News #37: Sanzione privacy in arrivo per TikTok; quante proposte di legge “digital”​ in UE; intanto la Commissione taglia il budget dei Garanti.

Immagine di copertina di Fauzan Saari grazie a Unsplash.

PRIVACY

FONDI UE, UN ALTRO NO –  Nonostante la sensibilità collettiva in materia di protezione dei dati personali divenga di giorno in giorno più alta – così come in crescita sono i dati relativi alle violazioni della normativa in materia – la Commissione Europea ha di recente #negato, per la seconda volta, l’approvazione del #budget prospettico presentato da EDPS ed EDPB. A tale atteggiamento di chiusura le Autorità hanno risposto inviando una lettera aperta al Presidente del Parlamento e al Consiglio europeo, nella quale hanno concentrato le loro preoccupazioni tanto in relazione alla tutela dei diritti dei cittadini in materia quanto sulla stessa credibilità del GDPR.

ORA TOCCA A TIKTOK – La DPC, Autorità garante irlandese, ha recentemente presentato ai propri omologhi europei il progetto di decisione relativo alla #indagine sui trattamenti di dati personali dei minori effettuati da TikTok. Come per le precedenti decisioni (ad esempio, Facebook e Instagram) che riguardano colossi mondiali dei social network, anche in questo caso il percorso per giungere ad una valutazione è dovuto passare dalla #Irlanda, dove anche TikTok ha eletto di avere la propria sede UE, ed anche in questo caos sta richiedendo molto tempo per giungere ad un punto fermo. Si deve al contempo notare il cambio di passo che la Commissioner Helen Dixon ha impresso recentemente, dopo le pesanti critiche piovute addosso all’Autorità locale da parte di altri garanti UE.

G7 DELLE AUTORITA’ PRIVACY – Gli scorsi 7 e 8 settembre si è tenuto a Bonn il secondo #appuntamento del “G7” delle Autorità per la protezione dei dati personali. Sotto la presidenza del Commissario Federale tedesco per la protezione dei dati e la libertà di informazione, i Garanti di sette tra i sistemi socio-economici più importanti al mondo (Francia, Germania, Canada, Gran Bretagna, Italia, USA e Giappone) si sono riuniti per discutere di tutte le questioni, tecnologiche e normative, inerenti al “DFFT” (Data Free Flows with Trust). Al centro del dibattito la delicata questione del #trasferimento #internazionale di dati e, soprattutto, l’Intelligenza Artificiale. A tal proposito il Garante italiano – in persona del Vice Presidente Ginevra Cerrina Feroni – ha proposto ai colleghi di definire un codice etico e culturale in materia di IA, al fine di evitare che le nuove tecnologie connesse all’Intelligenza Artificiale possano sfociare in forme di sorveglianza massiva finalizzati a controllare e manipolare il comportamento degli individui.

  • 231

PRESCRIZIONE DEL REATO PRESUPPOSTO – La Suprema Corte di Cassazione ha stabilito (con la recente sentenza n. 30685/2022, consultabile gratuitamente per gli iscritti all’associazione AODV231) che l’intervenuta prescrizione del reato presupposto #non #incide – in alcun modo – sulla cognizione del giudice in ordine alla responsabilità dell’ente che dalla commissione del reato abbia, in ogni caso, tratto un #beneficio o un #vantaggio.

  • MERCATI DIGITALI

DMA E’ LEGGE – Il Consiglio e il Parlamento hanno firmato il Digital Markets Act, che diviene così ufficialmente legge in Unione Europea. I #gatekeepers sono avvisati: il mercato digitale UE dovrà diventare sempre più competitivo ed equilibrato (almeno nelle intenzioni della normativa), grazie a meccanismi di divieti di pratiche scorrette e diritti aumentati per i cittadini.

CYBER RESILIENCE ACT – Lo scorso 15 settembre la Commissione europea ha annunciato di aver presentato una proposta per una nuova legge in materia di #cybersicurezza: il Cyber Resilience Act. Con l’obiettivo di tutelare consumatori ed imprese da prodotti inadeguati, la legge – qualora approvata – introdurrebbe nuovi requisiti di sicurezza informatica per tutti i prodotti con elementi digitali.

