale, (ii) la puntuale mappatura delle aree aziendali maggiormente esposte ai rischi di commissione dei reati 231 e (iii) la costituzione di un effettivo Organismo di Vigilanza.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

VOTO ELETTRONICO – È stata resa pubblica oggi alle ore 12 la nuova versione di Eligo, “Eligo Next”, l’innovativa piattaforma del #voto elettronico (e-voting) e online (i-voting). La nuova versione offre maggiore sicurezza e riservatezza dei dati. Eligo Next supporta infatti la crittografia end to end, e qualunque informazione che transita dai browser degli utenti è cifrata con crittografia asimmetrica, rendendo pressoché impossibile intercettare e decifrare le preferenze di voto espresse. Il sistema memorizza tutti i dati di voto e di scrutinio, applicando un ulteriore livello di sicurezza che rende i dati accessibili solo all’utente e a nessun altro. La nuova versione, Eligo Next, è stata sviluppata dopo numerose ricerche volte ad affrontare le sfide della democrazia digitale. Tra i vantaggi: (i) creare e gestire qualsiasi tipo di assemblea deliberativa ed elettiva online, in presenza o in forma ibrida, nel totale rispetto della sicurezza e legalità del voto; (ii) Incoraggiare la partecipazione e l’inclusività, grazie alla flessibilità delle modalità di voto; (iii) minimizzare l’errore umano con scrutini automatici, impedendo la possibilità di schede nulle o contestabili. (iv) attivare un’iniziativa sostenibile grazie all’azzeramento del cartaceo.

L’AI SECONDO GOOGLE… – Dopo il clamoroso successo mediatico ottenuto da #ChatGPT anche Google ha provato sviluppare la sua propria chatbot basata sull’intelligenza artificiale: #Bard. Il risultato, tuttavia, non è stato quello sperato. Durante la presentazione della “creatura”i dirigenti di Google non sono infatti riusciti a convincere gli investitori, che hanno di conseguenza bocciato il progetto, tra l’altro alla luce di alcuni disguidi – anche piuttosto divertenti – durante la presentazione. Come conseguenza del sostanziale fallimento dell’evento, Alphabet – holding del gruppo di cui Google è parte – ha perso valore a Wall Street per oltre l’8%. 

.. E l’AI SECONDO MICROSOFT – La società di Seattle ha annunciato il rilascio per la prossima settimana di una nuova versione del motore di ricerca #Bing che integra l’Intelligenza Artificiale di OpenAI; anche una versione “speciale” di Teams, che include una IA a supporto delle call per appunti e memo, è in corso di testing. Il CEO Satya Nadella ha affermato, in proposito, di voler “sfidare” proprio Google su questo terreno, in cui Microsoft ha investito moltissimo di recente, unendosi in “matrimonio digitale” con OpenAI.

DICHIARAZIONE EUROPEA SUI DIRITTI E PRINCIPI DIGITALI – Il 15 dicembre 2022, il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione europea hanno adottato la Dichiarazione europea sui diritti e i principi digitali, la cui bozza è stata presentata dalla Commissione europea alla fine di gennaio. La dichiarazione esprime e rappresenta l’impegno dell’Unione europea per una trasformazione digitale sicura e sostenibile, che metta al centro le persone, in linea con i valori e i diritti fondamentali dell’Unione europea. Essa promuove la solidarietà e l’inclusione, la libertà di scelta, la partecipazione allo spazio pubblico digitale, la sicurezza, la protezione e l’empowerment digitale, nonché la sostenibilità. Il suo obiettivo è anche quello di sottolineare che i diritti e le libertà devono essere rispettati sia online che offline. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA

  • SEC – La Securities and Exchange Commission ha di recente reso noto di aver inflitto una sanzione di ben 35 milioni di dollari alla società Activision Blizzard Inc per violazione delle norme dettate dall’Exchange Act. La società, più in particolare, è stata sanzionata per non aver mantenuto adeguati controlli sulla divulgazione relativi a denunce di cattiva condotta sul posto di lavoro e per violazione della regola di protezione degli informatori.
  • MINNESOTA – E’ stato presentato un disegno di legge relativo alla privacy dei dati dei consumatori, che stabilisce obblighi per gli enti che trattano dati personali dei consumatori e impone che i dati personali relativi ai consumatori non possano essere venduti o diffusi, a meno che il consumatore non ne abbia ricevuto comunicazione espressa e gli sia stata data la possibilità di esercitare il diritto di recesso.
  • TEXAS – anche nello stato della stella solitaria è stato introdotto un atto legislativo, ancora in discussione, a protezione dei diritti dei cittadini consumatori con imposizioni similari a quelli di altri stati (tra cui: privacy notice, diritti di accesso e rettifica, conduzione di DPIA e cancellazione dei dati non più necessari).

SPAGNA – Lo scorso 8 febbraio l’AEPD, Autorità garante spagnola, ha pubblicato un post relativo alla frequenza con cui i titolari del trattamento dovrebbero aggiornare le misure di sicurezza implementate a protezione dei dati personali. Nel suo post l’Autorità ha spiegato che, tra le altre cose, ogni modifica relativa alle categorie di dati trattati, alle finalità del trattamento o all’incidenza del trattamento sui diritti e le libertà degli interessati impone una revisione delle misure di sicurezza adottate.

BELGIO – L’autorità di protezione dei dati personali del Belgio ha ordinato a un Titolare del trattamento di ottemperare a una richiesta di accesso ai dati da parte di un interessato, ai sensi dell’art. 58(2) del GDPR. L’intervento dell’autorità si è reso necessario a causa del mancato adempimento da parte del Titolare, che ha affermato di non aver ricevuto l’istanza dell’interessato a causa di problemi tecnici con la sua casella e-mail.

FINLANDIA – Una scuola dell’infanzia è stata sanzionata dall’autorità garante finlandese per violazione degli articoli 5, 12 e 13 del GDPR, dopo aver diffuso alcune istruzioni ai genitori sulle modifiche all’apprendimento e all’insegnamento in seguito alla pandemia. L’autorità garante ha rilevato che non era stato chiarito se la restituzione del modulo fosse obbligatoria, e non erano state fornite informazioni che specificassero la base giuridica per il trattamento dei dati personali. 

GERMANIA – La Corte Suprema tedesca ha confermato le decisioni dei precedenti gradi di giudizio, e ha stabilito che un medico – soggetto interessato del trattamento – non avesse il diritto di cancellazione nei confronti di un sito web di comparazione e recensione che aveva pubblicato un profilo su di lui. Il trattamento era legittimo ai sensi dell’articolo 6(1)(f) del GDPR, in quanto il diritto commerciale del Titolare del trattamento e la libertà di espressione del pubblico erano di maggiore rilevanza rispetto al diritto dell’interessato alla protezione dei dati.  

ROMANIA – L’autorità garante rumena ha multato uno studio dentistico che aveva pubblicato i dati personali di un paziente in un blog medico senza il relativo consenso. Lo studio dentistico, inoltre, non ha informato l’autorità per la protezione dei dati personali entro 72 ore dal momento in cui era stato informato della violazione dei dati, in violazione di quanto previsto dall’articolo 33 del GDPR.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di nikko grazie a Unsplash.

News #5/2023: enforcement privacy in UE, Metaverso e DSA nelle news di questa settimana

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • la Slovenia è l’ultimo stato UE (dopo quasi 5 anni) a implementare il GDPR;
  • arriveranno report su come va l’enforcement privacy in UE;
  • il Metaverso secondo il Garante italiano;
  • in ascesa (seppur di poco) l’Italia nel Corruption Index pubblicato online.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • un gruppo di professionisti che ci informano di aspetti molto interessanti e li approfondiscono è Italian Privacy & Cybersecurity Think Tank, che consigliamo di seguire anche iscrivendosi alla newsletter settimanale, oltre al canale Telegram con cui restare sempre aggiornati.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Superman (It’s Not Easy) – Five For Fighting (2000)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

SLOVENIA & GDPR – Dopo numerosi solleciti da parte della Commissione UE, finalmente la Slovenia ha adottato (il 27 dicembre 2022) la legge di implementazione del Regolamento Europeo 2016/679, che è ora entrata in vigore. Sono stati ora fatti alcuni lievi cambiamenti, tramite la legge nota come ZVOP-2, in particolare con riferimento a dati biometrici, regime del DPO e requisiti specifici per l’esecuzione della DPIA. Con questo passo, ora tutti gli Stati membri hanno implementato il Regolamento (come doveva avvenire nel 2018).

ENFORCEMENT IN UE – Come sta andando l’enforcement in materia privacy nell’Unione Europea? Se lo sta chiedendo la Commissione UE, e la risposta sembra essere “non benissimo, e non in modo uniforme”. Per ovviare alle divergenze di opinioni e approcci, che in alcuni casi (vedi Irlanda) portano a veri e propri scontri pubblici, la Commissione – in risposta all’Ombudsman UE a seguito di una segnalazione dell’ICCL – ha confermato che richiederà a ciascuna Autorità nazionale di fornire un report bimestrale. All’interno di esso – strettamente confidenziale, quindi purtroppo non li vedremo probabilmente mai – saranno indicate una serie di informazioni utili a tenere monitorata la situazione in Europa. Non ci resta che attendere il secondo report della Commissione UE sull’applicazione del GDPR per avere maggiori informazioni: ma già questa notizia fa ben sperare per un maggiore coordinamento tra Autorità nazionali – sia in ambito di sanzioni che di linee guida.

GARANTE PRIVACY SU METAVERSO – Nella 17° giornata europea della protezione dei dati personali, il Garante italiano ha messo in luce i rischi e le opportunità della nuova tecnologia. In linea con l’obiettivo dell’evento, l’intervento del Garante italiano ha approfondito le problematiche legate all’impatto che il Metaverso, definito un nuovo “habitat” digitale, avrà sulle relazioni sociali e sui comportamenti dei singoli, sulle loro libertà e diritti, così come sui processi decisionali della società.

GUIDA SUL DSA PER LE PIATTAFORME ONLINE – la Commissione europea ha annunciato di aver pubblicato una guida per aiutare le piattaforme online e i motori di ricerca che rientrano nell’ambito di applicazione della legge sui servizi digitali (“DSA”) a conformarsi all’obbligo di comunicare il numero di utenti nell’Unione europea, da ottemperare al più tardi entro il 17 febbraio 2023 e successivamente almeno ogni sei mesi.

INFOGRAFICA EDPB –  Il garante europeo della protezione dei dati (“EDPB”) ha pubblicato un’infografica sui principali tipi di reclami e di consultazioni trattati nel 2022. In particolare, l’infografica del GEPD evidenzia che le più frequenti #consultazioni hanno riguardato (i) il concetto di titolare del trattamento, contitolare e responsabile; (ii) i trasferimenti internazionali di dati; (iii) norme interne sulla protezione dei dati. Inoltre, l’infografica dell’EDPB ha illustrato che i #reclami ricevuti nel 2022 hanno riguardato principalmente (i) il diritto di accesso dei soggetti interessati; (ii) il diritto alla cancellazione e (iii) la raccolta adeguata e proporzionata di dati personali.

Non è stato fornito nessun testo alternativo per questa immagine
Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CORRUPTION PERCEPTION INDEX – Transparency International – l’associazione non governativa che si occupa di corruzione a livello internazionale – ha pubblicato lo scorso 31 gennaio il Corruption Perception Index relativo all’anno 2022.  Il documento  classifica ogni anno i Paesi in base al loro livello di corruzione percepito nel settore pubblico su una scala di punteggio da 0 (massimo livello di corruzione percepita) a 100 (minimo livello). Danimarca, Nuova Zelanda e Finlandia si confermano i Paesi in cui la percezione della corruzione è minore a livello globale; in fondo alla classifica, Sud Sudan, Siria e Somalia. In ascesa l’Italia, che pur confermando il punteggio dell’anno precedente (56/100) scala in positivo di una posizione la classifica mondiale.

ODV – La Corte d’Appello di Venezia è intervenuta (con sentenza n. 3348, disponibile gratuitamente per gli iscritti all’Associazione Aodv231) in materia di effettività e autonomia dell’Organismo di Vigilanza. La vicenda, in particolare, è quella di un istituto di credito chiamato a rispondere dei reati di aggiotaggio, ostacolo all’esercizio delle funzioni delle Autorità di vigilanza e falso in prospetto. Nel confermare la condanna per l’ente (con riduzione, però, dell’ammontare della pena inflitta dalla decisione di primo grado) i giudici hanno specificato che il Modello organizzativo adottato dall’istituto di credito introduceva un OdV talmente privo di autonomia, da non costituire in concreto un vero e proprio ostacolo alla commissione dei reati-presupposto previsti dal Decreto 231.

BANCA D’ITALIA E ANTIRICICLAGGIO –  La Banca d’Italia ha rafforzato l’attività di vigilanza in materia di antiriciclaggio, e ha pubblicato sul proprio sito internet una nuova sezione dedicata (sezione “Supervisione e Normativa Antiriciclaggio”), che fornisce agli utenti  linee guida sulla normativa antiriciclaggio a livello internazionale, europeo e nazionale. Inoltre, nella sezione è presente un questionario che le banche e gli intermediari finanziari, soggetti ai poteri regolamentari e di vigilanza della Banca d’Italia, dovranno compilare per permettere la raccolta di dati a fini di statistiche e osservazioni sull’antiriciclaggio.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

CICLO DI VITA DEI PRODOTTI – L’Unione europea sta recentemente valutando la possibilità di adeguare la definizione del ciclo di vita di ciascun prodotto alle sue specifiche peculiarità e spostare le segnalazioni delle vulnerabilità a livello nazionale. Tali valutazioni sono attualmente contenute all’interno di un nuovo compromesso sul #CyberResilienceAct (la proposta legislativa dell’UE finalizzata a introdurre requisiti minimi di sicurezza informatica per l’ “Internet of Things”). Se in principio Cyber Resilience Act imponeva ad ogni produttore di garantire i prodotti immessi sul mercato per tutto il ciclo di vita del singolo prodotto o per un massimo di cinque anni, la nuova proposta – riconoscendo che ogni prodotto è diverso dall’altro e che, di conseguenza, non è possibile fissare indistintamente un ciclo di vita unico per tutti i prodotti – stabilisce che i produttori devono garantire i loro prodotti con elementi digitali “per un periodo di tempo adeguato al tipo di prodotto e alla sua durata prevista”. Per quanto riguarda le segnalazioni delle vulnerabilità, il vecchio testo individuava nell’ENISA il soggetto competente alla loro ricezione. Tuttavia, a fronte dei dubbi circa le concrete capacità dell’Agenzia europea per cybersicurezza di gestire migliaia di notifiche, è stato proposto di dirottare le segnalazioni al Computer Security Incident Response Team (CSIRT) di ciascuno stato membro. La proposta sarà ora discussa a livello tecnico, per comprenderne la fattibilità.

ARTIFACT – Dalle menti di Kevin Systrom e Mike Krieger (co-founder di Instagram) è di recente nata Artifact, una nuova app di notizie personalizzate che utilizza tecnologie di apprendimento automatico per comprendere i gusti dei suoi utenti. La logica di funzionamento di Artifact pare essere la stessa di TikTok: basterà cliccare su un articolo di proprio gradimento per vedere in futuro contenuti simili. Al momento Artifact non è ancora aperta al grande pubblico, ma esiste già una lista d’attesa che consente ai suoi iscritti di vedere il feed centrale. Intanto, nell’attesa, gli utenti beta stanno testando altre due funzionalità dell’app. 

CONSUMATORI E TARGETING POLITICO – La Commissione per il Mercato Interno e la Protezione dei Consumatori del Parlamento europeo (“IMCO”) potrebbe inasprire le norme sulla pubblicità politica per ridurre le interferenze elettorali e migliorare la trasparenza. La proposta dell’IMCO consente agli inserzionisti di utilizzare solo i dati personali espressamente forniti a fini di pubblicità politica. Ciò vieterebbe il “micro-targeting” degli elettori “sulla base del sesso, della razza, dell’orientamento sessuale o di altre caratteristiche individuali”, così come l’uso dei dati dei bambini. La proposta include anche regole per rendere più trasparenti i finanziatori dei candidati.

INVESTIMENTI PNRR PER IL DIGITALE – Il report dell’Istituto per la Competitività (“I-Com”) realizzato dalla Commissione del Parlamento europeo sullo stato d’attuazione dei Piani di ripresa e resilienza (“PNRR”) degli Stati membri in ambito digitale, mostra che l’Italia si colloca al primo posto in Europa per entità degli investimenti nel digitale legati al Pnrr. In generale, l’Italia ha impegnato una quota del 26,7% in cybersecurity, nelle reti e nelle competenze digitali delle imprese. Si rileva anche, però, che manca una visione comune dello sviluppo delle tecnologie avanzate, a partire dall’intelligenza artificiale, coerente con gli obiettivi di autonomia strategica e di competitività che l’Unione europea si sta dando.

CONTACT CENTER AS A SERVICE (“CCaaS”) – Un customer journey efficiente oggi deve essere in grado di attraversare qualsiasi canale e qualsiasi dispositivo, mantenendo costantemente il contatto con il brand e offrendo una esperienza consistente tra i diversi canali. Un’esigenza che trova risposta, grazie al cloud computing, in una nuova generazione di Contact Center as a Service, mercato che ha visto una forte accelerazione nel periodo della pandemia, perché ha permesso, in modo agile e veloce, di abilitare canali di contatto con i clienti o i cittadini. Un recente studio illustra nel dettaglio i benefici che le aziende possono ottenere con un Contact Center as a Service, tra i quali (i) la flessibilità e la scalabilità del contact center in cloud, (ii) la capacità di organizzazione per migliorare la qualità del servizio, (iii) il modello della Total Experience, (iv) la flessibilità nella pianificazione degli investimenti in CCaaS, (v) il ruolo dell’Intelligenza Artificiale nel Contact Center as a Service. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

FRANCIA – L’Autorità francese per la protezione dei dati (CNIL) ha recentemente reso noto di aver pubblicato una guida per fornire indicazioni ai recruiter in materia di trattamento dei dati personali dei candidati. La guida si compone di due sezioni: la prima contiene un richiamo ai principi generali fissati dal GDPR in materia di assunzioni, mentre la seconda contiene una serie di domande e risposte in materia di utilizzo di nuove tecnologie durante il processo di selezione dei candidati.

REPUBBLICA CECA – L’Agenzia nazionale per la sicurezza informatica e dell’informazione ceca (NÚKIB) ha di recente dichiarato di avere preparato un progetto di legge sulla sicurezza informatica in vista del recepimento della direttiva cd. NIS 2. Attualmente la bozza di legge è aperta alla consultazione pubblica fino al prossimo 26 febbraio. 

ANDORRA – L’Autorità garante di Andorra (“APDA”) ha recentemente pubblicato una linea guida in materia di valutazione di impatto (cd. DPIA) ai sensi della legge nazionale sulla protezione dei dati personali. Con tale linea guida l’APDA propone un modello di DPIA sostanzialmente equivalente allo standard europeo.

COREA DEL SUD – La Commissione per la protezione delle informazioni personali coreana (PIPC) ha annunciato di aver rilasciato la versione aggiornata delle linee guida in materia di protezione dei dati personali in materia di lavoro e occupazione. Scopo delle linee guida è migliorare il livello di protezione delle informazioni personali nel contesto lavorativo.

SINGAPORE – Lo scorso 1 febbraio è entrato in vigore l’Online Safety Bill, il disegno di legge in materia di sicurezza online. La nuova legge prevede, in particolare, che i servizi di comunicazione online devono, tra le altre cose, (i) fornire un ambiente online sicuro, (ii) dare prioritaria protezione a quelle categorie di utenti finali che, come i minori, sono maggiormente esposte al rischio di esposizione a contenuti dannosi. 

GIAPPONE – La nota società automobilistica Kitakanto Mazda Co. Ltd ha di recente reso noto di essere stata colpita da una violazione di dati personali. Secondo quanto affermato da Mazda, a causare il data breach (che ha coinvolto i dati di circa 50 mila clienti) sarebbe stato l’accesso non autorizzato da parte di terzi nei propri sistemi. La società – che ha già provveduto a segnalare la violazione alle autorità competenti – è ora impegnata a migliorare i propri sistemi di sicurezza.

USA:

  • il National Institute of Standards and Technology (“NIST”) ha pubblicato l’Artificial Intelligence Risk Management Framework (“AI RMF”), un documento di orientamento rivolto alle organizzazioni che progettano, sviluppano, distribuiscono o utilizzano sistemi di intelligenza artificiale (“AI”) per contribuire a gestire efficacemente i rischi delle tecnologie AI. In particolare, il NIST ha sottolineato che l’AI RMF è destinato ad adattarsi al panorama dell’AI insieme allo sviluppo delle tecnologie, e ad essere utilizzato dalle organizzazioni in modo che la società possa trarre vantaggio dalle tecnologie dell’IA e allo stesso tempo essere protetta dai suoi potenziali danni.
  • la Federal Trade Commission ha di recente annunciato la sua proposta di multare la GoodRx Holdings Inc per 1,5 milioni di dollari in conseguenza della divulgazione di informazioni personali sanitarie a terzi e della mancata notifica ai consumatori. Dalle indagini dell’Autorità è infatti emerso che GoodRx – società che gestisce una piattaforma sanitaria digitale che offre sconti per diversi servizi sanitari – ha condiviso le informazioni sanitarie dei suoi utenti con piattaforme come Google e Facebook (e, in quest’ultimo caso, ha anche sfruttato le informazioni condivise per indirizzare gli utenti verso campagne pubblicitarie mirate). 
  • CALIFORNIA – Rob Bonta, Procuratore generale della California, ha annunciato di aver avviato una indagine nei confronti delle aziende con app mobili che non rispettano il CCPA (California Consumer Privacy Act 2018). In particolare, l’indagine governativa si concentra su tutte le app “popolari” che (i) presumibilmente non soddisfano le richieste degli utenti di rinuncia o (ii) non prevedono alcun meccanismo che consenta ai consumatori di interrompere la vendita dei propri dati personali.
  • NEW YORK –  è stato presentato al Senato dello Stato di New York il disegno di legge nr. 2998 per un atto di modifica del diritto commerciale generale, in relazione all’istituzione della legge sulla protezione dei consumatori online. La proposta normativa prevede, tra le altre cose, che le reti pubblicitarie debbano pubblicare un avviso chiaro e ben visibile sulla home page del loro sito Web relativamente alla loro politica sulla privacy e sulle pratiche di raccolta e utilizzo dei dati. Inoltre, la bozza di testo legislativo prevede che gli editori di una pagina web dovranno, in ogni contratto con una rete pubblicitaria, pubblicare un avviso chiaro e ben visibile che descriva la raccolta e l’uso delle informazioni da parte della rete pubblicitaria.
Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Denys Nevozhai grazie a Unsplash.

News #4/2023: in arrivo la norma ISO per il Privacy by Design, dovremmo forse implementarla tutti?

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • sarà pubblicato a breve da ISO uno standard in ambito “privacy by design”, che forse permetterà finalmente di definire questa “buzz word” che sentiamo ormai da anni;
  • una nuova newsletter del nostro Garante, e nuove sanzioni assortite;
  • il Data Protection Day e la Convenzione 108;
  • Confindustria prende posizione sulla norma Whistleblowing;
  • Google ha qualche problema anche con il Dipartimento di Giustizia USA.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • fonte inesauribile di approfondimenti e #contenuti in ambito informatico-giuridico, senza farsi mancare diversi spunti di sano #divertimento, il profilo del Prof. Giovanni Ziccardi è un “must” per chiunque – giovane o meno – operi nel nostro settore: c’è sempre da imparare, ogni giorno, qualcosa di nuovo!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

ISO 31700 SULLA PRIVACY BY DESIGN – E’ prevista per l’8 febbraio l’adozione da parte dell’International Organization for Standardization della nuova ISO 31700, riguardo ai requisiti e alle indicazioni su come implementare il principio della “privacy by design”. L’obiettivo della certificazione sarà quello di fornire a tutti i Titolari del trattamento le informazioni necessarie per implementare correttamente l’assetto della protezione dei dati nel processo di gestione dei dati personali all’interno di enti ed organizzazioni, sulla base dei principi del GDPR. In questo modo si consentirà ai consumatori e ai soggetti interessati di far valere in modo ancora più efficace i propri diritti, determinando come progettare i controlli sulla privacy e la gestione dei dati durante il loro ciclo di vita.

NEWSLETTER GARANTE – Pubblicata lo scorso 24 gennaio l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionate tre ASL friulane – in particolare, Azienda Universitaria “Friuli Occidentale”, “Friuli Centrale” e “Giuliano Isontina” – per aver classificato i pazienti in relazione al rischio di avere o meno complicanze in caso di Covid attraverso l’utilizzo di #algoritmi; (ii) parere favorevole del Garante in merito alla bozza di decreto legislativo di attuazione della Direttiva 2019/1937 (cd. #DirettivaWhistleblowing); (iii) disponibili le prime indicazioni del Garante al fine di conciliare le esigenze di tutela della privacy in occasione dell’applicazione del #DecretoTrasparenza; (iv) parere favorevole del Garante relativamente alle nuove disposizioni attuative per la #Cartadellacultura – ossia la carta elettronica istituita dalla legge n.15/2020 al fine di contrastare la povertà educativa e promuovere il sostegno della lettura.

DECISIONE VINCOLANTE EDPB WHATSAPP – Lo scorso 24 gennaio il Comitato europeo per la protezione dei dati (EDPB) ha annunciato di aver pubblicato la propria decisione vincolante nell’ambito della controversia promossa dalla DPC (Autorità garante irlandese) nei confronti di #WhatsApp. Come già illustrato nella nostra precedente newsletter, la decisione vincolante – sciogliendo i dubbi interpretativi della DPC – si è posta come fondamento per il provvedimento con il quale l’Autorità capofila ha potuto sanzionare la società. Nello specifico, l’EDPB ha deciso che WhatsApp si era indebitamente basata sul contratto come base giuridica per il trattamento dei dati personali e pertanto ha incaricato il Garante irlandese di completare ulteriormente il provvedimento con una violazione dell’articolo 6(1) del GDPR, nonché una violazione del principio di equità di cui all’articolo 5(1)(a) del GDPR. Inoltre, l’EDPB ha stabilito che il Garante irlandese dovrà svolgere un’indagine sulle operazioni di trattamento di WhatsApp al fine di determinare se tratta (i) categorie particolari di dati personali ai sensi dell’art. 9 del GDPR e (ii) dati personali per finalità di pubblicità comportamentale, per finalità di marketing, nonché per la fornitura di metriche a terzi e lo scambio di dati con società affiliate ai fini del miglioramento del servizio.

GARANTE PRIVACY SULLE INTERCETTAZIONI – L’Autorità Garante per la protezione dei dati ha evidenziato, durante l’audizione al Senato per l’indagine conoscitiva sulle intercettazioni, alcune criticità relative alle intercettazioni come mezzo di ricerca della prova, esprimendosi in particolare su (i) l’utilizzo di sistemi cloud per l’archiviazione delle informazioni raccolte, pericoloso sia per i diritti dei soggetti a cui i dati si riferiscono, sia per l’efficacia e la segretezza dell’azione investigativa; (ii) la particolare invasività dei software-spia che, nell’opinione del Garante, meriterebbe una riflessione da parte dell’organo legislativo in merito all’ambito di applicazione effettiva delle intercettazioni; (iii) sull’attenzione da prestare ai trojan utilizzati in ambito giudiziario.

SPESA E INVESTIMENTI PRIVACY – Il Data Privacy Benchmark report di CISCO ha analizzato gli investimenti effettuati dalle aziende nella privacy negli ultimi anni, individuando un aumento netto delle risorse stanziate per rispondere alle richieste degli utenti in tema di tecnologie e fornire ai consumatori un’effettiva tutela dei diritti. La richiesta di trasparenza da parte delle aziende è risultata essenziale per quasi la metà dei consumatori considerati dal report, e l’approccio di una società al tema della privacy ha mostrato un impatto che va ben oltre la compliance: gli investimenti in materia di privacy generano valore aziendale non solo per le vendite, ma anche per la sicurezza e la fiducia degli utenti. Investire nella privacy permette, come evidenziato dalle analisi di CISCO, di ridurre i ritardi nelle vendite, di mitigare l’impatto dovuto alle violazioni dei dati, di abilitare il processo di innovazione, di operare con maggiore efficienza, di consolidare la fiducia dei clienti e di attirarne di nuovi.

DATA PROTECTION DAY – Nel 2006, il Consiglio d’Europa ha deciso di istituire il Data Protection Day, da celebrare ogni anno in data #28gennaio, nella ricorrenza della Convenzione 108, che fu aperta alla firma nel 1981 per la protezione delle persone riguardo ai trattamenti automatizzati di dati personali. In forza di questa occasione, gli Stati firmatari si impegnarono ad adottare tutte le misure necessarie nel loro diritto interno, e ad applicare i principi stabiliti dalla stessa Convenzione per garantire il rispetto dei #diritti fondamentali delle persone in relazione al trattamento dei dati personali. La Convenzione 108 mira a creare una forte #comunità internazionale intorno alla protezione dei dati, e svolge un #ruolo fondamentale nel #diffondere il modello europeo di protezione dei dati a livello mondiale, essendo spesso utilizzata come fonte di #ispirazione dai Paesi che intendono adottare nuove normative in materia di rispetto della vita privata o #armonizzare quelle già esistenti con gli standard internazionali. In Italia, la Convenzione 108 è stata da ultimo recepita con la legge n. 60 del 22 aprile 2021 di Ratifica ed esecuzione del Protocollo di modifica alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, fatto a Strasburgo il 10 ottobre 2018. In occasione del Data Protection Day ha luogo, in modo emblematico, la premiazione dello Stefano Rodotà Award, in onore del politico e professore, primo presidente del Garante Privacy che lavorò assiduamente per la promozione dei diritti fondamentali e gettò le basi del diritto alla protezione dei dati europea.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

WHISTLEBLOWING – Confindustria ha recentemente formulato alcune considerazioni (condensate nel documento cd. Position Paper) in merito alla bozza di decreto legislativo in materia di #whistleblowing elaborato dal Governo per dare attuazione alla Direttiva UE 2019/1937. In via generale, emerge dal documento la necessità che sussista un corretto bilanciamento tra la protezione del segnalante e la tutela dell’azienda (che, da parte sua, potrebbe essere colpita da danni reputazionali, nonchè economici, da un abuso dello strumento. In quest’ottica – più in particolare – Confindustria  reputa eccessiva (i) l’estensione dello strumento della segnalazione nelle PMI e (ii) la divulgazione pubblica delle segnalazioni che – riferendosi a violazioni del Modello 231 – risultino già oggetto di segnalazione interna. Il Paper suggerisce inoltre l’inserimento di una specifica disciplina di tutela.

ANALISI ANAC – Al fine di rafforzare la collaborazione con i Responsabili per la Prevenzione della Concorrenza e per la Trasparenza (RPCT), l’Autorità Nazionale Anticorruzione (ANAC) ha recentemente compiuto – attraverso la somministrazione di un questionario – una analisi delle esperienze e delle criticità riscontrate dagli stessi RPCT. I risultati dei questionari (111 in totale, suddivisi in due gruppi, “Amministrazioni medio-grandi” e “Piccole amministrazioni”) sono stati raccolti dall’Autorità all’interno di un documento (“Analisi di esperienze e criticità rilevate dai Responsabili per la Prevenzione della Corruzione e per la Trasparenza – gennaio 2023”). In particolare, tra gli esiti dell’indagine si registrano (i) difficoltà nell’adempiere alla rotazione del personale, (ii) scarsa sensibilità nei confronti della formazione del personale e (iii) inefficienze relative all’aggiornamento dei dati sulla trasparenza.

AIUTI COVID – Con la sentenza n. 1635 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che il sequestro preventivo per indebita percezione di fondi erogati per l’emergenza da Covid-19 è infondato nel caso in cui risultino assenti (i) la condotta ingannatoria del richiedente e (ii) il pericolo di dispersione dei beni. Dichiarando inammissibile il ricorso della Procura – che aveva impugnato il provvedimento di riesame che confermava la insussistenza dei presupposti del sequestro nei confronti della rappresentante legale di una società- gli Ermellini hanno specificato non solo che le condotte poste concretamente in essere dall’indagata erano del tutto lecite ma che, soprattutto, “requisito del provvedimento di sequestro preventivo (…) sia la concisa motivazione anche del ‘periculum in mora’, da rapportare (…) alle ragioni che rendono necessaria l’anticipazione dell’effetto ablativo rispetto alla definizione del giudizio con sentenza”. In altre parole, il Supremo giudice di legittimità esclude categoricamente ogni automatismo decisorio in grado di collegare la pericolosità alla mera natura obbligatoria della confisca.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

GOOGLE – Secondo quanto riportano autorevoli fonti di stampa, pare che il Dipartimento di Giustizia si stia preparando a far causa a Google per la sua #posizionedominante sul mercato della pubblicità digitale. Il colosso di Mountain View è infatti il re indiscusso del settore degli annunci digitali (negli U.S.A. e non solo), detenendo per altro la maggior parte della tecnologia utilizzata per l’acquisto, la vendita e il servizio di pubblicità online ( configurandosi, dunque, come un vero e proprio monopolista). Google – che ha già nel suo cv tre procedimenti legali intentati da altrettanti procuratori generali – viene ora citata in giudizio a livello federale. L’inizio del processo si prevede verso settembre. La denuncia, in particolare, mira a far chiarezza sulla gestione della pubblicità, che farebbe ricavare a google dalle inserzioni l’80% dei suoi ricavi. 

GOOGLE/2 –  Google ha raggiunto un’intesa con l’Unione europa e è impegnato a limitare la propria capacità di apportare modifiche unilaterali agli ordini rispetto a prezzi o cancellazioni, e a creare un indirizzo di posta elettronica riservato alle autorità per la tutela dei consumatori, in modo che quest’ultime possano segnalare e richiedere la rapida rimozione di contenuti illegali. Il risultato di questi adeguamenti saranno informazioni più chiare e accurate sui servizi, con l’obiettivo di allineare le pratiche della piattaforma al diritto dell’Unione europea, in particolare per quanto riguarda la mancanza di trasparenza nei confronti dei consumatori.

CHIPS ACT – La commissione Industria ed energia del Parlamento europeo ha votato favorevolmente il progetto di legge sul Chips Act e, in particolare, ha dato il via libera all’aumento degli investimenti previsti per l’attuazione della normativa. Il Parlamento europeo si è impegnato a creare una rete di centri di competenza per gestire la necessaria formazione di lavoratori specializzati nel settore dei semiconduttori di prossima generazione e sui chip quantistici, con lo scopo di attrarre nuove risorse nella ricerca, nella progettazione e nella produzione. Il progetto permetterà di garantire che l’Unione europea sia all’avanguardia nella ricerca e nell’innovazione, che abbia un ambiente favorevole alle imprese, un processo di autorizzazione rapido e che investa in una forza lavoro qualificata per il settore dei semiconduttori.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO 

RUSSIA – Il Ministero dello sviluppo digitale, delle telecomunicazioni e dei mass media della Federazione russa ha annunciato di aver creato un “Centro nazionale per la crittografia digitale”. Tra i compiti del Centro – che verrà lanciato nel 2024 con l’obiettivo di diffondere l’uso di metodi di protezione crittografica – (i) lo sviluppo di produttori nazionali di strumenti di protezione crittografica, (ii) la formazione pratica per specialisti della sicurezza delle informazioni e lo sviluppo di strumenti per la protezione dei dati personali.

USA

  • NEW YORK

E’ stato presentato all’Assemblea dello Stato di New York il disegno di legge sulla protezione della privacy online dei dipendenti e degli studenti, che, a tutela di queste categorie di soggetti interessati, (i) limita i poteri del datore di lavoro nell’accedere a dati personali riguardo ai propri dipendenti e (ii) garantisce il rispetto delle tutele sui dati personali degli studenti da minacce alla sicurezza dei sistemi delle istituzioni educative.

  • HAWAII

E’ stato proposto al Senato delle Hawaii e approvato in prima lettura il 23 gennaio 2023 il disegno di legge sulla protezione dei dati personali, che mira a stabilire un quadro per regolamentare l’accesso dei titolari e dei responsabili del trattamento ai dati personali dei consumatori e introduce sanzioni e un nuovo fondo speciale per la privacy dei consumatori.