MEDIA FREEDOM ACT – Alle altre novità si aggiunge anche la proposta di regolamento della Commissione UE destinata a proteggere #pluralismo e #indipendenza dei media nel territorio dell’Unione: tra le tante previsioni, il #divieto di “spyware” contro i giornalisti. Intanto, dopo un primo tentativo fallito nel 2018, si è avuta notizia di una seconda iterazione – giunta al traguardo – del “Codice Europeo contro la Disinformazione”, che costituisce un laboratorio di “co-regolamentazione” dedicato a toccare differenti settori: oltre a quello dell’informazione-disinformazione, infatti, si occupa ad esempio di hate speech e disciplina pubblicitaria. Approfondisce il tema il Prof. Oreste Pollicino su lavoce.info, qui.

GOOGLE CONDANNATA – Il Tribunale dell’UE ha deciso: Google condannata a pagare (poco più di) 4 milioni di euro. La decisione chiude un capitolo apertosi nel 2018, quando  la Commissione ha sanzionato la società per #abuso di #posizione #dominante nei confronti di aziende concorrenti, produttrici di dispositivi mobili. Sebbene la recente decisione sia leggermente più favorevole dal punto di vista economico (la sanzione viene infatti “scontata” per circa 200 mila euro) resta ferma la delusione del colosso di Mountain View, che sperava di veder chiusa la questione con l’annullamento totale della sentenza.

  • NEWS DAL MONDO

USA – In occasione del forum pubblico per la sorveglianza commerciale e la sicurezza dei dati – indetto dall Federal Trade Commission e tenutosi lo scorso 8 settembre – l’Electronic Privacy Information Center (EPIC) ha sollecitato la FTC ad adottare una regola in materia di minimizzazione dei dati. L’esortazione si è inserita all’interno di un più vasto discorso pronunciato dal Vice Presidente dell’EPIC, Caitriona Fitzgerald, che ha sostanzialmente manifestato le proprie considerazioni in merito al preoccupante “stato di salute” del sistema privacy statunitense.

ALBANIA/MALTA – L’Ufficio albanese del Commissario per l’informazione e la protezione dei dati (IDP) ha annunciato la firma di un accordo di cooperazione con l’omologo maltese. Scopo dell’accordo, approfondire la conoscenza reciproca e gettare le basi per una migliore collaborazione anche dal punto di vista dello scambio di informazioni.

TANZANIA – La proposta di legge privacy locale è stata sottoposta al Parlamento per approvazione: in caso di successo, proteggerà gli utenti dei servizi di comunicazione online, fatti oggetto dal testo normativo di particolari garanzie e tutele.

SPAGNA – L’AEPD (autorità locale) ha lanciato lo scorso 14 settembre un tool di valutazione del rischio derivante dal trattamento di dati personali, in lingua spagnola: tramite esso, i titolari potranno anche misurare la necessità di effettuare DPIA e assumere misure di contenimento e sicurezza adeguate. Maggiori informazioni qui.

INDONESIA – Anche il paese del sud-est asiatico si avvicina all’approvazione di una normativa locale in materia di data protection (il “PDP Bill”) che al momento risulta approvata dalla Camera dei Rappresentanti con alcune modifiche del Ministro della Comunicazione. Se ne attende ora l’avanzamento in plenaria e la successiva ratifica in legge.

News #36: il Garante boccia l’Ecosistema dei Dati Sanitari; multa salata per Instagram; battaglia (persa) in Giappone per il marchio Gucci.

Immagine di copertina di Surendran MP grazie a Unsplash.