SANZIONI:

  • SPAGNA – L’autorità garante spagnola (“AEPD”) ha sanzionato il Dipartimento dell’Istruzione, della Cultura e dello Sport che, in qualità di Titolare del trattamento, ha condiviso via email con i vari dipartimenti un foglio Excel, contenente nome, cognome, carta d’identità e posizione lavorativa di oltre 200 dipendenti pubblici. 
  • GERMANIA – Il Tribunale regionale di Amburgo ha ritenuto illegittimo il trattamento di dati sanitari conservati in un registro dei tumori. Nonostante la natura del trattamento soddisfasse i caratteri previsti dall’art. 9(2) del GDPR, sarebbe stato però necessario fornire maggiori garanzie di sicurezza, anche a norma delle vigenti leggi nazionali, che invece risultavano carenti.
  • NORVEGIA –  L’autorità garante norvegese (“Datatilsynet”) ha ammonito la Chiesa locale per violazione dei diritti degli interessati ai sensi del GDPR in quanto, in qualità di Titolare del trattamento, raccoglieva le informazioni sulle nuove nascite dal registro nazionale della popolazione, divulgate sulla base della legislazione nazionale, compresi i dati particolari dei neonati, e, se almeno un genitore era un membro della comunità religiosa, il Titolare iscriveva i neonati come “persone affiliate”) in un registro.
  • ROMANIA –  L’autorità rumena per la protezione dei dati ha sanzionato una società nel settore degli elettrodomestici, che, da Titolare del trattamento, inviava SMS pubblicitari al soggetto interessato anche dopo la richiesta di quest’ultimo di essere cancellato dall’elenco del Titolare, condotta effettuata in violazione del diritto all’oblio.
Non è stato fornito nessun testo alternativo per questa immagine

SEZIONE SPECIALE: NOVITA’ DAL MONDO CYBERSEC

NIS2 E SICUREZZA INFORMATICA – Anche a seguito del recepimento della Direttiva NIS 2 (“Network and Information Security”) vengono sempre più in rilievo gli ambiti da implementare per la sicurezza informatica, che non viene vista solo come un insieme di strumenti e mezzi tecnici per prevenire gli attacchi, ma come un insieme di misure organizzative al centro delle quali è posta un’efficace politica di formazione del personale. Dal momento che il lavoro delle società in vari settori non può prescindere dai sistemi informatici, proteggere tali sistemi e i dati in essi contenuti diventa sempre più cruciale, così come definire delle procedure di emergenza in caso di attacco e dei piani di ripristino, in modo analogo a quanto succede per le grandi emergenze o catastrofi naturali. Il framework della Direttiva si articola in diverse azioni, fra le quali (i) l’identificazione dei rischi della tecnologia da parte degli utenti; (ii) la protezione dei sistemi informatici su cui gli utenti operano; (iii) la formazione del personale; (iv) i piani di emergenza predisposti e (v) i piani di ripristino approvati dalla società.

PIANO INFORMATICA PER PA DIGITALE – L’Agenzia per l’Italia Digitale ha pubblicato il Piano triennale per l’informatica nella Pubblica Amministrazione per il periodo dal 2022 al 2024, redatto in collaborazione con numerosi altri dipartimenti, che recepisce ed estende i contenuti del PNRR e rappresenta un’opportunità di accelerare e migliorare l’esecuzione della transizione digitale della Pubblica Amministrazione. Il nuovo Piano triennale favorisce, infatti, lo sviluppo di una società digitale, cerca di promuovere lo sviluppo sostenibile, etico e inclusivo, attraverso l’innovazione e la digitalizzazione al servizio delle persone, delle comunità e dei territori, nel rispetto della sostenibilità ambientale, e di contribuire alla diffusione delle nuove tecnologie digitali nel tessuto produttivo italiano, incentivando la standardizzazione, l’innovazione e la sperimentazione nell’ambito dei servizi pubblici.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Joshua Sortino grazie a Unsplash.

News #3/2023: tra sanzione a WhatsApp e novità sui cookie, i mercati digitali sono in fermento

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • ha suscitato reazioni contrastanti la #sanzione di “soli” 5 milioni di euro inflitta dalla DPC irlandese a Meta, questa volta in relazione a #WhatsApp;
  • importanti indicazioni sui #cookie dal survey predisposto dall’EDPB;
  • si apre (forse) una questione sanità vs. algoritmi tra Regione Veneto e Garante;
  • AGCOM regolamenta l’equo compenso online per la pubblicazioni di news giornalistiche.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • grande attenzione ai temi informatici, ISO e di aggiornamento dei numerosi strumenti di compliance disponibili oggi nella newsletter mensile e nei post di Cesare Gallotti, un profilo che seguiamo con grande interesse!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Ghosts (How Can I Move On) – Muse (2022 – Will Of The People)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY & CYBERSECURITY

WHATSAPP – Il Garante irlandese (DPC) ha annunciato di aver inflitto una sanzione (DI appena 5.5 milioni di euro!) a WhatsApp Ireland Limited. A seguito di una segnalazione era infatti emerso che nel 2018 WhatsApp aveva aggiornato i propri Termini di servizio, informando i propri utenti che una loro #accettazione risultava #necessaria per continuare ad usufruire della piattaforma a seguito dell’introduzione del GDPR. Tale accettazione era stata interpretata dalla società come stipula di un #contratto, tale per cui il conseguente trattamento di dati personali degli utenti (che comprendeva anche la fornitura di profilazione per “miglioramenti del servizio”) risultava #legittimo in quanto eseguito in esecuzione di un contratto. Diversamente, il denunciante sosteneva che tale trattamento si dovesse più correttamente basarsi sul #consenso e che, di fatto, WhatsApp aveva obbligato i propri utenti ad acconsentire, pena l’inutilizzabilità del servizio – come per le precedenti sanzioni imposte di recente a carico di Meta. Con il #provvedimento conclusivo del procedimento è stato imposto a WhatsApp, oltre alla sanzione, un termine di sei mesi per rendere conformi alla normativa vigente le proprie operazioni di trattamento.

COOKIE BANNER – Il Comitato Europeo per la protezione dei dati (EDPB) ha di recente reso noto di aver adottato – nel corso della seduta plenaria di gennaio 2023 – una bozza di relazione in merito al lavoro svolto dalla sua Cookie Banner Task Force, istituita in seguito ai (molti) reclami avanzati da NOYB ai vari Garanti europei. In particolare, all’interno della relazione l’EDPB ha specificato che le diverse Autorità europee hanno raggiunto un accordo circa l’interpretazione delle disposizioni applicabili nel caso concreto, e cioè Direttiva 2002/58/CE (c.d. direttiva #ePrivacy) e Regolamento UE 2016/679 (GDPR). Tra gli argomenti trattati all’interno della relazione, (i) i pulsanti di rifiuto, (ii) i colori ingannevoli e il contrasto dei pulsanti, (iii) la classificazione dei cookie essenziali e (iv) le caselle preselezionate.

UE – DIRETTIVE NIS2 e CER – Lo scorso 16 gennaio la Commissione Europea ha annunciato con un proprio comunicato stampa l’entrata in vigore  di due direttive: (i) la Direttiva UE 2022/2557 sulla resilienza delle entità critiche (cd. Direttiva CER) e (ii) la Direttiva UE 2022/2555 recante disposizioni finalizzate a garantire un livello elevato di #cybersicurezza comune in tutti i Paesi dell’Unione (cd. Direttiva NIS2). Con particolare riferimento alla Direttiva CER, questa impone valutazioni volte a individuare i settori “critici” della società e dell’economia – ossia maggiormente esposti a rischi quali attacchi terroristici, pericoli naturali o sabotaggi – e migliorarne la resilienza. Per quanto righuarda la Direttiva NIS2, la Commissione ha reso disponibile sul proprio sito web una scheda illustrativa nonchè una serie di domande e risposte. Gli Stati membri hanno ora 21 mesi a disposizione per adeguarsi alle disposizioni dettate dalle nuove direttive.

WHISTLEBLOWING E DPIA – Un punto importante dello schema di Decreto Legislativo di recepimento della Direttiva UE 2019/1937 riguardante la #segnalazione di illeciti per contrastare fenomeni di #corruzione, sia nelle imprese private che nelle Pubbliche Amministrazioni – che l’11 gennaio scorso ha ricevuto #parerepositivo dall’Autorità Garante – è dedicato al trattamento di dati personali nei procedimenti di whistleblowing. All’art. 13 si chiariscono infatti gli adempimenti necessari per la corretta applicazione della disciplina #privacy, tra i quali, al comma 6, è previsto che gli enti debbano definire il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, “sulla base di una #valutazionediimpatto sulla protezione dei dati”. Tutti gli enti dovranno quindi attivare canali sicuri, soprattutto quando si utilizzano piattaforme online o Internet per fare in modo di garantire ai segnalatori la riservatezza sulla loro identità, necessaria ad assicurare sia il flusso di informazioni sugli illeciti, sia a #proteggere gli stessi #whistleblower da atti ritorsivi e persecutori.

REGIONE VENETO E ALGORITMI IN SANITA’ – Il Garante per la protezione dei dati personali ha recentemente annunciato di aver inviato alla Regione Veneto una richiesta formale al fine di verificare la compatibilità di una #delibera – in virtù della quale sarebbe un #algoritmo, e non più un medico di medicina generale, a scegliere la classe di priorità della prestazione sanitaria richiesta dai pazienti – con la normativa privacy vigente. La questione è particolarmente delicata, non solo perché comporterebbe un trattamento su larga scala di dati sanitari (particolari, e dunque sensibili, ai sensi dell’art. 9 GDPR), ma anche perché dalle prime informazioni in possesso dell’Autorità sembrerebbe che le valutazioni espresse dall’algoritmo non potrebbero in concreto essere #modificate da nessun medico. La Regione Veneto dispone ora di 20 giorni per comunicare all’Autorità tutti gli elementi utili ai fini della valutazione dell’Autorità, tra cui (i) il tipo di algoritmo utilizzato, (ii) la norma giuridica posta alla base del trattamento e (iii) le tipologie di informazioni e di documenti trattati. La Regione, inoltre, dovrà specificare il numero di pazienti coinvolti, le modalità attraverso le quali ha informato gli interessati e gli elementi relativi alla valutazione di impatto (DPIA) effettuata.

CASO MESSINA DENARO –  Il clamoroso arresto del boss mafioso Matteo Messina Denaro  – latitante dal 1993 e catturato lo scorso 16 gennaio a Palermo, in una clinica privata presso la quale si trovava in cura – ha scatenato una pioggia di commenti, reazioni, riflessioni e (prevedibilmente)…infiniti articoli giornalistici. Sul punto è prontamente intervenuto il Garante per la protezione dei dati personali italiani che, in un comunicato diffuso sul proprio sito web, ha ribadito ai media il rispetto del #principio di #essenzialità fissato dalle Regole deontologiche della professione giornalistica. “Anche in casi di vicende di assoluto interesse pubblico” – scrive il Garante – “riguardanti persone che si sono macchiate di crimini orribili, la #pubblicazione integrale di referti, o la diffusione di dettagli particolareggiati presenti nelle cartelle cliniche relative a patologie, non appare giustificata”. 

TASSONOMIA STRUMENTI INFORMATICI – La ACN (Agenzia per la Cybersicurezza Nazionale) ha di recente annunciato la pubblicazione in Gazzetta Ufficiale di una nuova tassonomia degli incidenti informatici che devono essere notificati al fine di rafforzare il cd. Perimetro Nazionale di Cybersicurezza. Nel suo comunicato l’Agenzia pone l’accento sull’art. 1, comma 3-bis del D.L. n.115 dello scorso 9 agosto 2022 (convertito con l. n. 142/2022) il quale impone l’obbligo di notificare all’ACN, nel termine di 72 ore, ogni incidente che (i) interessa beni informatici compresi nel Perimetro Nazionale di Cybersicurezza nonchè (ii) gli incidenti che impattano su reti, sistemi e servizi informativi non contemplati in maniera diretta nel Perimetro. La nuova #categorizzazione degli incidenti informatici entrerà in vigore il prossimo 25 gennaio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

INTERDITTIVA ANTIMAFIA E AGEVOLAZIONI PUBBLICHE – Con la sentenza n. 49124 (disponibile gratuitamente per gli iscritti all’associazione Aodv231) la Corte di Cassazione ha stabilito che il #sequestropreventivo dei fondi ottenuti da una società durante il periodo di emergenza pandemica non può fondarsi sulla #omessadichiarazione circa l’interdittiva antimafia a carico di una società diversa da quella che ottenuto il beneficio, anche se facente parte del medesimo gruppo societario. Oltre a ciò, la Corte chiarisce che – in ogni caso – l’accesso a fondi e contributi è precluso per la società destinataria di una interdittiva antimafia solamente nel momento in cui questa diventa definitiva. 

AUTONOMIA DELLA RESPONSABILITÀ DELL’ENTE –  La Corte di Cassazione è recentemente tornata ad esprimersi in materia di #autonomia della responsabilità dell’ente rispetto a quella propria del soggetto (apicale o sottoposto) autore del reato. Sul presupposto che non può essere condannata una società senza il dovuto approfondimento circa l’incidenza della c.d. colpa di organizzazione ai fini della commissione del fatto di reato, con sentenza n. 570 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) gli Ermellini hanno annullato la condanna di una società. In particolare, in conseguenza di un incidente mortale – verificatosi a causa di una non corretta edificazione di un ponteggio – l’ente era stato #condannato per l’illecito di cui all’art. 25-septies, comma 3 del Decreto 231. Secondo i giudici, tuttavia, i profili di colpa ascrivibili all’amministratore della società in quanto datore di lavoro non possono automaticamente addebitare all’ente, senza le dovute valutazioni e le necessarie prove circa la citata colpa di organizzazione.

INQUINAMENTO E AUTORIZZAZIONE INTEGRATA AMBIENTALE – Con sentenza dello scorso 10 gennaio (n. 398, consultabile gratuitamente per gli iscritti all’associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che il reato di #inquinamento ambientale non si estingue con il rilascio dell’autorizzazione di cui all’art. 29-bis del D. Lgs. 152/2006. Nel pronunciarsi, i giudici di piazza Cavour hanno chiarito che (i) la semplice effettuazione del programma necessario all’ottenimento dell’autorizzazione non è sufficiente a determinare l’estinzione del reato e (ii) il rilascio della certificazione non produce effetti sui reati già commessi.

SISTEMA DI GESTIONE DELLA SICUREZZA – La regolarità del sistema di gestione della sicurezza, secondo quanto previsto dal D. Lgs. 81/2008, non esclude la responsabilità dell’ente per i reati previsti dal Decreto 231. Lo ribadisce la Corte di Cassazione, IV sez. penale, con la sentenza 45131/2022 (disponibile gratuitamente per gli iscritti ad Aodv231).  I giudici di legittimità hanno ritenuto irrilevante la presenza, al momento dell’infortunio sul luogo di lavoro, sia di un #sistema di #gestione della sicurezza che dell’individuazione di tutti i soggetti da esso previsti. Queste misure, infatti, sono funzionali alla prevenzione degli infortuni sul lavoro, ma è il Modello 231 a determinare e rispondere alle necessità di mappare le aree maggiormente a rischio e di disporre i controll opportuni per assicurare l’adempimento degli obblighi in ambito di sicurezza sul lavoro, così da contenere il rischio di commettere reati, violando la normativa antinfortunistica. 

INDICATORE PNRR PER DEBITI COMMERCIALI – Dal 1° gennaio il rispetto dei tempi di pagamento della Pubblica Amministrazione sarà misurato da indicatori funzionali all’erogazione dei fondi del PNRR, con un #parametro elaborato grazie alla riforma sulla “Riduzione dei tempi di pagamento delle PA e del sistema sanitario”, inserita fra quelle abilitanti del Piano, che prevede il rispetto dei tempi di pagamento previsti dalla normativa nazionale ed europea entro il quarto trimestre 2023, con conferma nel 2024.

VENDITA FALSI PRODOTTI DOC – La Cassazione con la sentenza n. 47810/2022 (disponibile gratuitamente per gli iscritti al sito Aodv231) ha respinto un ricorso secondo il quale il sequestro, finalizzato alla confisca per equivalente, non poteva essere supportato dal reato associativo, strumento utile di per sé a commettere reati che, solo potenzialmente, possono portare profitto. I giudici di legittimità hanno così condannato alla misura del #sequestro preventivo delle #quote sociali – per l’illecito amministrativo previsto dalla legge 231/2001 – la cooperativa che vendeva falsi vini DOC.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

EQUO COMPENSO PER PUBBLICAZIONI ONLINE – L’Autorità Garante nelle Comunicazioni (“AGCOM”) ha approvato un regolamento sulla determinazione dell’equo compenso per l’utilizzo online delle pubblicazioni giornalistiche, in base al quale, per la #diffusione online dei #contenuti #giornalistici, le piattaforme dedicate dovranno stipulare specifici contratti con gli editori e determinare quanto della raccolta pubblicitaria proveniente da tale utilizzo debba essere corrisposta a questi ultimi. Lo scopo principale è di incentivare accordi tra editori e prestatori di servizi della società dell’informazione, comprese le imprese di media monitoring e rassegne stampa, ispirandosi alle pratiche commerciali e ai modelli di business adottati dal mercato. 

INTELLIGENZA ARTIFICIALE PER I RETAILER – Sono state lanciate sul mercato alcune tecnologie digitali funzionali ad aiutare i retailer a trasformare i loro processi di controllo degli scaffali in negozio e migliorare i loro siti di e-commerce con esperienze di acquisto online più fluide e naturali per i clienti. In particolare, è disponibile in anteprima a livello globale la nuova #soluzione di #controllo degli #scaffali basata sull’intelligenza artificiale di Google Cloud, che permette di aiutare i retailer a migliorare la disponibilità dei prodotti sugli scaffali, fornire una migliore visibilità sull’aspetto effettivo dei loro scaffali e aiutarli a capire dove sono necessari rifornimenti. L’intelligenza artificiale per il controllo degli scaffali consente ai retailer di risolvere il problema di come identificare prodotti di tutti i tipi, su larga scala, basandosi esclusivamente sul caratteristiche visive e testuali di un prodotto, e tradurre tali dati in insight fruibili.

PROGETTO EURO DIGITALE – Alla sede del Consiglio Economia e finanza a Bruxelles i ministri dell’Economia dell’Unione europea hanno discusso alcune richieste sul progetto allo studio della Banca Centrale Europea (“BCE”) sull’Euro digitale, che dovrebbe integrare il contante ed essere introdotto in un contesto di #digitalizzazione dell’economia. Secondo le aspettative, l’Euro digitale potrebbe garantire l’accesso alla moneta della BCE per gli utenti della zona euro in tempi di maggiore digitalizzazione dei #pagamenti, dovrebbe essere sicuro e resiliente, e garantire un elevato livello di privacy, essendo facile da usare e ampiamente accessibile al pubblico, anche in termini di costi per gli utenti finali.

SANITA’ DIGITALE – Il recente report di CB Insight sulla sanità digitale ha evidenziato le principali criticità riguardanti i “deserti sanitari”, cioè aree geografiche con un accesso limitato alle cure e ai servizi sanitari fondamentali, e i fattori socio-economici che di fatto limitano l’accesso alle cure, come lo scarso accesso a Internet, la scarsa alfabetizzazione sanitaria e un basso livello di istruzione. Il #report identifica i principali obiettivi della sfida tecnologica in sanità, che corrispondono anche alle #quattro #aree a maggior intensità di investimenti: (i) portare i pazienti alle cure, abbassando le barriere di accesso alle cure in ambulatorio; (ii) portare le cure al paziente, aumentando gli strumenti direct-to-consumer e favorendo l’accesso alle cure; (iii) in-store innovations, sfruttando l’hardware che trasforma i retailer in sandbox per i futuri centri di cura e (iv) il potenziamento dei software per l’accesso ai centri di cura.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SPAGNA – L’AEPD, Autorità garante spagnola, ha annunciato lo scorso 17 gennaio di aver approvato il nuovo Codice di condotta relativo al trattamento dei dati per attività pubblicitarie. Il nuovo Codice – che rivede quello inizialmente approvato il 3 novembre 2022 e che entrerà in vigore il prossimo 28 gennaio – si applicherà al trattamento di dati a fine pubblicitario, tra cui (i) comunicazioni commerciali, (ii) utilizzo di cookie per pubblicità comportamentale o profilazione e (iii) promozioni effettuate al fine di raccogliere dati personali a fini pubblicitari. Il Codice prevede inoltre un modulo online come sistema di risoluzione extragiudiziale delle controversie nell’ambito del quale AUTOCONTROL (Associazione per l’auto-regolamento della comunicazione commerciale) opererà in veste di mediatore. Si specifica, inoltre, che qualora i reclami dovessero essere inoltrati direttamente all’AEPD, questa si riserverà il diritto di deferirli al Giurì della pubblicità.

CINA – La China Academy for Information Communications Technology (“CAICT”) ha pubblicato un recente paper sulla legislazione informatica, evidenziando lo sviluppo della legislazione in materia di protezione dei dati personali nel 2022, compresa quella incentrata sui trasferimenti transfrontalieri di dati e sulla regolamentazione delle piattaforme digitali. Il CAICT ha sottolineato anche la necessità di migliorare l’attuale supervisione dei trasferimenti transfrontalieri di dati personali nelle bozze di regolamento, nonché la regolamentazione del trattamento di categorie speciali di dati personali, come i dati relativi ai minori o i dati sanitari, in base alla base giuridica stabilita dalla legge sulla protezione delle informazioni personali (“PIPL”).

DANIMARCA – Datatilsynet, Autorità garante danese, ha annunciato di aver avviato, in seguito alla segnalazione di un privato, un’indagine nei confronti della regione Jutland centrale. Il segnalante – paziente dell’ospedale universitario di Aarhus – aveva infatti denunciato l’uso da parte della struttura sanitaria del social Instagram. In particolare, l’Autorità ha riferito che sull’account social dell’ospedale era possibile ritrovare pubblicate foto dei propri pazienti, tali da rivelare informazioni personali sui pazienti interessati. Per tale ragione Datatilsynet ha inviato all’ospedale una serie di domande sull’utilizzo del social, tra le quali la base giuridica prescelta per il trattamento e i risultati delle valutazioni dei rischi e delle analisi d’impatto compiute.

REGNO UNITO – L’ICO ha recentemente manifestato alcune preoccupazioni riguardo all’utilizzo dell’intelligenza artificiale (“AI”) da parte delle autorità locali, dopo aver condotto un’indagine sullo sviluppo, lo scopo e le funzioni di algoritmi e sistemi utilizzati dalle autorità locali nel processo decisionale in merito al diritto a benefici nel sistema di welfare. L’ICO ha osservato che il coinvolgimento umano deve essere tenuto in considerazione prima che venga presa qualsiasi decisione definitiva sul diritto alle prestazioni, e che qualsiasi decisione deve considerare alcuni passaggi pratici, quali (i) adottare un approccio di protezione dei dati by design e by default; (ii) essere trasparenti su come vengono utilizzati i dati personali; (iii) identificare ogni potenziale rischio per la privacy delle persone, valutando la possibilità di condurre una valutazione dell’impatto sulla protezione dei dati (“DPIA”).

USA:

  • VIRGINIA – E’ stato approvato e aggiunto al Codice della West Virginia un articolo (HB 2460) che mira a fornire una effettiva protezione della privacy online per i minori, e delinea termini che includono informazioni su bambini, operatori, genitori e personali. L’art. HB 2460 stabilisce che gli operatori devono fornire avvisi sul sito Web di quali informazioni vengono raccolte dai bambini, di come l’operatore utilizza tali informazioni e le pratiche di divulgazione dell’operatore per tali informazioni.
  • MASSACHUSETTS – E’ Stata presentata in Massachusetts una proposta di legge sulla protezione dei dati personali, che stabilisce importanti principi in materia di protezione dei dati personali, tra i quali, che le entità interessate dalla normativa non potranno raccogliere, elaborare o trasferire dati personali, a meno che non siano limitati a ciò che è ragionevolmente necessario e proporzionato per scopi specifici. 

SANZIONI:

  • SPAGNA – L’Autorità spagnola per la protezione dei dati personali (AEPD) ha recentemente pubblicato una propria decisione nella quale ha inflitto una sanzione (50 mila euro, poi ridotta a 40 mila) alla società Endesa Energía per violazione dell’art. 32 GDPR. Chiamata ad indagare da un reclamo proposto da un privato, l’AEPD ha infatti scoperto che Endesa Energía aveva ceduto il contratto con il denunciante ad un’altra società, e ciò (i) senza raccogliere il consenso dell’interessato e (ii) senza fornire un SMS certificato idoneo a provare l’accettazione del contratto. L’Autorità ha pertanto constatato una violazione di riservatezza, in quanto la Endesa Energía ha consentito ad una entità terza di accedere ai dati di un proprio cliente senza una valida base giuridica. 
  • NORVEGIA – L’autorità garante norvegese (“Datatilsynet”) ha sanzionato una società di spedizioni e logistica per violazione dell’articolo 32 del GDPR, per aver condotto un’insufficiente valutazione dei rischi e per la mancanza di misure di sicurezza nell’utilizzo dell’applicazione MyPostNord, che utilizzava i numeri di telefono come unico mezzo di autenticazione per accedere al profilo del cliente. L’autorità garante ha affermato che l’utilizzo dei numeri di telefono come unico fattore di autenticazione e verifica avrebbe creato una violazione del principio di riservatezza, soprattutto nel caso in cui i numeri di telefono fossero assegnati a nuovi proprietari ma i profili di servizio della società non venissero aggiornati.
  • POLONIA – L’autorità garante polacca ha sanzionato uno studio legale, Titolare del trattamento, avente attività principale nella consulenza in materia di incidenti stradali. Nel corso di queste attività, il Titolare del trattamento ha interagito con potenziali clienti al fine di valutare la loro situazione giuridica e le possibilità di far valere i loro diritti, ma, prima di interagire con gli interessati, il Titolare ha chiesto verbalmente il consenso al trattamento dei loro dati personali, senza prendere nota e dare, di conseguenza, alcuna dimostrazione all’autorità dell’ottenimento legittimo di tale consenso.
Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Timon Studler grazie a Unsplash.

News #2/2023: Corte di Giustizia, EDPB, giurisprudenza italiana e AGCM, quante decisioni.

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • l’EDPB rende #pubblica la propria decisione che ha “imposto” la sanzione a #Meta;
  • la Corte di Giustizia dell’UE ha pubblicato due #decisioni molto impattanti sulla compliance aziendale, che richiedono una riorganizzazione della gestione delle istanze degli interessati;
  • novità in materia di #accessibilità dei siti web e delle app, direttamente da #AgID;
  • dalla #giurisprudenza 231 arrivano importanti indicazioni in materia di confisca e infortuni sul lavoro;
  • importante sanzione #AGCM a Yoox.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • spunti e approfondimenti, sempre attuali, delle principali novità in materia privacy e data protection sul profilo LinkedIn di data TENET®, che seguiamo attentamente anche noi in Project:IN per non perderci mai una news!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Slow Dancing in a Burning Room – John Mayer (2006 – “Continuum”)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DECISIONE VINCOLANTE EDPB SU META –  Lo scorso 12 gennaio il Comitato europeo per la protezione dei dati personali (EDPB) ha annunciato di aver pubblicato le sue decisioni vincolanti nell’ambito delle controversie promosse dal Garante irlandese contro Meta in relazione ai servizi Instagram Facebook.  Le decisioni, adottate ex art. 65 GDPR, costituiscono il risultato di una serie di indagini e valutazioni condotte dall’EDPB – e recepite dalla DPC irlandese all’interno del suo provvedimento dello scorso 31 dicembre 2022 –  circa la trasparenza e la liceità del trattamento relativo alla pubblicità comportamentale attuata dalle due piattaforme. All’appello manca ora soltanto la decisione vincolante relativa a WhatsApp, che arriverà non appena il Garante irlandese avrà pubblicato la propria decisione a riguardo.

I RICORSI SECONDO LA CGUE… – La Corte di Giustizia dell’Unione europea (CGUE) ha emesso una sentenza in materia di ricorsi amministrativi e civili previsti dal GDPR. La questione aveva preso le mosse da un ricorso amministrativo presentato all’Alta Corte di Budapest da un individuo il quale, avendo preso parte ad una riunione della società NAIH e avendo esercitato il diritto di accesso alle registrazioni della seduta, si era visto consegnare soltanto gli estratti che riproducevano i suoi interventi. Il soggetto, inoltre, aveva contestualmente avviato avverso la decisione della società anche un procedimento in sede civile, basata sul diritto sancito dal GDPR  di proporre ricorso giurisdizionale in caso di violazione dei diritti in esso stabiliti. Interpellata circa la possibilità che uno dei due rimedi abbia prevalenza sull’altro – soprattutto al fine evitare contrasti tra giudicati – la CGUE ha chiarito che il GDPR non prevede alcuna gerarchia tra i rimedi amministrativi e civili, sottolineando che è demandato ai singoli stati membri il compito di garantire che il concorso dei rimedi attribuiti agli interessati non mettano in dubbio l’effettività e la tutela dei loro diritti.

… E L’ESERCIZIO DEI DIRITTI SECONDO LA CGUE – In un’altra importante decisione della scorsa settimana, la Corte ha stabilito che un interessato ha #diritto a conoscere tutti (nessuno escluso!) i destinatari dei propri dati personali, a cui un titolare oggetto di istanza di accesso ha trasferito tali informazioni. Non è sufficiente, secondo la Corte, l’indicazione delle (sole) categorie di destinatari, ma la loro elencazione analitica, salvo che sia tecnicamente impossibile o comunque di un livello di complessità molto alto, ovvero nel caso in cui la richiesta sia manifestamente infondata o eccessiva – casi molto molto rari, è utile chiarirlo subito. In sostanza, sulle istanze di accesso ai dati personali ogni azienda dovrà rivedere profondamente i propri strumenti di analisi e risposta, in tempi brevi.

TIKTOK vs. CNIL – Con il comunicato stampa dello scorso 12 gennaio, l’Autorità francese per la protezione dei dati (CNIL) ha annunciato di aver sanzionato il social network TikTok per 5 milioni di euro in ragione della violazione della ePrivacy Directive e della legge locale francese, ritenendosi direttamente e territorialmente competente a emettere tale sanzione nei confronti di due società con sede in UK e Irlanda di proprietà del colosso cinese, ritenendo non direttamente applicabile il regime di one-stop-shop di cui al GDPR.

PUBBLICAZIONE DI VIDEO DI MINORI – Eva Kaili, ex vicepresidente del Parlamento Europeo nonché una dei protagonisti dello scandalo ormai noto come #Quatargate, ha di recente ricevuto la visita della figlia (minorenne) nel carcere di Haren. La notizia, che ha fatto il giro di tutta l’Europa, è stata corredata dalla stampa online da un video nel quale si vede chiaramente la minore. La questione non è passata inosservata agli occhi del Garante italiano il quale, con un comunicato stampa diffuso lo scorso 9 gennaio, ha definito il video lesivo della personalità e dello sviluppo psico-fisico della bambina in quanto comporta la permanenza di immagini che violano riservatezza e anonimato per un tempo potenzialmente infinito. L’Autorità ha pertanto invitato gli organi di stampa e i social media ad astenersi dal diffondere tali immagini, soprattutto alla luce del fatto che il contenuto non si connette ad alcun interesse pubblico rispetto alla vicenda del Qatargate. A tal fine, il Garante richiama le regole deontologiche connesse alla professione di giornalista e la Carta di Treviso, che impone una tutela rafforzata in caso di soggetti minorenni.

PROTOCOLLO DI INTESA PER LA CYBERSECURITY –  Con il comunicato stampa del 11 gennaio, l’Agenzia Nazionale per la Cybersecurity (“ACN”) ha annunciato la firma del protocollo di intesa sulla sicurezza informatica con la Camera dei dei Deputati, che si inserisce sia in un contesto globale sempre più complesso per la cybersicurezza, sia nel percorso di trasformazione digitale avviato dalla Camera nello svolgimento della sua funzione istituzionale. In particolare, lo scambio efficace di informazioni per il potenziamento dei servizi di gestione e contenimento delle minacce informatiche, la realizzazione di collaborazioni attraverso la definizione di best practice, nonché l’aggiornamento e la formazione del personale, rivestiranno una notevole importanza che permetterà di avviare un confronto qualificato a tutela dell’Istituzione e nell’interesse generale del Paese.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

DATI DALLA GIURISPRUDENZA DEL TRIVENETO – L’Osservatorio 231 del Dipartimento di diritto pubblico, internazionale e comunitario dell’Università degli Studi di Padova ha recentemente pubblicato un documento di sintesi relativo alle categorie di reati-presupposto maggiormente trattati dai tribunali del Triveneto (Trentino – Alto Adige, Veneto e Friuli – Venezia Giulia) nel triennio 2019-2021. In primo luogo, il report segnala una significativa riduzione dei procedimenti 231 nell’area geografica di riferimento nell’anno 2020, dato chiaramente influenzato dalla generalizzata riduzione delle attività imprenditoriali a causa dell’emergenza pandemica. Per quanto riguarda l’analisi delle categorie di reato riscontrate, il 70% degli illeciti sono relativi a reati contro la pubblica amministrazione, ambientali e di omicidio e lesioni colpose derivanti dalla violazione della normativa dettata in materia di salute e sicurezza. In crescita, tuttavia, il trend relativo ai reati tributari.

OPERAZIONI TRANSFRONTALIERE – Lo schema di decreto legislativo di recepimento della Direttiva (UE) 2019/2121, presentato dal Governo il 9 dicembre 2022 e sul quale il Parlamento si dovrà esprimere con un parere entro il 19 gennaio 2023, (i) propone l’armonizzazione delle disposizioni sulle operazioni di trasformazione e scissione transfrontaliera, (ii) modifica la disciplina della fusione societaria. L’obiettivo della normativa è quello di fornire alle società nuove possibilità di crescita economica, di concorrenza effettiva e di produttività, senza rinunciare a garantire elevati livelli di protezione sociale. Inoltre, la normativa punta a facilitare le trasformazioni, fusioni e scissioni transfrontaliere delle aziende dell’Unione europea, al fine di assicurare una maggiore mobilità ed eliminare barriere ingiustificate alla libertà di stabilimento nel mercato unico europeo. A tal fine, si prevede il rilascio di un certificato preliminare come esito della regolare presentazione di progetti di operazioni transfrontaliere. Lo schema impone inoltre sanzioni penali in caso di false o omesse dichiarazioni in relazione alla sussistenza delle condizioni richieste per il rilascio del citato certificato – illecito peraltro inserito, nella proposta del Governo, all’interno del catalogo dei reati-presupposto del Decreto 231 attraverso la modifica dell’art. 25-ter.

CONFISCA DI PREVENZIONE MAFIOSA – La Corte di Cassazione si è recentemente pronunciata, nella sentenza n. 47388/2022 (qui su IusinItinere), sui presupposti applicativi della misure di prevenzione patrimoniale della confisca. Nel caso di specie, la confisca era stata posta in essere nei confronti di un indagato per appartenenza ad un’associazione mafiosa. La Corte ha ritenuto applicabile la misura, nonostante fosse possibile determinare il momento iniziale e finale della pericolosità qualificata, anche su beni acquisiti in periodo successivo a quello di cessazione della condotta permanente. Questo perché sono risultate una serie di evidenze di fatto che hanno provato la diretta derivazione delle acquisizioni patrimoniali dalla provvista nel periodo di compimento dell’attività delittuosa. 

INFORTUNI SUL LAVORO – La Corte di Cassazione è intervenuta recentemente con la sentenza 570/2023 a sottolineare alcuni principi in materia di infortuni sul lavoro e responsabilità 231. La società ricorrente era stata condannata, in primo luogo, per non aver svolto adeguate valutazioni relative ai fornitori, che erano previste, in realtà, dal Modello organizzativo; e secondariamente per non avere predisposto a norma alcune infrastrutture lavorative, nonostante la loro corretta edificazione fosse prevista dalla disciplina aziendale. Le mancanze sono state ritenute imputabili all’Amministratore della società, in qualità di datore di lavoro e in quanto tenuto al rispetto delle norme in materia di sicurezza e prevenzione. I giudici di legittimità, nell’indagine sulla configurabilità dell’illecito per la società, hanno stabilito che le condotte colpose dei soggetti-persone fisiche, presupposto dell’illecito amministrativo, rilevano laddove sia riscontrabile la mancanza o l’inadeguatezza delle cautele predisposte per la prevenzione dei reati previsti dal Decreto 231. È la carenza di tali misure organizzative, in quanto atte a determinare le condizioni di verificazione del reato presupposto, che giustifica il rimprovero e l’imputazione dell’illecito al soggetto collettivo, oltre a sorreggere la costruzione giuridica per cui l’ente risponde dell’illecito per fatto proprio (e non per fatto altrui).