PRIVACY

ECOSISTEMA DATI SANITARI – Il Garante ha recentemente bocciato lo schema di decreto – proposto congiuntamente da Ministero della salute e Ministero per l’innovazione tecnologica e digitale – che include la realizzazione di una nuova banca dati denominata “EDS” (Ecosistema Dati Sanitari). Essa, prevista dalla riforma del Fascicolo Sanitario Elettronico, comporterebbe infatti la #duplicazione di tutti i dati già presenti nel FSE, finendo così per diventare la più grande banca dati di informazioni sanitarie mai creata in Italia. Proprio in virtù delle tipologie di dati coinvolti e del numero di soggetti interessati (si tratterebbe by default di un trattamento sistematico su larga scala) il Garante si è dimostrato molto scrupoloso: ben venga insomma introdurre nuovi strumenti in grado di agevolare lo sviluppo dei servizi sanitari, se nel costante rispetto dei diritti fondamentali delle persone.

CORTE DEI CONTI SOTTO ATTACCO? – Anche la Corte dei Conti pare essere finita nel mirino degli hacker. Secondo alcune indiscrezioni, diversi giudici sono stati raggiunti da un messaggio tramite l’app WhatsApp, apparentemente proveniente dal numero di un collega. Il messaggio, che aveva l’aria di una innocua catena di Sant’Antonio, si è in realtà rivelata invece un’operazione di #phishing, che ha consentito ai cybercriminali di accedere a tutto quanto contenuto nei cellulari dei giudici della Corte. Dopo un’attenta bonifica dei cellulari colpiti dall’attacco, tutto è tornato sotto controllo. Resta, tuttavia, un problema di sicurezza: nel caso in cui dei giudici dovessero usare (o continuare ad usare) WhatsApp per le loro comunicazioni professionali, in quanto più celere rispetto allo scambio di e-mail, le loro comunicazioni rimarrebbero potenzialmente esposte ad ulteriori attacchi.

MULTA PER INSTAGRAM – A seguito di un’istruttoria durata oltre due anni, la Commissione irlandese per la protezione dei dati (DPC) ha imposto ad Instagram una #sanzione di ben 405 milioni di euro (la più alta finora imposta ad una società del gruppo Meta da parte della DPC) per violazione delle norme europee in materia di protezione dei dati personali dei #minorenni. Secondo le motivazioni del Garante irlandese, riportate da Euractiv, Instagram avrebbe consentito a utenti di età compresa tra i 13 ed i 17 anni di aprire e gestire account aziendali, con la conseguenza che i dati personali di minori sono stati resi pubblici, senza che gli stessi ne fossero effettivamente consapevoli.

LE RISORSE DEI GARANTI UE – L’EDPB ha pubblicato ieri, 5 settembre, una “overview” delle risorse di cui ciascuna Autorità nazionale è dotata, sia dal punto di vista economico che di personale a disposizione. Alcuni #spunti interessanti: (i) un tendenziale, seppur minimo incremento dei budget economici a disposizione delle Autorità tra il 2020 e il 2022; (ii) questi budget sono considerati dal 77% delle Autorità come #insufficienti – con la sorprendente eccezione del Garante nostrano; (iii) anche le risorse umane a disposizione tendono all’incremento, non venendo però considerate adeguate alle numerose attività in corso (ad esempio, per l’Italia, lo staff previsto è di 200 persone, a fronte di 139 operatori attualmente presenti). Nel paper sono riportati anche i grafici comparativi dei dati presenti, insieme ad altri spunti molto interessanti.

  • 231

FATTURE INESISTENTI – In materia di dichiarazione fraudolenta mediante fatture per operazioni inesistenti è necessario provare la fittizietà del soggetto formalmente emittente, nel caso in cui si tratti di una società appartenente al Gruppo. È quanto stabilito dalla Corte di Cassazione lo scorso 5 settembre, con la pronuncia delle #sentenze (consultabili gratuitamente per gli iscritti all’associazione AODV231)  n. 32505, n. 32506 e n. 32507. Secondo i giudici di Piazza Cavour, l’eterodirezione da parte della capogruppo non è un elemento di per sé sufficiente per sostenere la fittizietà della controllata e, di conseguenza, qualificare come inesistenti le fatture emesse da quest’ultima.