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

YOOX vs. AGCM – Il comunicato stampa emesso da AGCM lo scorso venerdì 13 gennaio ha portato cattive notizie per un importante player del settore eCommerce, YOOX Net-a-Porter Group. L’Autorità Garante ha infatti ravvisato, in un’azione di monitoraggio nel periodo 2019-2022, gravi comportamenti da parte della società consistiti, tra le altre cose, in (i) l’annullamento di ordini online già perfezionati al superamento, da parte del consumatore, di determinate soglie di “reso”, (ii) un comportamento ingannevole riguardo ai prezzi esposti, consistiti – a seconda del periodo – in un aumento del prezzo poi oggetto di sconto (cosicchè di fatto sconto non vi era), oppure in un calcolo dello sconto su un prezzo “medio” presente sul mercato, e non su quello effettivamente praticato dall’eCommerce. Tutto questo, senza alcuna trasparenza verso il consumatore: di conseguenza, la sanzione è stata calcolata in ben 5 milioni di euro, oltre alla necessità (entro 60 giorni) di indicare da parte della società i correttivi che intende introdurre per superare i rilievi mossi.

ACCESSIBILITA’ DEI SITI WEB E DELLE APP – Nei giorni scorsi AgID (“Agenzia per l’Italia digitale”) ha pubblicato una circolare con i chiarimenti interpretativi sull’estensione da parte del DL 76/2020 di alcuni vincoli già in essere per le Pubbliche Amministrazioni dal 2004, in merito a specifici strumenti per consentire l’utilizzo di siti web e applicazioni mobile anche a soggetti con disabilità. Sono interessati da tale provvedimento i soggetti che offrono servizi al pubblico e che hanno conseguito un fatturato medio, negli ultimi tre anni di attività, superiore a 500 milioni di euro, con l’obiettivo di consentire la più ampia inclusione delle persone con disabilità verso servizi essenziali o comunque di largo accesso.

USO DEI SOCIAL – Interessante report annuale di MGP & Partners sull’utilizzo dei social network, disponibile seguendo questo link: per i brand, tra le altre cose, emerge come di grande importanza la capacità di #ascoltare con più attenzione le esigenze dei consumatori, in un mondo iper connesso e dove anche l’opinione del singolo, ormai, conta.

TWITTER – L’ondata di licenziamenti che ha segnato le #BigTech nel corso dello scorso 2022 pare non essersi fermata. A far parlare di sé è ancora una volta #Twitter, che comincia il nuovo anno con il licenziamento di circa 12 dipendenti del team di moderazione dei contenuti impiegati nelle sedi di Singapore e Dublino. In particolare, pare che i dipendenti coinvolti nel taglio avessero il compito di agire per il contrasto della disinformazione online. 

TIKTOK – Il nuovo set normativo europeo in materia di dati personali comincia a mostrare la sua forza oltre i confini dell’Unione. Lo scorso 10 gennaio, l’amministratore delegato di TiTok (Shou Zi Chew) è stato attenzionato – nel corso di una giornata fitta di incontri con alcuni dei commissari europei – del fatto che la società deve tornare a guadagnarsi la fiducia dell’Unione. Tra i vari argomenti trattati, di particolare importanza (i) la sicurezza dei minori, (ii) la trasparenza dei contenuti politici a pagamento e (iii) la conformità, appunto, con la nuova normativa europea in materia di privacy, in particolare con il Digital Services Act e il Digital Markets Act.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA/1 – La Federal Communications Commission (“FCC”) ha annunciato la propria bozza di regolamento che aggiornerà i requisiti di segnalazione delle violazioni dei dati relativi alle reti proprietarie dei clienti (“CPNI”). In particolare, la FCC ha spiegato che intende allineare le sue regole con i recenti sviluppi delle leggi federali e statali sulla violazione dei dati, vigenti in altri settori. In particolare, la normativa proposta mira a (i) rimuovere l’attuale periodo di attesa obbligatorio di sette giorni lavorativi per la notifica ai clienti di una violazione, (ii) a richiedere la notifica al consumatore da parte dei vettori di violazioni involontarie e (iii) a imporre la notifica di tutte le violazioni segnalabili al FCC, il Federal Bureau of Investigation (“FBI”) e i servizi segreti statunitensi.

USA/2 – La Federal Trade Commission (“FTC”) ha di recente annunciato di aver emesso un ordine contro la società Drizly LLC per violazione del Federal Trade Commission Act. In particolare, sono emerse importanti falle nel sistema di sicurezza della società che hanno comportato la violazione di dati personali di circa 2,5 milioni di consumatori. Secondo quanto riferito dalla FTC, sebbene fosse già stata avvisata negli scorsi anni della vulnerabilità dei propri sistemi, la società non aveva di fatto provveduto ad adottare misure idonee a garantire un’adeguata protezione dei dati. Nell’ordine emesso dall’Autorità viene richiesto a Drizly, tra le altre cose, di (i) attuare un programma di sicurezza delle informazioni e stabilire garanzie di sicurezza, (ii) dichiarare sul proprio sito web le categorie di informazioni che raccoglie e i motivi per cui tale raccolta è necessaria e (iii) distruggere tutti i dati raccolti senza necessità, nonché astenersi dal raccogliere in futuro dati e informazioni non necessari per gli scopi prefissati in apposito programma di conservazione.

REGNO UNITO/1 – Il Center for Data Ethics and Innovation (“CDEI”) ha aggiornato l’Algorithmic Transparency Recording Standard, a seguito di una fase pilota in tutto il settore pubblico. Il CDEI ha affermato che lo standard aiuterà le organizzazioni del settore pubblico a fornire informazioni chiare sugli strumenti algoritmici che utilizzano, e sul motivo per cui li utilizzano, dato che la trasparenza in questo settore richiede apertura su come gli strumenti algoritmici supportano il processo decisionale, e sulle decisioni assistite da algoritmi in un formato completo, aperto, comprensibile, facilmente accessibile e gratuito.

REGNO UNITO/2 – Lo scorso 10 gennaio la FCA (Financial Conduct Authority) ha annunciato di aver emesso un avviso con il quale ha sanzionato la Guaranty Trust Bank (UK) per importanti lacune in materia di antiriciclaggio nel periodo compreso tra l’ottobre 2014 e il luglio 2019. Secondo l’Autorità, nel lasso temporale preso a riferimento, la Guaranty Trust Bank non ha adeguatamente compiuto valutazioni in merito al rischio dei clienti, non valutando e/o documentando, in particolare, i rischi connessi ad attività di riciclaggio. Per tali motivi, la banca è stata raggiunta da una sanzione di ben 7,6 milioni di sterline.

SLOVENIA – La legge sulla protezione dei dati personali (“ZVOP-2”) è stata pubblicata nella Gazzetta ufficiale, dopo essere stata adottata dall’Assemblea nazionale della Repubblica di Slovenia il 15 dicembre 2022. In particolare, la ZVOP-2, che recepisce il GDPR nella legislazione locale, entrerà in vigore il 26 gennaio 2023, sostituendo così l’attuale legge sulla protezione dei dati personali del 2004.

WASHINGTON D.C. – Il Procuratore Generale (“AG”) ha annunciato un accordo di $ 9.500.000 con Google LLC per dirimere la controversia sorta in seguito alle pratiche di tracciamento della posizione di Google, che si era impegnata in pratiche ingannevoli, tra le quali una serie di attività che avrebbero ripetutamente spinto gli utenti ad abilitare la posizione in determinate app, per la ragione che i prodotti non avrebbero funzionato correttamente se la posizione non fosse stata abilitata. L’accordo stabilisce anche che, entro 180 giorni dalla data di entrata in vigore, Google dovrà predisporre un report che dimostri il proprio rispetto dell’accordo. 

GIAPPONE –  il ministero dell’Interno e delle comunicazioni giapponese (“MIC”) ha aperto una consultazione pubblica, che durerà fino al 30 gennaio 2023, sulla bozza di orientamento sui danni causati da un attacco informatico, sottolineando che, con l’aumentare della minaccia di attacchi informatici, sarà vantaggioso sia per l’organizzazione lesa che per la collettività condividere le informazioni sugli attacchi informatici, per chiarire l’intera portata degli eventuali danni e rafforzare le contromisure da adottare.

INDIA – Il Ministero dell’elettronica e dell’informatica indiano (MeitY) ha di recente reso pubbliche le bozze di modifica delle linee guida in materia di giochi online (“Linee guida per gli intermediari e codice etico dei media digitali 2021”, cd. Regolamento IT) e ne ha contestualmente avviato una consultazione pubblica. Le ragioni delle modifiche vanno ricercate nella necessità che (i) i giochi online siano offerti in conformità alle leggi indiane e (ii) che gli utenti siano tutelati dai potenziali danni. Tra le novità proposte figura, tra le altre cose, anche la previsione che un intermediario di giochi online osservi, nell’adempimento dei propri doveri, la due diligence richiesta dal Regolamento IT – che impone, tra le altre cose, di compiere ogni sforzo ragionevole per evitare che i propri utenti agiscano in maniera non conforme alla legge indiana, anche in materia di gioco d’azzardo.

SPAGNA – L’autorità spagnola per la protezione dei dati (“AEPD”) ha annunciato, il 10 gennaio 2023, che oltre 100.000 Data Protection Officers (“DPOs”) sono registrati nel registro pubblico previsto sia per il settore pubblico che per quello privato, per i settori in cui la nomina è obbligatoria. Inoltre, l’AEPD ha specificato che il registro è a disposizione dei cittadini per accedere ai dati di contatto degli DPO, per ottenere informazioni sul trattamento dei propri dati personali, esercitare i propri diritti o presentare un reclamo. 

GERMANIA – L’Ufficio federale dei cartelli (Bundeskartellamt) ha reso noto di aver inviato ad Alphabet Inc., Google Ireland Ltd. e Google Germany GmbH la propria valutazione circa le condizioni di trattamento dei dati operate da Google. Nella valutazione il Bundeskartellamt ha evidenziato che gli utenti di Google dispongono solo di un minimo margine di scelta in merito all’accettazione dell’ampio trattamento di dati effettuato da Google. Al momento l’Autorità ha basato la propria valutazione esclusivamente sulla normativa tedesca dettata in materia di concorrenza, tuttavia appare più che verosimile che in futuro si applicherà, in casi simili, la nuova normativa europea del Digital Markets Act (DMA).

BELGIO – L’Autorità belga per la protezione dei dati ha aggiornato e comunicato la propria decisione nei confronti del’Interactive Advertising Bureau (“IAB”), in cui ha stabilito di aver imposto allo stesso una sanzione di € 250.000 per violazioni del GDPR. L’autorità belga ha confermato il piano di azione del IAB volto a rendere il trattamento dei dati personali nel contesto del Transparency and Consent Framework conforme alle disposizioni del GDPR.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Matt Duncan grazie a Unsplash.

News #1/2023: la super-sanzione a Meta “vieta”​ l’uso del contratto come base per fare targeted advNews#

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • #Meta sanzionata dall’Autorità irlandese, a rischio il suo #modello di #business;
  • anche #Apple (dopo Microsoft) ha problemi con il CNIL, ma sulla Direttiva #ePrivacy;
  • il primo gennaio scorso è entrato in vigore, in California, il #CPRA;
  • una società cancellata può comunque essere condannata secondo il #dlgs231;
  • le altre news dal #mondo includono: gli Stati di #NewYork e del #Kentucky che si attivano per approvare una legge privacy locale, Croazia e Finlandia elevano sanzioni importanti in ambito GDPR, mentre il District of Columbia si accorda con #Google per chiudere un’indagine sul tracciamento della localizzazione degli utenti senza consenso.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • non potevamo che cominciare con IAPP, il più rilevante network mondiale dei professionisti privacy, che tra l’altro ha pubblicato un interessante report sui “fatti” del 2022 e l’orizzonte che ci attende nel 2023, qui.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Don’t Stop Believin’ – Journey (1981 – 4:11 in loop)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

META SANZIONATA (ANCORA, E PESANTEMENTE) – La DPC – Irish Data Protection Commission – ha adottato, il 4 gennaio scorso, la decisione finale su Meta che tanto ha fatto discutere (e di cui avevamo già accennato per il suo percorso complesso). Fortemente richiesta dall’EDPB, e in particolare da diverse altre Autorità di controllo europee, questa decisione di fatto interferisce con il modello di business di Facebook/Instagram, incentrato su una profilazione pubblicitaria (targeted ads) basata giuridicamente sul contratto di iscrizione al social network, secondo Meta sufficiente a giustificare tale attività. I 390 milioni di sanzione, invece, derivano dal generale assunto – ormai molto chiaro – per cui senza un trasparente, libero e informato consenso non sia possibile effettuare, secondo le Autorità europee in materia, attività di adv online. Con questa sanzione, il totale delle violazioni privacy a carico di Meta (a partire dal 2021) arriva all’esorbitante ammontare di più di 900 milioni di euro. Vedremo adesso come e dove (non certo “se”) Meta opporrà la decisione, e in che modo la DPC sarà fedele a quanto deciso, dato che il testo del provvedimento è stato ampiamente “guidato” da altre Aurorità, mentre la commissione irlandese in precedenza aveva apertamente avallato la posizione di Meta; tra l’altro, proprio la DPC ha dichiarato di volersi opporre ad alcune parti della linea guida impostale dall’EDPB nella propria decisione vincolante.

APPLE vs. CNIL – L’Autorità francese per la protezione dei dati personali (CNIL) ha recentemente reso nota la propria decisione (solo in lingua francese) di infliggere una sanzione ad Apple Distribution International Ltd. A seguito di un reclamo, infatti la CNIL ha avuto modo di appurare che Apple presentava pubblicità personalizzata agli utenti dei sistemi operativi iOS e MacOS, e ciò per impostazione predefinita. In particolare, dalle indagini dell’Autorità è emerso che l’utente intenzionato a modificare tali impostazioni, avrebbe dovuto seguire una più o meno articolata trafila di azioni per modificare le impostazioni relative alla pubblicità personalizzata. Per tale ragione, la CNIL ha sanzionato per la cifra di ben 8 milioni di euro.

AZIENDE E RICERCA SCIENTIFICA – Il Future of Privacy Forum ha pubblicato un report sui programmi di condivisione dei dati tra aziende e istituti di ricerca intitolato “The Playbook: Data Sharing for Research”, un report che raccomanda le best practice per l’implementazione dei programmi di ricerca, comprese le fasi di gestione e condivisione dei dati. Il report illustra l’importanza e i vantaggi di disporre di protocolli adeguati per creare processi di condivisione dei dati sicuri e semplici, hanno dichiarato i responsabili del progetto per la condivisione dei dati e l’etica. Il report affronta in particolare i passaggi fondamentali per la gestione, la condivisione e l’esecuzione dei programmi tra aziende e ricercatori, quali la creazione di un sistema di condivisione dei dati che faccia progredire positivamente la ricerca scientifica, che richiede una migliore comprensione dei rischi esistenti, delle opportunità di affrontare le sfide e delle diverse parti interessate coinvolte nelle decisioni di condivisione dei dati.

CYBERSECURITY NEL SETTORE ASSICURATIVO – Esperti del settore assicurativo in tema di cyber security hanno di recente avvertito che gli attacchi informatici su larga scala sono una preoccupazione crescente tra i dirigenti del settore: si rischia di fatto che divengano non assicurabili, come riporta il Financial Times, perché esiste un limite all’ammontare delle perdite che il settore privato può assorbire dagli attacchi cyber. Si esortano allora i governi a istituire schemi pubblici e privati per gestire rischi informatici “sistemici” che non possono essere nè quantificati nè assicurati preventivamente.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CONDANNA 231 DI SOCIETA’ ESTINTA – La cancellazione di una società dal Registro delle imprese non impedisce la condanna dell’ente per un illecito 231. Lo ha deciso il giudice per le indagini preliminari del Tribunale di Milano, con la sentenza 2993/2022, nella quale si legge che l’estinzione dell’ente, successiva all’addebito emanato ai sensi del Decreto 231, lascia impregiudicata la possibilità di una pronuncia di condanna. Sulle modalità di esecuzione della condanna spetterà al Pubblico Ministero decidere come procedere, avendo raggiunto le parti un accordo sull’applicazione della pena.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

MERCATO UNICO E DIGITALIZZAZIONE – In occasione dei 30 anni dalla creazione del mercato unico europeo, che ha preso avvio il 1 gennaio 1993, la Commissione europea ha pubblicato il paper “European Single Market is turning 30”, che analizza, con riguardo allo sviluppo digitale e con particolare riferimento al mercato unico dei servizi, i principali obiettivi raggiunti e quelli ancora da raggiungere nel mercato digitale grazie all’integrazione europea, che ha funzionato da motore per la crescita e la competitività, sostenendo il potere economico dell’Unione europea a livello globale. Il paper sottolinea inoltre che, anche sulla base delle proposte Fit For 55 e Digital Decade, l’Unione sta mettendo in atto un quadro normativo per sostenere le transizioni verdi e digitali dell’Europa.

LICENZIAMENTI AMAZON – Dopo Twitter e Facebook tocca anche ad Amazon. Sono circa 18 mila i licenziamenti previsti in tutto il mondo per il colosso di logistica guidato da Jeff Bezos. E’ molto probabilmente dal prossimo 18 gennaio che i lavoratori interessati cominceranno ad essere contattati dall’azienda, che intanto parla dell’operazione come l’esito di una “pianificazione annuale difficile”.  Non ci sono attualmente notizie ufficiali in merito ai settori che verranno maggiormente colpiti, né riguardo alla percentuale di lavoratori europei coinvolti. D’altronde, la stessa notizia dei licenziamenti è stata il frutto di una fuga di notizie. Ancora una volta,  non ci resta che aspettare, con la certezza però che anche il nuovo anno avrà i suoi riflettori puntati sul mondo delle #BigTech.

SALDI ONLINE E TRUFFE – In occasione dei tanto attesi saldi invernali Aicel (Associazione Italiana per il Commercio Elettronico) mette in guardia i consumatori dalle possibili #truffe che potrebbero caratterizzare il loro acquisto online. L’e-commerce, infatti, è particolarmente insidioso a fronte delle innumerevoli modalità escogitate dai malintenzionati per ingannare il consumatore. Un esempio di truffa diffusissimo online è la creazione di siti “copia”- quelli cioè che copiano esattamente il sito originale, non consentendo al consumatore di intuire che le operazioni di pagamento stanno avvenendo su un sito terzo. Tra i suggerimenti proposti da Aicel per difendersi (i) diffidare da affari “particolarmente vantaggiosi, (uu) accertarsi che i siti non siano segnalati dalle competenti autorità garanti – ad esempio AGCM – , (iii) verificare che sul sito siano presenti le informative relative alla privacy e ai cookie. 

LICENZE POSTALI DIGITALI – E’ stato attivato il nuovo portale “Licenze postali” per il rilascio e la gestione delle licenze e delle autorizzazioni postali. Il ministero per le Imprese e Made in Italy, nel rendere nota l’attivazione del sistema, ha precisato che l’iniziativa ha consentito di automatizzare molte attività e di rendere il processo completamente digitale, nell’ottica di una semplificazione delle procedure della pubblica amministrazione a vantaggio di cittadini e imprese. Attraverso il portale gli utenti avranno a disposizione un’area riservata dedicata alle richieste di rilascio di titoli abilitativi, rinnovi, cessioni e subentri per licenze e autorizzazioni postali attive. I pagamenti saranno gestiti interamente dal servizio PagoPA.

SANITA’ DIGITALE – Il nuovo progetto firmato da Cineca e dall’Associazione Scientifica per la Sanità Digitale punta a formare il personale sanitario su tematiche come robotica, telemedicina, mobile application e business intelligence, con l’obiettivo di più efficiente ed efficace la Sanità. Il progetto si colloca nell’ambito delle attuali linee programmatiche del ministero della Salute, perseguite anche a livello internazionale, in cui la telemedicina e le tecnologie digitali rappresentano il fattore chiave per supportare l’interazione dei diversi professionisti sanitari.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

NEW YORK – New York promuove la propria legge sulla privacy (“New York Privacy Bill”) per (i) indurre le aziende a rivelare i loro metodi di identificazione dei dati personali, (ii) adottare speciali misure di salvaguardia per la condivisione dei dati e (iii) consentire ai consumatori di ottenere i riferimenti degli Enti con cui vengono condivise le loro informazioni. In particolare, nell’atto è riportato che la pubblicità mirata e la vendita di dati personali non sono considerate finalità di trattamento necessarie per fornire servizi o beni richiesti da un consumatori. New York adotta la formulazione di de-identificazione del CPRA e una terminologia familiare al GDPR, comprendente i concetti di Titolari e Responsabili del trattamento e i principi di minimizzazione dei dati e limitazione della conservazione.

KENTUCKY – Nell’Assemblea generale del Kentucky dello scorso 3 gennaio è stato presentato dal Senatore W. Westerfield un disegno di legge relativo alla protezione dei dati personali dei consumatori. In particolare, le disposizioni introdotte nel disegno di legge stabiliscono, tra le altre cose, i diritti dei consumatori e la loro possibilità di appellarsi al titolare del trattamento per il soddisfacimento delle proprie richieste. La bozza prevede inoltre che l’autorità esclusivamente competente a far applicare la legge sia il Procuratore Generale dello Stato, con la sola eccezione della facoltà, concessa al consumatore, di esercitare il diritto di azione privata. In base a tale diritto, il consumatore ha la possibilità di richiedere un provvedimento ingiuntivo per violazioni specifiche nel caso in cui il titolare del trattamento non abbia provveduto a porvi rimedio nel termine di 30 giorni dalla ricezione di un avviso dal parte del Procuratore Generale. Se approvato, il disegno di legge entrerà in vigore il 1 gennaio 2025.

CROAZIA – L’Autorità croata per la protezione dei dati personali ha ritenuto che un Titolare del trattamento avesse installato un sistema di videosorveglianza che riprendeva lo spazio pubblico senza una base giuridica adeguata ai sensi dell’art. 6(1) del GDPR, e ha ingiunto al Titolare in questione di regolare l’angolo delle telecamere entro quindici giorni in modo da non prendere nell’inquadratura lo spazio pubblico e le persone che vi accedono, con l’obbligo di fornire adeguate informazioni nonappena l’infrazione venga rettificata.

FINLANDIA – L’Autorità finlandese per la protezione dei dati ha irrogato una sanzione di 230.000 euro a una società di navigazione che ha posto in essere diverse violazioni nel trattamento dei dati sanitari dei dipendenti, tra le quali una mancanza dell’attuazione corretta dei principi di trasparenza, accuratezza, diritto all’informazione, diritto di accesso e protezione dei dati by design, di cui al GDPR.

ISLANDA – L’Autorità garante islandese ha respinto il ricorso di un interessato che chiedeva la cancellazione del proprio database genealogico, in possesso di un Titolare del trattamento. L’Autorità, in particolare, ha deciso che il trattamento da parte del Titolare del trattamento era giustificato ai sensi dell’articolo 6(1)(f) del GDPR, e che il Titolare aveva il diritto di rifiutare la richiesta di cancellazione in quanto il trattamento era giustificato per motivi di pubblico interesse, nello specifico per ragioni di ricerca storico-scientifica e per ragioni statistiche.

SPAGNA – L’Autorità spagnola per la protezione dei dati personali (“AEPD”) ha irrogato una multa di 30.000 euro a un operatore di telecomunicazioni locale per aver attivato una carta SIM senza verificare prudentemente l’identità dell’abbonato, il quale aveva invece fornito in modo fraudolento al Titolare del trattamento i propri dati personali. 

CALIFORNIA – Entrato in vigore il 1 gennaio 2023 il California Privacy Rights Act (“CPRA”), che introduce modifiche al California Consumer Privacy Act (“CCPA”) che impongono alle aziende nuovi requisiti per i consumatori, tra i quali l’ottenimento del consenso prima della raccolta dei dati in determinati casi, e prevede anche una più stringente limitazione dell’utilizzo dei dati personali.

VIRGINIA – Entrato in vigore il 1 gennaio 2023 anche il Virginia Consumer Data Protection Act (“CDPA”), che prevede ulteriori diritti per i consumatori, tra i quali il diritto di accesso, di cancellazione e di opt-out, stabilendo obblighi per i Titolari del trattamento e per i Responsabili che trattano dati personali. Da notare particolarmente che il procuratore generale della Virginia avrà l’autorità esclusiva di applicare le disposizioni del CDPA, e potrà avviare azioni e chiedere ingiunzioni per impedirne ogni violazione con sanzioni civili fino a 7.500 dollari. 

COREA DEL SUD – L’Autorità locale per la protezione dei dati personali (“Personal Information Protection Commission” o “PIPC”) ha pubblicato le linee guida per l’interpretazione degli standard del Personal Information Protection Act (“PIPA”), con lo scopo di migliorare la comprensione delle regole in materia di protezione dei dati personali nel settore pubblico e di rispondere alle questioni e agli interrogativi su argomenti di questo settore. In particolare, per ciascuna domanda le linee guida descrivono la base giuridica da considerare e forniscono un breve parere del PIPC sul tema. 

DISTRICT OF COLUMBIA – Karl A. Racine, Procuratore Generale del Distretto di Columbia (meglio conosciuto come Washington D.C.), ha recentemente annunciato il raggiungimento di un importante accordo con Google LLC finalizzato a risolvere le accuse secondo le quali il colosso informatico avrebbe ottenuto i dati di localizzazione relativi agli utenti dei suoi servizi attraverso comportamenti ingannevoli. Le indagini, avviate nel 2018 dopo la pubblicazione di un articolo da parte dell’Associated Press,  hanno consentito al Procuratore Generale di appurare che Google otteneva realmente i dati di localizzazione attraverso comportamenti ingannevoli, come ad esempio l’uso di dark pattern. Alla luce di tali evidenze, il Procuratore Generale ha pertanto provveduto a denunciare le plurime violazioni del Consumer Protection Procedures Act commesse da Google. Proprio per risolvere tali accuse è stato previsto l’accordo, del valore di ben 9,5 milioni di dollari. Oltre al pagamento di tale importantissima cifra, è stato imposto a Google, tra le altre cose, di (i) informare chiaramente gli utenti circa la raccolta e il tracciamento dei dati relativi alla posizione, (ii) mantenere disponibile ed aggiornata una pagina contenente la politica di Google in materia di dati di posizione e (iii) limitare la diffusione dei dati degli utenti. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Elias Ehmann grazie a Unsplash.

Sanzione privacy a WhatsApp Ireland confermata, nonostante i ricorsi su più fronti

Foto di Liam Charmer su Unsplash

WhatsApp Ireland Ltd. (“WhatsApp”) contro l’European Data Protection Board (“EDPB”) e la Corte di Giustizia dell’Unione europea (“CGUE”): una “questione irlandese” che non ha nulla a che vedere con il regionalismo britannico e le sue lotte, ma che si inserisce nelle dinamiche dei trasferimenti internazionali di dati, delle procedure che l’EDPB adotta per garantire la corretta e coerente applicazione del GDPR all’interno dell’Unione europea e che vede coinvolta, questa volta, anche la Corte di Giustizia UE.

WhatsApp vs. EDPB

Nell’ambito dei trasferimenti internazionali di dati, esiste un’autorità definita “Capofila”, che è l’Autorità Garante dello Stato in cui è stabilito il Titolare o il Responsabile del trattamento di dati per trasferimenti tra altri Paesi, alla quale questi ultimi trasferiscono la competenza sul trattamento transfrontaliero in questione.

Se un’Autorità Capofila emana una decisione che diventa oggetto di obiezioni da parte delle altre Autorità Garanti, definite “Interessate”, e se queste obiezioni, pertinenti e motivate, vengono contestate dall’Autorità Capofila, l’EDPB interviene con un procedimento di risoluzione delle controversie ai sensi dell’art. 65 del GDPR.

È proprio con questo meccanismo che l’EDPB ha adottato, il 28 luglio 2021, una decisione vincolante a seguito di alcune indagini, basate su denunce relative alle attività di trattamento della piattaforma WhatsApp. La decisione riguarda, in particolare, la liceità e la trasparenza del trattamento per la pubblicità comportamentale e la liceità del trattamento ai fini del miglioramento dei servizi della piattaforma.

La decisione vincolante dell’EDPB arrivava in seguito a una sanzione dell’Autorità Garante irlandese, aumentandone notevolmente l’ammontare irrogato nei confronti di WhatsApp per violazione, da parte della piattaforma, della normativa del GDPR.

Numerose Autorità Garanti interessate avevano sollevato, infatti, obiezioni alla proposta di decisione dell’Autorità Garante irlandese, la quale, a fronte delle violazioni di WhatsApp, avrebbe comminato una sanzione non proporzionata, ritenuta “troppo leggera” e così inefficace.

A fronte di un atteggiamento tradizionalmente ritenuto tollerante e comprensivo, che ha spesso caratterizzato l’Autorità Garante irlandese nei confronti di società con sede principale negli Stati Uniti e che ha spinto le stesse società a stabilire la loro sede europea in Irlanda, questa volta il Garante irlandese è stato costretto – a causa della decisione vincolante dell’EDPB – a infliggere una sanzione ben superiore alla piattaforma, pari a 225 milioni di euro.

WhatsApp vs. CGUE

A seguito della sanzione ricevuta, WhatsApp ha adito la CGUE impugnando la decisione davanti alla CGUE, la quale, nella causa T-709/21 sulla domanda di annullamento della decisione vincolante del EDPB ha, invece, respinto il ricorso proposto da WhatsApp in quanto irricevibile perché non diretto contro un atto impugnabile ai sensi dell’art. 263 del TFUE.

La CGUE osserva che, affinché un atto possa essere impugnato, esso deve produrre effetti giuridici vincolanti e deve essere in grado di incidere sugli interessi del richiedente, determinando un netto mutamento della sua posizione giuridica. Questo requisito si somma, inoltre, alla necessità che il ricorrente sia direttamente e individualmente interessato da tale atto per essere legittimato ad agire.

Per quanto riguarda il requisito degli effetti giuridici sul richiedente, la CGUE ha ritenuto che la decisione impugnata non modifichi di per sé la posizione giuridica della piattaforma WhatsApp, in quanto, a differenza della decisione finale dell’autorità di controllo irlandese, la decisione impugnata non è direttamente esecutiva nei confronti della WhatsApp e costituisce un atto preparatorio di un procedimento che deve concludersi con l’adozione di una decisione definitiva di un’autorità nazionale di vigilanza nei confronti di tale impresa.

Per quanto riguarda il requisito del diretto e immediato interesse di WhatsApp, la CGUE ha rilevato che la decisione impugnata lascia un certo margine di discrezionalità all’Autorità Garante irlandese per quanto riguarda il contenuto della decisione finale, che riguarda anche altri aspetti, in particolare l’importo dell’ammenda amministrativa, non configurandosi un interesse conforme ai requisiti per l’interesse ad agire della piattaforma nel provvedimento dell’Autorità Garante.

Conclusione della vicenda

La CGUE si è espressa su una serie di elementi che, valutati nella loro complessità, avrebbero messo profondamente in crisi il ruolo dell’EDPB e il meccanismo di composizione delle controversie di cui all’art. 65 del GDPR, se la CGUE avesse accolto il ricorso.

La questione resta ancora aperta, però, dato che secondo la stessa CGUE, la validità della decisione impugnata potrà essere contestata dinanzi a un giudice nazionale, che potrebbe presentare una domanda di pronuncia pregiudiziale di nuovo sottoposta all’autorità della Corte europea.

News #50: la Commissione UE ritiene “adeguati”​ gli USA per il data transfer, ora tocca all’EDPB (e a NOYB); nuovi protocolli rilevanti su 231

Immagine di copertina di Tessa Rampersad grazie a Unsplash.

SEZIONE SPECIALE: USA-UE DATA TRANSFER

BOZZA DECISIONE DI ADEGUATEZZA UE-USA –  Lo scorso 13 dicembre la Commissione europea ha pubblicato la bozza di decisione di adeguatezza che, ex art.46 GDPR, consentirà – qualora approvata – un trasferimento di dati sicuro tra Europa e Stati Uniti. In particolare la bozza, nel recepire le preoccupazioni sollevate dalla Corte di Giustizia nella sentenza #SchremsII, poggia su una seria valutazione del quadro normativo statunitense, incluso l’ordine esecutivo di Biden e i regolamenti che istituiscono un tribunale per la protezione dei dati. Contestualmente alla bozza, la Commissione ha altresì rilasciato una pagina dedicata alle Q&A (domande e risposte più frequenti). Il progetto di decisione è stato ora inoltrato all’EDPB e successivamente verrà sottoposto al vaglio di un comitato composto da rappresentanti dei vari stati membri. Dopo tali passaggi, inclusa la verifica del Parlamento europeo, il documento tornerà alla Commissione alla quale spetterà procedere (eventualmente) alla sua adozione.

IL COMMENTO DI NOYB – Pubblicata la bozza di decisione di adeguatezza, il commento di #NOYB non è tardato ad arrivare. Nella stessa giornata del 13 dicembre, infatti, None Of Your Business (l’organizzazione no profit di Max Schrems, promotore dinanzi alla CGUE delle cause concluse con le famose sentenze Schrems I e Schrems II) ha rilasciato una prima valutazione sul documento segnalando che le modifiche (e, di conseguenza, le  garanzie) introdotte nell’ordinamento giuridico statunitense dall’Executive Order di Biden sono in realtà insufficienti. Rimandando l’attenta valutazione della bozza ai giorni successivi, NOYB ha formulato un pronostico negativo circa le sorti della decisione, laddove portata al cospetto della CGUE.

ACCORDO OCSE SULL’ACCESSO DEL GOVERNO AI DATI PERSONALI – Il 14 dicembre l’Organizzazione per la Cooperazione e lo Sviluppo Economico ha annunciato l’adozione della dichiarazione sull’accesso del governo ai dati personali detenuti da entità del settore privato, alla quale hanno aderito 38 paesi, insieme all’Unione europea. L’accordo chiarisce in che modo le forze dell’ordine e la sicurezza nazionale possono accedere ai dati personali nell’ambito degli ordinamenti giuridici esistenti. Rifiutando qualsiasi approccio da parte dei governi per accedere ai dati personali che sono in contrasto con i valori democratici e lo stato di diritto, la dichiarazione stabilisce una serie di principi in base ai quali i governi possono accedere ai dati personali detenuti dalle organizzazioni. La dichiarazione ha anche notevoli risvolti applicativi concreti, tra i quali il caso in cui nelle TIA (“Transfer Impact Assessment”) si è tenuti a verificare la presenza nell’ordinamento dello Stato di destinazione di norme chiare, che costituiscano garanzie in uno stato democratico almeno equivalenti, sostanzialmente, a quelle dell’Unione europea.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DIRETTIVA PNR – Lo scorso 15 dicembre l’EDPB (European Data Protection Board) ha annunciato di aver adottato una dichiarazione in merito ad una sentenza (C-817/19) pronunciata dalla CGUE in materia di uso dei codici di prenotazione (#PNR) per finalità di prevenzione, accertamento e azione penale nei confronti di terrorismo e di altri reati gravi. L’EDP ha spiegato che, secondo l’interpretazione della Corte, la Direttiva 2016/681 (cd. #DirettivaPNR) prevede importanti specificazioni in relazione al trattamento di dati personali, quali ad esempo (i) l’applicazione del sistema PNR ai soli reati di terrorismo e agli altri reati gravi che hanno, in concreto, un legame con l’uso di aerei e (ii) l’applicazione non indiscriminata del periodo di conservazione di 5 anni ai dati dei passeggeri. Partendo da tale premessa, l’EDPB ha rilevato che la gran parte dei trattamenti effettuati dagli Stati Membri alla luce della Direttiva PNR non è conforme all’interpretazione della Corte europea,provvedendo pertanto a raccomandare l’adozione di tutti i necessari provvedimenti al fine di un allineamento.

VIOLAZIONE RISERVATEZZA – Il Garante per la protezione dei dati personali ha di recente irrogato una sanzione all’Istituto per lo Studio, la Prevenzione e la Rete Oncologica (ISPRO) per violazione di dati personali sanitari (dunque, un #databreach). Dal reclamo proposto da un paziente è infatti emerso che l’Azienda Ospedaliero-Universitaria Careggi di Firenze – nominata responsabile del trattamento da ISPRO – aveva per errore inoltrato via e-mail il referto medico di un altro paziente. Tale comunicazione, essendo priva di idonea base giuridica, era stata pertanto effettuata in violazione del GDPR. Nel comminare la sanzione (7mila euro) il Garante ha inoltre colto l’occasione per ribadire la necessità che i dati sanitari – data la loro particolare delicatezza e “sensibilità” – siano trattati con le adeguate tutele.