BANCA DATI ANTIRICICLAGGIO – Uno schema di legge proposto dal Ministero dell’economia e delle finanze (MEF) si propone di aggiornare la legge antiriciclaggio con l’introduzione di un articolo 34-bis istituendo una banca dati informatica centralizzata, previo parere dell’Autorità Garante per la protezione dei dati. Ne riporta diffusamente Maurizio Arena nella sua newsletter n. 14, qui.

  • MERCATI DIGITALI

GUCCI vs CUGGL – Gucci e CUGGL come Davide e Golia. La storica casa di moda italiana perde una importantissima #battaglia contro una piccola (e finora) poco conosciuta start-up giapponese. A scatenare il caso, la comparsa sul mercato di una t-shirt dove una scritta viene oscurata da una striscia di vernice che, in concreto, non permette di distinguere se il testo riporti la scritta “GUCCI” o “CUGGL”. A decidere le sorti dello scontro è stato l’Ufficio brevetti giapponese (JPO), il quale ha #respinto l’opposizione al marchio proveniente dalla maison fiorentina. Le probabilità che un consumatore si confonda e scambi le t-shirt a marchio CUGGL per autentiche Gucci sono, a detta del JPO, davvero molto basse. Vedere questo articolo e la foto qui di seguito per credere (e valutare).

LEGA VS. FACEBOOK – Nel nuovo millennio, si sa, le battaglie elettorali si combattono sui social. Ma c’è chi fa di più, decidendo di combattere addirittura “contro i social”. Un gruppo di parlamentari della Lega ha infatti deciso di presentare un esposto ad #AGCOM (Autorità per le garanzie nelle comunicazioni) contro Facebook. Il motivo, presentato a supporto dell’esposto, è il seguente: il social avrebbe, del tutto arbitrariamente, reso particolarmente difficoltosa (ed in alcuni casi, addirittura, oscurato) la circolazione dei loro post e contenuti elettorali. Al momento, tuttavia, Meta fa sapere che nessuna problematica è stata riscontrata. 

LA DEFINIZIONE DI “METAVERSO” – Il dizionario Merriam-Webster ha introdotto una definizione di Metaverso, che riportiamo in originale: “a persistent virtual environment that allows access to and interoperability of multiple individual virtuan realities“. Primo utilizzo riportato? #1992.

  • NEWS DAL MONDO

BELGIO – Rinviata davanti alla Corte Europea di Giustizia la controversia sul Transparency and Consent Framework di IAB Europe, utilizzato come standard negli ultimi anni per la gestione dei #cookie. Nei mesi scorsi, lo ricordiamo, l’Autorità belga di protezione dei dati personali aveva sanzionato pesantemente IAB Europe per non conformità alla normativa europea, ponendo in grande difficoltà tutti gli operatori che avevano aderito e implementato lo standard. Ne riporta Luiz Alberto Montezuma in questo post.

GERMANIA – L’ondata generata dalla sentenza “Schrems II” – con cui è venuto meno il Privacy Shield, l’accordo per gli scambi UE-USA di dati personali – pare non essersi ancora fermata. Con una recente decisione, la Camera degli Appalti del Baden-Württemberg ha stabilito che anche il mero accesso dall’estero ai dati personali equivale ad un trasferimento. L’interpretazione – evidentemente estensiva – del concetto è stata possibile a fronte della inesistenza, nel corpo del Regolamento UE 2016/679, di una definizione di “trasferimento”.

UK – L’Autorità per la protezione dei dati inglese (ICO) ha recentemente pubblicato una bozza di guida sulle tecnologie per il miglioramento della privacy (PETs) con l’obiettivo di aiutare le organizzazioni a sfruttare il potenziale dei dati mediante un approccio basato sulla privacy by design (dunque, protezione dei dati sin dalla fase della progettazione).

SPAGNA – Il Garante spagnolo (AEPD) ha pubblicato, lo scorso 6 settembre, una guida per tutti coloro che andranno a ricoprire, nei centri educativi, il ruolo di Coordinatore per il benessere e la protezione degli studenti – nuova figura introdotta dalla Legge organica n.8/2021 per la protezione dei bambini e degli adolescenti contro la violenza. Tra le funzioni proprie del Coordinatore, promuovere la comunicazione immediata tra centro educativo e Agenzia, in tutte quelle situazioni che possono verosimilmente comportare un trattamento illecito dei dati personali dei minori. L’AEPD, nella battaglia per la protezione dei minori, ha  anche messo a disposizione un canale prioritario per la segnalazione di materiale pornografico o violento su internet, di cui si richiede l’immediata rimozione.

USA – Proseguono gli studi legislativi verso il mondo digitale, questa settimana con importanti aggiornamenti dalla Federal Trade Commission che ha pubblicato una proposta di legge, e poi ora attende dagli stakeholder commenti entro il 21 ottobre prossimo.

News #35: attachi informatici al settore energia; la Cassazione sulle raccomandazioni “illecite”​; Cuba ha una legge privacy, mentre gli USA no.

Immagine di copertina di Agence Olloweb grazie a Unsplash.

  • PRIVACY & CYBERSECURITY

ATTACCHI INFORMATICI NEL SETTORE ENERGIA – Dopo GSE (Gestore dei servizi energetici) anche ENI finisce nel mirino degli attacchi informatici: secondo le notizie di stampa diffuse nei giorni scorsi, gli accessi non autorizzati alle reti aziendali non avrebbero causato conseguenze di rilevante entità, e tuttavia la soglia di allarme rimane alta. Appare a questo punto evidente l’intenzione di attaccare un settore, come quello energetico, di carattere strategico e attualmente sensibilissimo a causa del conflitto in corso.

CYBERSICUREZZA – Lo scorso 20 agosto è stato pubblicato in Gazzetta Ufficiale il D. Lgs. 123/2022, che adegua la normativa nazionale al Regolamento Europeo 2019/881 in materia di cybersicurezza. Tra le novità introdotte, l’individuazione di una autorità nazionale di certificazione della cybersicurezza (ACN, Agenzia per la Cybersicurezza Nazionale) e la definizione di un sistema sanzionatorio per i casi di violazione.

NEWSLETTER DEL GARANTE ITALIANO – Lo scorso 1 settembre è stata pubblicata la newsletter della nostra Autorità, nella quale si riporta: un parere in merito alla Carta d’Identità Elettronica per i residenti all’estero; un assenso al sistema informativo che monitora i minori non accompagnati in Italia; il via libera del Garante al database centralizzato per la lotta al riciclaggio di denaro derivante da attività criminose e per finanziamento del terrorismo.

REGISTRO OPPOSIZIONI – Dallo scorso 27 luglio è operativo il Registro delle opposizioni, strumento offerto ai cittadini allo scopo di bloccare l’arrivo, anche sul proprio cellulare, di chiamate moleste di marketing diretto. A un mese dal lancio, si registrano quasi due milioni di iscritti: tuttavia, secondo quanto riportato dall’Unione Nazionale Consumatori, soltanto nel 37% dei casi le chiamate sono effettivamente scomparse, registrandosi per altro un 5% dei casi in cui, addirittura, assolutamente nulla sarebbe cambiato, nemmeno in termini di minor frequenza di chiamate. A fronte di questi dati, la proposta dell’UNC prevede un sistema di indennizzi automatici per tutti coloro che, nonostante l’iscrizione, continuano ad essere colpiti da telefonate di marketing.

DATA BREACH PER SAMSUNG – Con un post all’interno del proprio “security response center” il colosso coreano ha confermato rumors che riferivano di un importante data breach (perdita di dati personali) avvenuto “nel tardo mese di luglio”, e conosciuto dall’azienda intorno al 4 agosto, riguardo a utenti e clienti USA. La mancanza di un sistema di reporting tempestivo come sotto il GDPR può aver contribuito a questo importante ritardo di comunicazione, dato che la normativa americana varia da stato a stato. Seguiranno aggiornamenti.