CONSULTAZIONE PUBBLICA/DMA – Il Digital Markets Act (DMA) conferisce alla Commissione europea il potere di adottare atti che stabiliscono disposizioni dettagliate per alcune delle questioni indicate all’art. 46. Lo scorso 9 dicembre la Commissione ha pertanto aperto una consultazione pubblica al fine di stabilire con maggiore precisione gli aspetti pratici inerenti a (i) la forma e il contenuto delle notifiche e/o comunicazioni da inoltrare su richiesta della Commissione, (ii) l’avvio di un procedimento ai sensi del DMA, (iii) l’esercizio del diritto ad essere ascoltati e ai termini di divulgazione ex art. 34. e, più in generale, (iv) ai termini previsti dall’atto. Sarà possibile inoltrare le proprie osservazioni fino al prossimo 6 gennaio, accendendo a questo link.

CITTADINANZA A PUNTI E DIALOGO SULL’AI – E’ stata vietata l’intelligenza artificiale pensata per istituire una “cittadinanza a punti”, attraverso sistemi di valutazione delle persone che vivono in un Paese in base al loro comportamento sociale, alle loro scelte in vari contesti e alle caratteristiche personali. Ora che il Consiglio europeo ha adottato la sua posizione comune, concordata dai 27 Stati membri, relativa alla normativa sull’intelligenza artificiale, il prossimo obiettivo è quello di assicurare che i sistemi di intelligenza artificiale presenti sul mercato dell’Unione europea, e utilizzati dalle persone, rispettino appieno la normativa vigente in materia di diritti fondamentali. Per sfruttare il potenziale dell’Intelligenza Artificiale bisognerà implementare politiche coordinate a livello internazionale e individuare pratiche comuni, ed è proprio con questo spirito che si terrà il 14 e il 15 dicembre a Gran Canaria la relativa riunione ministeriale del Comitato per la politica dell’economia digitale.

REPORT ENISA SU CYBERSICUREZZA NELLA SANITA’ – L’Agenzia dell’Unione europea per la cybersicurezza (“ENISA”) ha pubblicato, il 13 dicembre un report sulla resilienza del settore sanitario europeo, con lo scopo di identificare potenziali sfide e di suggerire raccomandazioni. Il report illustra che, durante il 2022, l’allocazione di budget e risorse per promuovere la costituzione di team di sicurezza informatica all’interno delle organizzazioni sanitarie è stato fondamentale per garantire la resilienza della sicurezza informatica, fondamentale nel settore sanitario, e che anche i test regolari a livello locale sono emersi come una buona prassi di sicurezza.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

PROTOCOLLO 231 (POTENZA) –  La Procura Generale della Repubblica presso la Corte d’Appello di Potenza ha adottato un Protocollo organizzativo e di coordinamento in tema di indagini sui reati 231, con il quale ha pubblicato delle linee guida applicative del Decreto 231, al fine di meglio coordinare le indagini nel settore della responsabilità da reato degli enti. La Procura Generale ha integrato il Protocollo con una Relazione illustrativa, allo scopo di (i) soddisfare la necessità di approfondire alcune questioni che investono Decreto 231 e i dubbi interpretativi che lo riguardano e (ii) far fronte all’esigenza derivante dall’estensione della portata normativa di alcuni reati 231 anche ai casi di sovvenzioni pubbliche a danno dello Stato, di altri enti pubblici o dell’Unione europea, ricomprendendo così le risorse del PNRR. 

PROTOCOLLI REATI SUL LAVORO (NAZIONALE) – Dall’intesa raggiunta tra Ispettorato Nazionale del Lavoro e Procura Generale presso la Corte di Cassazione sono stati emanati due nuovi #Protocolli (nn. 474 e 483) che conferiscono – con specifico riferimento alla responsabilità degli enti – particolari compiti e deleghe agli ispettori al fine di indagare sulla commissione di determinati reati. Più in particolare, i nuovi protocolli attribuiscono agli ispettori funzioni di veri e propri “agenti di polizia” in riferimento a particolari tipologie di reati, come infortuni gravi o mortali, caporalato, mobbing e molestie.

PROTOCOLLO ANTI-COVID (NAZIONALE) –  Il Ministero del Lavoro e le Parti Sociali hanno recentemente reso nota la loro decisione di non apportare alcuna revisione al “Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2/COVID-19 negli ambienti di lavoro”, il cd. #ProtocolloAntiCovid, che di fatto rimane dunque in vigore. La scelta concreta circa il protrarre o meno l’applicazione del Protocollo è pertanto rimessa ai singoli datori di lavoro (che fino al prossimo 31 dicembre dovranno comunque rispettare le Linee Guida e le regole dettate in materia di uso dei dispositivi di protezione delle vie respiratorie nelle strutture sanitarie, socio-sanitarie e socio-assistenziali).

GERMANIA E WHISTLEBLOWING – Il Parlamento tedesco (“Bundestag”) ha annunciato l’adozione del progetto di legge c.d. Whistleblowing Protection Act (in tedesco c.d. (“HinSchG”), con alcuni emendamenti, che comprendono (i) l’estensione dell’ambito di applicazione del progetto HinSchG alle segnalazioni di dichiarazioni di funzionari pubblici che costituiscono una violazione del dovere di lealtà alla Costituzione tedesca; e (ii) il trattamento delle segnalazioni anonime, il cui trattamento diventa obbligatorio, anziché facoltativo, per gli uffici segnalanti.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TWITTER SOSPENDE I GIORNALISTI (E NON SOLO) – Negli ultimi giorni la piattaforma da poche settimane di proprietà di Elon Musk ha sospeso gli accounti di diversi importanti giornalisti USA, alcuni dei quali sono stati in passato molto critici nei confronti dell’attuale – vulcanico e lunatico, quantomeno – “CEO ad interim”. Allo stesso modo, la nuova era “libera e aggressiva” di Twitter sta vedendo la sospensione di molti account sgraditi, come quello (denominato “ElonJet”) che forniva dati in tempo reale sulla posizione dell’aereo privato di Musk, e come quelli che implementano link diretti ad altre piattaforme social, tra cui Mastodon che pare essere un approdo molto diffuso per i transfughi di Twitter. In molti non vedono l’ora della prossima puntata della #Muskeide.

DICHIARAZIONE EUROPEA PER IL DECENNIO DIGITALE – Le istituzioni dell’Unione europea hanno reso in data 15 dicembre una dichiarazione per una trasformazione digitale inclusiva, equa, sicura e sostenibile che metta le persone al centro, con l’obiettivo di preservare i valori fondamentali dell’Unione europea nel mondo digitale e online. La dichiarazione – che illustra l’impegno dell’Unione europea a favore di una trasformazione digitale sicura, sostenibile e sicura che ponga le persone al centro, in linea con i valori fondamentali e i diritti fondamentali dell’Unione europea – costituirà un punto di riferimento per i responsabili politici, le imprese e altri attori pertinenti nello sviluppo e nella diffusione di nuove tecnologie. 

CRIPTOVALUTE E SEGNALAZIONI UIF – Sono sempre più numerosi gli utenti c.d. Virtual asset service provider (“VASP”) che intercettano e segnalano alla Unità di Informazione Finanziaria (“UIF”) presso la Banca d’Italia, una serie di flussi finanziari in criptovalute che si inseriscono in uno schema volto a frodare il fisco. Il meccanismo prevede la cessione di finti crediti fiscali, i cui proventi sono impiegati per acquisti di criptovalute. La UIF ha predisposto nel mese di dicembre una newsletter dedicata al tema. Le informazioni nella disponibilità degli operatori offrono così delle prospettive per l’analisi finanziaria e la lotta alla frode fiscale mediante strumenti digitali. 

TELEPASS NEL METAVERSO – La società Telepass, dedicata al pagamento del pedaggio autostradale, è entrata nella virtualità del Metaverso, creando un collegamento tra il modo di muoversi della vita reale e le opportunità offerte dal nuovo mondo virtuale. L’azienda si è impegnata a creare un ecosistema di servizi per una mobilità sicura e sostenibile, e si è proiettata nel futuro lanciando per prima in Italia gli NFT ispirati al mondo della mobilità. Il lancio è previsto a partire dal 12 dicembre 2022. e la particolarità è che chi possiede tali NFT, associando il proprio contratto Telepass, potrà accedere a scontistiche dedicate e usufruibili attraverso l’app Telepass. Laddove l’utente non associ il contratto Telepass, sarà comunque proprietario dell’NFT Telepass e potrà decidere anche successivamente e liberamente di attivare il contratto con Telepass per accedere al Club di Membership.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

AUSTRALIA – La Australian Competition and Consumer Commission (ACCC) ha annunciato che la Corte locale federale ha rigettato il proprio ricorso contro Google LLC, che non ha posto in essere un comportamento ingannevole quando ha segnalato l’avvenuta modifica alla propria privacy policy attraverso una notifica sugli schermi dei consumatori. Mentre per la ACCC tale notifica era fuorviante in quanto non consentiva ai consumatori di “accettare” (selezionando il relativo comando sulla notifica) in maniera informata e consapevole le modifiche apportate, la Corte ha invece ritenuto adeguato il comportamento di Google, che (i) ha apportato le modifiche solo dietro espresso consenso e (ii) non ha ridotto i diritti degli interessati. 

POLONIA – UODO, autorità garante locale, ha recentemente annunciato di aver approvato il “Codice di condotta sulla protezione dei dati personali nelle piccole strutture mediche”. Scopo del documento è garantire la protezione dei dati personali dei pazienti e di tutti gli altri soggetti delle strutture sanitarie.

USA – L’Agenzia americana per la sicurezza informatica e delle infrastrutture (CISA) ha pubblicato sulle proprie pagine un’infografica in materia di #phishing al fine di mettere in guardia persone fisiche e organizzazioni da possibili attacchi di truffa informatica. L’infografica riassume i principali metodi con cui i cyber-malintenzionati “buttano l’esca”e suggerisce azioni concrete per prevenire tali attacchi. 

SPAGNA/1 – L’AEPD, Garante spagnolo, ha sanzionato la società Orange Espagne S.A.U. per violazione del GDPR. A seguito del reclamo proposto da un individuo – i cui dati personali erano stati inseriti all’interno di sistemi di informazioni creditizie come conseguenza del mancato pagamento di servizi che, in realtà, l’individuo non aveva mai sottoscritto – l’Autorità ha infatti scoperto che il contratto era stato fraudolentemente concluso a nome dell’interessato da un soggetto terzo. La sanzione di 70 mila euro deriva dal fatto che la società non è stata in grado di fornire adeguata prova (i) di aver lecitamente stipulato il contratto col ricorrente, (ii) di aver ottenuto consenso alla raccolta e al trattamento dei relativi dati personali e (iii) di aver trattato i dati alla luce di una valida base giuridica.

SPAGNA/2 – L’AEPD ha di recente sanzionato anche Vodafone Espana. Un cliente ha infatti segnalato all’Autorità che un duplicato della propria SIM era stato fornito, senza consenso, ad un soggetto terzo (il quale aveva in tal modo ottenuto l’accesso a Google nonché ai dati bancari del ricorrente, effettuando altresì diverse operazioni fraudolente tramite l’online banking). A seguito delle indagini compiute dall’Autorità è emerso che Vodafone non aveva adottato le adeguate (e necessarie) misure precauzionali per scongiurare la duplicazione di una SIM in mancanza del consenso dell’interessato.

PORTOGALLO – La Comissão Nacional de Proteção de Dados (CNPD, Autorità garante portoghese) ha annunciato di aver sanzionato per 4,3 milioni di euro l’Istituto Nazionale di Statistica per violazione di molteplici disposizioni del GDPR. Dalle indagini effettuate dal CNPD è emerso che durante il censimento relativo all’anno 2021 l’Istituto non abbia chiaramente comunicato agli interessati che la risposta a determinate domande – così come il conferimento dei dati relativi alla salute e alle preferenze religiose- aveva natura facoltativa. Tale omissione ha, di fatto, impedito una consapevole e valida formazione della volontà dei cittadini. Tra le altre violazioni riscontrate, l’aver effettuato trasferimenti internazionali di dati verso gli USA in spregio a quanto stabilito dalla CGUE nella sentenza Schrems II e il non aver effettuato una DPIA prima di iniziare le operazioni di trattamento. Se non l’Istituto Nazionale non provvederà a impugnare giudizialmente il provvedimento, la (elevata) sanzione dovrà essere pagata nel termine di 10 giorni da quando la decisione sarà esecutiva.

SLOVENIA – L’uso di #droni dotati di telecamere o altri sistemi di acquisizione e/o elaborazione dei dati può comportare la violazione delle disposizioni dettate in materia di privacy. Per tale ragione il Commissario per l’informazione sloveno ha recentemente pubblicato una infografica (disponibile solo in sloveno) contenente informazioni utili ai fini del rispetto della normativa vigente in materia di protezione dei dati personali in caso di utilizzo di tali strumenti.

BELGIO – Alcune società del settore dei media e della comunicazione hanno raggiunto un accordo con il Garante belga sull’ammontare delle sanzioni irrogate – come in un patteggiamento – senza riconoscimento della loro responsabilità. La tecnica adottata prevede due fasce di sanzioni e i rispettivi massimi edittali, e ha consentito ai Titolari del trattamento di dialogare con l’Autorità Garante per giungere ad un accordo sulla sanzione. L’episodio belga mette sotto i riflettori la diversità del trattamento sanzionatorio tra Stati membri diversi, e costituisce uno spunto di riflessione per le istituzioni europee sulla disarmonia esistente fra gli Stati nell’applicazione del GDPR. 

QUEBEC – La Commissione del Quebec sull’Accesso all’Informazione (“CAI”) ha pubblicato, il 13 dicembre 2022, un report sulla protezione dei minori nell’ambiente digitale, raccomandando una maggiore attenzione e consapevolezza. In particolare, il rapporto esamina i rischi per i minori e i principi internazionali associati alla protezione dei loro dati personali. Inoltre, il rapporto sottolinea l’importanza di ridurre al minimo i rischi in questo settore e discute come rafforzare la protezione delle informazioni personali dei minori. 

UK E DUBAI – Il Governo britannico e Il Centro finanziario internazionale di Dubai (“DIFC”) hanno rilasciato il 15 dicembre una dichiarazione congiunta in cui si impegnano a facilitare maggiormente i flussi e i trasferimenti di dati personali. Le parti considerano questo nuovo accordo come un solido “ponte” per i dati, che apporterà benefici all’economia attraverso un utilizzo affidabile dei dati tra le frontiere. Il Regno Unito e il DIFC hanno concordato, in particolare, sull’importanza della cooperazione normativa esistente e futura come mezzo per migliorare gli obiettivi sulla protezione e la circolazione dei dati personali.

NORVEGIA – L’Autorità norvegese per la protezione dei dati (Datatilsynet) ha annunciato di aver condotto un’ispezione presso l’ufficio del governatore delle Svalbard, avviata in primavera, riguardo il trattamento dei dati personali per le richieste di visto e l’uso del sistema informativo sui visti. Durante l’ispezione sono state scoperte significative distorsioni rispetto all’ elaborazione e al controllo interno; pertanto l’Autorità norvegese ha dato all’ufficio del governatore un termine fino al 31 gennaio 2023 per chiarire e documentare la divisione delle responsabilità tra il governatore e la Direzione dell’Immigrazione per il trattamento dei dati personali nel sistema informativo dei visti.

News #49: la Corte di Giustizia UE dà torto a WhatsApp; maxi-sanzione italiana a Clubhouse; dal Governo novità su whistleblowing e concorrenza

Immagine di copertina di Clint Patterson grazie a Unsplash.

PRIVACY

WHATSAPP vs EDPB – La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata nella causa “WhatsApp Ireland v. EDPB”, promossa dalla società per vedere annullata una decisione vincolante (e, di conseguenza, la sanzione ricevuta). Il 28 luglio 2021, infatti, l’EDPB aveva adottato una decisione vincolante in virtù della quale la DPC aveva multato la WhatsApp per ben 225 milioni di euro. La sentenza – la prima mai pronunciata dalla Corte su una domanda di annullamento di una decisione vincolante – respinge le pretese di WhatsApp in quanto il (i) ricorso è stato proposto contro un provvedimento che, ex art. 263 del TFUE, non è impugnabile e (ii) WhatsApp non è direttamente interessata dalla decisione contestata. La CGUE, al contempo, conferma che una tale questione può essere sollevata dinanzi ad un tribunale nazionale a seguito della relativa presa di posizione della Data protetion authority locale. Spetterà quindi ad un tribunale irlandese verificare la legittimità della decisione resa a livello nazionale – in conseguenza del “One Stop Shop” previsto dal GDPR – e, se necessario, presentare una domanda di pronuncia pregiudiziale alla CGUE.

CLUBHOUSE – In seguito ad una istruttoria avviata d’ufficio nei confronti di #ClubHouse – social network di chat audio formata da “stanze”, talvolta “su invito” – il Garante per la protezione dei dati personali ha recentemente sanzionato (per ben 2 milioni di euro) la società Alpha Exploration Co., gestore della piattaforma. Alla base della decisione la scoperta da parte dell’Autorità di numerose #violazioni del GDPR, normativa alla quale Alpha Exploration Co. asseriva di non essere soggetta in virtù del suo essere statunitense ed in mancanza di stabilimento nel territorio dell’UE. Oltre alla #sanzione (che tiene conto della gravità delle violazioni e del numero – vastissimo – di interessati coinvolti: 16 milioni globali e circa 90 mila in Italia) il Garante ha anche prescritto una serie di #misure quali, tra le altre, l’identificazione di idonee basi giuridiche per le proprie attività di trattamento e la nomina di un rappresentante in uno Stato UE, con conseguenza indicazione del relativo indirizzo e-mail. Alla società è stato ora concesso un termine di 30 giorni per dare esecuzione alle prescrizioni del Garante.

DIRITTO ALL’OBLIO – La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata in materia di diritto all’ #oblio. Attraverso una interpretazione dell’art. 17 GDPR la Corte ha stabilito che il diritto a richiedere la deindicizzazione di informazioni false o inesatte sul proprio conto è legittima anche quando il richiedente non abbia a disposizione una “prova forte” come lo è una sentenza – che rimane tuttavia necessaria nei casi di inesattezza non manifesta – purchè (chiaramente) fornisca informazioni esatte e puntuali al fine di suffragare la propria richiesta.

COMPARAZIONE PRIVACY FRA PAESI ASIATICI – Il Future of Privacy Forum (“FPF”) e l’Asian Business Law Institute (“ABLI”) hanno pubblicato il report “Balancing organizational accountability and privacy self-management in Asia-Pacific”, che mette a confronto i requisiti per il trattamento dei dati personali in diverse giurisdizioni della zona Asia-Pacifico. Il report analizza, in prospettiva comparata, le basi giuridiche per il trattamento dei dati personali nei diversi ordinamenti della zona. Tra le osservazioni del report, si nota il progressivo abbandono della base giuridica del consenso, a favore di alternative che promuovano la responsabilizzazione delle organizzazioni che trattano dati personali.