  • 231

RACCOMANDAZIONI ILLECITE – Secondo quanto stabilito dalla Suprema Corte di Cassazione (con sentenza n. 30564 dello scorso 2 agosto, consultabile gratuitamente per gli iscritti all’associazione AODV231) il semplice sfruttamento di una relazione con un pubblico agente o il mero uso di una relazione personale non è sufficiente per integrare il reato di traffico di influenze illecite, di cui all’art. 346-bis c.p. Affinché la fattispecie di reato si realizzi, è necessario che sussista un quid pluris, e cioè che la mediazione illecite si concretizzi in un vero e proprio accordo accordo tra committente e mediatore finalizzato a produrre un indebito vantaggio per il primo.

NUOVO WHISTLEBLOWING IN FRANCIA – E’ entrata in vigore lo scorso 1 settembre la legge di riforma del Whistleblowing nel paese, che tocca anche la “Sapin II” omologa – per alcuni temi e, in particolare, per anticorruzione e antiriciclaggio – della nostra 231/2001. Qui un articolo di Data Guidance e qui la nuova legge, mentre le modifiche alla Sapin II le trovate qui (in lingua francese, naturalmente).

  • MERCATI DIGITALI

DIGITAL LEARNING – Atlas VPN (servizio VPN nato con l’obiettivo di rendere internet sicuro e accessibile a tutti) ha recentemente condotto e diffuso una ricerca sulle app educative presenti nello store di Android, all’esito della quale ha stilato una classifica delle dieci che raccolgono il maggior numero di dati. Dal report, per di più, si evince che nel 70% dei casi tali dati vengono condivisi con terze parti. Le maggiori preoccupazioni si ricollegano al fatto che, nella gran parte dei casi, gli utilizzatori di tali piattaforme sono soggetti minori: tra le app più “dativore” HelloTalk e Google Classroom.

ANTITRUST USA VS. APPLE – Secondo alcune indiscrezioni, il Dipartimento di Giustizia degli Stati Uniti starebbe lavorando in vista di una possibile causa in materia di antitrust contro Apple. Al centro della questione vi sarebbero gli Airtag – gli innovativi dispositivi che consentono di non smarrire gli oggetti sui quali vengono apposti. La causa sembrerebbe ricollegarsi ad un reclamo proposto da Tile, società anch’essa californiana e anch’essa produttrice di simili dispositivi.

TWITTER-WATCH – Prosegue la “saga” di Twitter vs. Musk, questa volta con la diffusione della notizia del deposito di una denuncia a carico del social network da parte dell’ex responsabile della sicurezza, Peiter “Mudge” Zatko, legata a pesanti mancanze nella protezione degli utenti. Naturalmente, gli avvocati del magnate sudafricano si sono subito affrettati a citare il whistleblower nella causa in corso, la cui udienza sarà il prossimo 9 settembre. Trovate un interessante riassunto su Guerre di Rete, qui. Stay tuned!

  • NEWS DAL MONDO

CUBA – Lo scorso 25 agosto è stata pubblicata nella Gazzetta Ufficiale della Repubblica di Cuba la Legge sulla protezione dei dati personali (n.149/2022). La nuova normativa – che  entrerà a tutti gli effetti in vigore trascorsi 180 giorni dalla pubblicazione – garantirà ai soggetti interessati il controllo sui propri dati al fine di evitare il verificarsi di qualsiasi violazione nella trasmissione dei propri diritti personali per finalità diverse da quelle legalmente consentite.

GERMANIA – Il Ministro tedesco del digitale e dei trasporti sta attualmente lavorando su un progetto di legge volto a semplificare la gestione del consenso relativo ai cookie. Più nello specifico, l’obiettivo sarebbe quello di ridurre il numero di pop-up in cui gli utenti si imbattono nel corso della loro navigazione. In tal senso, un’eccezione riguarda i siti finanziati da pubblicità: se l’utente presta il consenso, nessun pop-up verrà più visualizzato, mentre, qualora lo rifiuti, il pop-up finalizzato alla sua raccolta verrà di volta in volta riproposto.