TUTELA DEGLI INTERESSATI – Il Garante per la protezione dei dati personali ha recentemente pubblicato una scheda informativa che illustra le caratteristiche e le modalità di utilizzo di segnalazioni e reclami  ( cioè degli strumenti posti dal GDPR nelle mani dei soggetti interessati per assicurare una loro adeguata protezione). 

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231 E PENALE

WHISTLEBLOWING – Lo scorso 9 dicembre è stata annunciata l’approvazione, da parte del Consiglio dei Ministri, del decreto legislativo necessario per l’attuazione delle direttiva UE 2019/1937 (cd. Direttiva #Whistleblowing). Il decreto permetterà finalmente all’Italia – uno dei pochi Paesi membri rimasti fino a questo momento “indietro” – di adeguarsi alla nuova normativa europea dettata in materia di protezione di tutti quei soggetti segnalatori di minacce o pregiudizi al pubblico interesse di cui siano venuti a conoscenza in ragione e nell’ambito della propria attività professionale.

COLPA DI ORGANIZZAZIONE – La Corte di Cassazione si è recentemente pronunciata in materia di #sicurezza e infortuni sul luogo di lavoro. Con la sentenza n. 45131 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) i giudici hanno specificato alcuni aspetti della cd. #colpadiorganizzazione, chiarendo che per tale deve intende il rimprovero che può essere mosso nei confronti di una società per non aver ottemperato agli #obblighi che impongono l’adozione di tutte le #cautele necessarie affinché non si realizzi la commissione dei reati previsti dalla normativa 231. Gli Ermellini hanno inoltre sottolineato la necessità che tali cautele vengano opportunamente #documentate – insieme ai rischi e alle misure idonee per contrastarli – in apposito documento.

NE BIS IN IDEM – La Procura di Milano ha recentemente #archiviato un procedimento penale avviato a carico di una società indagata per il reato 231 di dichiarazione fraudolenta in quanto la questione era già definita per ravvedimento operoso in sede tributaria. Infatti, rifacendosi alla giurisprudenza europea e nazionale in materia di #nebisinidem, i pubblici ministeri – pur in mancanza nel corpo del Decreto 231 di una norma che impone di tenere in considerazione sanzioni eventualmente già irrogate – hanno convenuto che la prosecuzione del procedimento avrebbe portato la società ad essere, di fatto, destinataria di una sanzione #sproporzionata.

LA RESPONSABILITA’ DI CONTROLLARE IL CONSULENTE – La Corte di Cassazione con l’ordinanza n. 35612/2022 ha accolto un ricorso dell’Agenzia delle Entrate e ha chiarito un importante punto in tema di sanzioni amministrative tributarie: il contribuente non è considerato esente dalla responsabilità di presentazione regolare delle dichiarazioni fiscali a meno che l’inadempimento al pagamento di un tributo sia imputabile esclusivamente ad un soggetto terzo (di solito, l’intermediario a cui è attribuito l’incarico di provvedere ai pagamenti, di gestire la contabilità ed effettuare le dichiarazioni fiscali). infatti, ai fini dell’esclusione della responsabilità per difetto dell’elemento soggettivo, grava proprio sul contribuente la prova dell’assenza assoluta di colpa, ed egli deve dimostrare di versare in stato di ignoranza incolpevole e non superabile con l’ordinaria diligenza, e non si può ritenere esente da responsabilità il contribuente che non abbia vigilato sul professionista al quale erano affidate le incombenze fiscali.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

PROTEZIONE DEI CONSUMATORI – Il Consiglio dei Ministri di giovedì 1° dicembre 2022 ha approvato il Decreto Legislativo riguardante la modernizzazione delle norme europee sulla protezione dei consumatori. Nello specifico, il Decreto Legislativo di attuazione della direttiva (UE) 2019/2161 del Parlamento europeo e del Consiglio del 27 novembre 2019, che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del Parlamento europeo e del Consiglio, si pone l’obiettivo di una migliore applicazione e una modernizzazione delle norme dell’Unione relative alla protezione dei consumatori, ampliando la #tutela dei #consumatori nel caso di contratti con clausole vessatorie, di condotte commerciali scorrette, di concorrenza sleale o di comunicazioni commerciali non veritiere con conseguente modifica della disciplina delle sanzioni pecuniarie amministrative. Tra le #novità: (i) è previsto che gli annunci di riduzione del prezzo dovranno indicare quello praticato nei 30 giorni precedenti; (ii) sarà elevato da 5 a 10 milioni il limite massimo edittale relativo alla sanzione irrogabile dall’Autorità garante della concorrenza e del mercato (“AGCM”) in caso di pratica commerciale scorretta; (iii) sarà consentito al consumatore di adire il giudice ordinario in caso di pratiche commerciali sleali; (iv) verrà prevista la sanzione da 5.000 euro a 10 milioni per violazioni in materia di clausole vessatorie.

ACCORDO AMAZON / ANTITRUST UE – Il Financial Times riporta che si sarebbe raggiunto un accordo tra il colosso dell’eCommerce e l’autorità UE in merito ad alcune delle più redditizie pratiche commerciali poste in essere da Amazon: la principale, la c.d. “buy box” che comportano un importante aumento dei ricavi e delle vendite, ma sfavoriscono la concorrenza con meccanismi come il “lock-in” dei clienti Prime alla logistica di Amazon, a discapito dei venditori indipendenti. L’annuncio ufficiale dell’intesa è previsto, si riferisce, entro il 20 dicembre prossimo, e costituirà una prima base di confronto rispetto alla normativa del Digital Markets Act di recente approvazione.

SANZIONE AGCM – L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha sanzionato Vinted, società operante nel settore della vendita online di articoli – principalmente di abbigliamento – di seconda mano, per pratiche commerciali scorrette legate alla pubblicità ingannevole. Oggetto della contestazione sono stati infatti dei claim quali, ad esempio “vendita senza commissioni”, o ancora,  “zero commissioni, zero limiti”, i quali – secondo l’AGCM – celavano una serie di costi addebitati in realtà agli utenti per ogni transazione, che rendevano il servizio sostanzialmente non gratuito, come invece pareva dagli spot pubblicitari.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

FRANCIA – Il CNIL (Garante francese) ha richiesto commenti pubblici sul progetto di Raccomandazioni sulle Modalità di attuazione dei dispositivi di monitoraggio a distanza per gli esami online. A fronte della tendenza sempre in crescita di attività didattiche online – e, in particolare, di esami –  il CNIL ha sottolineato l’importanza e la necessità a che la privacy degli studenti non venga compressa in maniera sproporzionata. L’implementazione di sistemi di monitoraggio a distanza, infatti, risulta particolarmente invasiva e pertanto si richiede l’assunzione, da parte dell’istituto, della responsabilità del relativo trattamento di dat personali. Ulteriori raccomandazioni riguardano la scelta della corretta base giuridica 

MOZAMBICO – E’ stata pubblicata una proposta di legge sulla Cybersecurity con gli obiettivi di (i) garantire la sicurezza di cittadini e istituzioni e (ii) assicurare la protezione dei sistemi informatici e delle infrastrutture fondamentali del cyberspazio. Se la proposta diventerà legge, essa fonderà il Consiglio Nazionale per la Cybersicurezza in Mozambico, un organismo centrale e responsabile del coordinamento delle politiche, delle strategie e delle linee guida sul tema, di concerto con il Ministro dell’informazione e della comunicazione tecnologica. La proposta di legge è attualmente in fase di consultazione pubblica. 

BRASILE – E’ stato approvato dal Senato del Brasile il nuovo progetto di quadro normativo sull’intelligenza artificiale (“IA”) da parte della Commissione di giuristi istituita per il tema. Il progetto si fonda su tre pilastri centrali: (i) la garanzia dei diritti delle persone interessate dal sistema, (ii) la classificazione del livello di rischio e la previsione di misure di governance rivolte ad aziende che gestiscono sistemi di IA. 

CINA – Il Comitato Tecnico nazionale per la standardizzazione della sicurezza delle informazioni (“TC260”) ha richiesto una consultazione pubblica, aperta fino al 30 gennaio 2023, sulla proposta di legge relativa alla sicurezza delle reti Internet delle aziende. In particolare, il TC260 ha evidenziato che la bozza dello standard è una parte di una serie, pensata per garantire (i) la sicurezza dei dati, (ii) la sicurezza della rete e (iii) i requisiti tecnici di protezione dei dati. La proposta delinea i processi dei requisiti di sicurezza dei dati di Internet delle industrie, compresa la sicurezza dei dati e i requisiti di protezione della sicurezza. 

ARGENTINA – L’autorità argentina per la protezione dei dati personali (“AAIP”) ha pubblicato una risoluzione che classifica e stabilisce quali sono le violazioni minori, gravi e molto gravi nell’ambito dell’applicazione della legge locale sulla protezione dei dati personali. Il principale parametro di classificazione è la gradualità delle sanzioni. Tra le violazioni più gravi sono comprese: (i) dichiarare dati falsi all’atto dell’iscrizione all’Anagrafe Nazionale; (ii) trattare i dati personali senza un’adeguata base giuridica; (iii) raccogliere dati personali senza conferire agli interessati un’informativa adeguata; (iv) raccogliere ed elaborare dati particolari senza la dovuta anonimizzazione; (v) trasferire dati personali in paesi senza livelli adeguati di protezione.

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) ha annunciato un nuovo hub relativo al marketing diretto, destinato alle organizzazioni che vogliono pianificare e fornire campagne di marketing efficaci rispettose della privacy dei soggetti interessati e della normativa applicabile in materia. L’Hub specifica cosa dovranno fare le organizzazioni per adeguarsi alla legge, e fornisce raccomandazioni di buone pratiche per farlo. Tra le indicazioni: (i) l’identificazione delle pratiche di marketing diretto; (ii) la pianificazione attraverso un approccio di protezione dei dati by Design e fin dall’inizio; (iii) raccolta di informazioni per il marketing diretto in modo equo e chiaro, spiegando alle persone come verranno utilizzate le loro informazioni; (iv) rispetto delle preferenze delle persone, incluso il diritto assoluto di opporsi o rinunciare al marketing diretto in qualsiasi momento.

SVIZZERA – Il Centro nazionale per la sicurezza informatica (“NCSC”) diventerà un nuovo ufficio federale situato all’interno del Dipartimento federale della difesa, della protezione della popolazione e dello sport (“DDPS”). Il Consiglio federale svizzero ha infatti incaricato il DDPS di definire le strutture del nuovo ufficio federale entro la fine di marzo 2023. L’NCSC ha sottolineato che continuerà ad assumere i compiti fondamentali in materia di cybersecurity, che comprendono (i) il sostegno alle imprese e al pubblico in generale nella gestione degli incidenti informatici, (ii) la creazione di un ufficio nazionale di segnalazione e di un punto di contatto, (iii) la diffusione di informazioni e avvisi sulle minacce informatiche e sulle misure di protezione, (iv) la sensibilizzazione del pubblico in generale e la protezione dell’Amministrazione federale. 

ROMANIA – L’ANSPDCP (Autorità garante rumena) ha recentemente pubblicato delle linee guida indirizzate agli enti pubblici in materia di uso legittimo della #videosorveglianza negli spazi pubblici. L’Autorità, in particolare, ha sottolineato che anche gli enti pubblici, in qualità di titolari del trattamento, devono assicurare un trattamento di dati sicuro, adeguato e limitato a quanto effettivamente necessario per il perseguimento delle finalità individuate. In accordo con una sua precedente decisione (n.174/2018) l’Autorità ha poi ricordato la necessità di effettuare una DPIA quando si vuole porre in essere un trattamento di dati su larga scala mediante tecnologie, come appunto quella del #riconoscimentofacciale.

Il caso “Google Analytics”

Google Analytics (o anche “GA”) è senza alcun dubbio il servizio di web analytics più conosciuto e utilizzato al mondo.

Lanciato nei primi anni 2000 col nome di “Urchin on Demand” dalla Urchin Software Corporation –  società poi acquisita dal colosso di Mountain View, che ha provveduto al cambio nome – Google Analytics consente ai suoi utilizzatori di analizzare statistiche, anche molto dettagliate, sugli utenti visitatori del sito web sul quale viene installato.

Nel corso degli anni, soprattutto con l’avvento dell’e-Commerce, lo strumento è stato utilizzato sempre più al fine di raccogliere ed analizzare dati (anche personali) a fini di marketing.

Nelle statistiche di Google Analytics, infatti, confluiscono una serie importante di dati dei visitatori che (come l’indirizzo IP e altre informazioni del browser utilizzato, come ad esempio la lingua utilizzata, l’area geografica di provenienze) riescono a fornire indicazioni piuttosto “univoche” e particolare sul profilo dell’utente tracciato.

È infatti la profilazione il fine ultimo di tali analisi, e cioè la creazione di un “profilo utente” in grado di consentire a chi usa Google Analytics per il proprio business di ricostruire i gusti, le abitudini e le preferenze dell’utente ai fini della pubblicità personalizzata (anche detta “online adv”, advertising su internet).

Data la particolare “delicatezza” che caratterizza l’attività di analisi di GA – unitamente al fatto che l’utilizzo dello strumento inevitabilmente comporta il trasferimento dei dati trattati verso gli Stati Uniti – Google Analytics ha attirato su di sé gli occhi di alcune Autorità garanti europee, le quali si sono pronunciate in termini di inutilizzabilità alla luce della sua incompatibilità con la normativa dettata dal GDPR.

Ma vediamo bene il perché…

Sentenza “Schrems I”

L’avvocato e attivista austriaco Maximilian (Max) Schrems, fondatore di NOYB (None of your business) – organizzazione no profit che lotta da anni nel campo della protezione dei dati personali – ha sollevato la questione della pericolosità dei trasferimenti verso gli Stati Uniti quando nel 2013, in una causa intentata nei confronti di Facebook Ireland, ha affermato che la decisione di adeguatezza relativa ai trasferimenti UE-USA 2000/520 CE (nota come “Safe Harbor Privacy Principles”, o anche, più semplicemente “Safe Harbor”) non fosse in grado di garantire efficacemente i diritti dei cittadini europei.

Le leggi federali statunitensi, infatti, consentono alle agenzie governative un ampio margine di libertà di accesso ai dati conservati e trattati dalle aziende locali, libertà che si estende anche ai dati importati dall’Unione.

La causa, più in particolare, ha trovato le proprie origini nelle (allora) recenti dichiarazioni di Edward Snowden – informatico ed ex collaboratore della CIA – secondo le quali la NSA (l’Autorità statunitense per la sicurezza nazionale) aveva condotto per anni attività di sorveglianza di massa, dichiarazioni note ai più con il nome di “Datagate”.

All’esito del giudizio, il 6 ottobre 2015 la Corte di Giustizia dell’Unione Europea ha emesso una sentenza (cd. Schrems I) con la quale – accogliendo la tesi del ricorrente – ha stabilito l’invalidità del Safe Harbor.

Sentenza “Schrems II”

In seguito alla caduta del Safe Harbor, la Commissione Europea è corsa ai ripari, provvedendo a negoziare con il Governo USA un nuovo accordo (e relativa decisione di adeguatezza) in grado di giustificare e rendere ammissibili tali trasferimenti (la 2016/1250 UE), conosciuta anche col nome di “Privacy Shield”.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR) si è posta nuovamente la questione della sicurezza dei trasferimenti di dati UE-USA. Artefice del caso, ancora una volta, Max Schrems il quale ha rimesso alla CGUE la decisione circa la compatibilità dei trasferimenti effettuati “sotto lo scudo” del Privacy Shield con la nuova normativa europea.

In particolare, il meccanismo di autocertificazione delle società USA presso la FTC previsto dal Privacy Shield non è stato considerato sufficiente a superare il controllo invasivo sui dati di cui dispongono le agenzie di sicurezza statunitensi.

Con la sentenza del 16 luglio 2020 (c.d. Schrems II) la Corte si è pertanto nuovamente pronunciata per l’invalidità anche del Privacy Shield: laccordo è apparso infatti inadeguato a garantire, lato importatore, il grado di protezione dei dati richiesto dal GDPR.

Decisioni delle Data Protection Authorities europee

Quando si tratta di tutela dei diritti, NOYB non va mai in vacanza. Nell’agosto 2020 l’organizzazione ha infatti presentato 101 reclami ai diversi Garanti europei contestando l’uso, da parte di moltissime società, di Google Analytics. A seguito di tali reclami, la DPA europee sono intervenute sul caso.

Con una decisione del 22 dicembre 2021, la DSB (Autorità garante austriaca) – in applicazione dei principi e di tutto quanto stabilito nella sentenza Schrems II – ha stabilito che Google Analytics viola il GDPR in quanto non rispetta gli stringenti requisiti richiesti per consentire e garantire un trasferimento sicuro di dati UE-USA.

Alla decisione della DSB è poi seguita, il 10 febbraio 2022, la decisione dell’Autorità francese CNIL che – al pari della omologa austriaca – ha stabilito che Google Analytics non è uno strumento sicuro.

Ma non solo: anche nel nostro paese l’uso di GA è stato considerato non adeguato alla normativa vigente.

Il “Caso Caffeina” e la decisione del Garante italiano

Con provvedimento n.224 del 9 giugno 2022 il Garante per la Protezione dei Dati Personali italiano ha censurato la società Caffeina Media S.r.l. per aver utilizzato Google Analytics (nella sua versione “GA3”) e, di conseguenza, per aver effettuato trasferimenti internazionali di dati personali verso gli Stati Uniti in violazione del GDPR.

Il dato peculiare del provvedimento è che, in esso, il Garante non ha previsto alcuna sanzione come corollario della censura.

La decisione si è dunque rivelata un vero e proprio monito, tanto per Caffeina quanto per tutte le altre società italiane utilizzatrici di GA3, con il quale l’Autorità ha voluto intimare di dismettere, nel termine di 90 giorni, l’utilizzo di Google Analytics.

Pur riferendosi specificamente a GA3, è lecito pensare che l’Autorità abbia, più in generale, espresso le proprie perplessità nei confronti di ogni versione di Google Analytics che non sia effettivamente e concretamente in grado di tutelare i dati così come richiesto dal GDPR.

Quel che è certo è una seconda eventuale pronuncia in materia del Garante non dovrebbe essere altrettanto “morbida”.

Società avvisata… mezza sanzionata!

_________________

Photo by Alex Dudar on Unsplash