USA – La FTC (Federal Trade Commission) ha recentemente reso noto di aver intentato una causa nei confronti di Kochava Inc., broker di dati. Le ragioni della causa sono da rintracciarsi nell’attività di vendita di informazioni – relative a centinaia di migliaia di soggetti – utilizzate per tracciare gli spostamenti degli individui coinvolti, anche da e per luoghi sensibili (ad esempio luoghi di culto o centri di accoglienza per senzatetto).

HONG KONG – Il Garante per la protezione dei dati personali di Hong Kong (PCPD) ha recentemente pubblicato le “Misure per la valutazione della sicurezza delle esportazioni di dati”, contenenti precisi e rigorosi requisiti relativi alle modalità di effettiva esecuzione di tali valutazioni di sicurezza. L’Autorità locale ha poi provveduto a precisare che, laddove i requisiti siano soddisfatti, potrebbe essere richiesto al soggetto che ha effettuato le valutazioni un inoltro delle risultanze alla Cybercrime Administration of China (CAC, Garante cinese).

NORVEGIA – L’Autorità locale ha recentemente pubblicato i risultati di uno studio condotto in tema di monitoraggio dei lavoratori, che include diversi interessanti spunti su come rendere il luogo di lavoro tecnologico (e lo smart working) più a misura di GDPR. Data Guidance ne fa un riassunto qui, per chi non conoscesse il norvegese.

News #34: negli USA si avvicina la legge privacy federale; novità su smart working e controllo da remoto; prima sanzione privacy in California.

Immagine di copertina di Timothy Dykes grazie a Unsplash.

  • PRIVACY

LAVORATORE SPIATO – Scoprire che il lavoratore non adempie alla propria prestazione mediante l’attività di un investigatore privato non consente, da sola, al datore di lavoro di licenziarlo. È quanto stabilito dalla Corte di Cassazione con ordinanza 25287 dello scorso 24 agosto. Il controllo sull’operato del dipendente, infatti, spetta esclusivamente al datore di lavoro, che non può in nessun caso avvalersi di altri soggetti.

LEGGE FEDERALE USA – Continua il percorso della proposta normativa denominato “ADPPA” (American Data Privacy and Protection Act), questa volta con una inedita lettera, inviata da ben 48 diverse associazioni americane per i diritti civili allo Speaker della Camera, Nancy Pelosi. Il generale consenso sulla necessità di uniformare lo spettro della legislazione USA in materia appare evidente e, mai come prima, potrebbe essere il viatico per un avanzamento della bozza di legge: sul punto è interessante questo articolo dello IAPP, che include anche altri sviluppi normativi USA ad esempio in materia di intelligenza artificiale.

NOYB-GMAIL – NOYB (None of your business), l’organizzazione senza scopo di lucro guidata da Max Schrems, ha recentemente presentato una denuncia contro Google presso l’Autorità garante francese (CNIL). La doglianza di NOYB è basata sulle ripetute violazioni da parte di Google della normativa e della giurisprudenza europea in materia di marketing diretto. Pare infatti che Google, in spregio alla Direttiva ePrivacy e ad una sentenza della Corte di Giustizia (C-102/20), abbia ripetutamente inviato ai propri utenti e-mail contenenti pubblicità, e ciò senza che gli utenti stessi avessero prestato il loro consenso a riguardo.

ISTRUTTORIA SUL VIDEO DI PIACENZA – Il Garante per la protezione dei dati italiano ha annunciato di aver aperto un’istruttoria al fine di individuare le responsabilità – dal punto di vista della normativa privacy – dei soggetti coinvolti nell’ambito del caso della violenza sessuale avvenuta a Piacenza. Il caso, già serio di per sè stesso, ha subito un aggravamento (soprattutto dal punto di vista della vittima, in termini di dignità e tutela) in seguito all’uso strumentale che ne è stato fatto ai fini della campagna elettorale da parte di una forza politica che, per raccogliere consensi, ha provveduto a diffondere online il video.

META E LA SANZIONE IRLANDESE – Rimandata all’autunno la decisione sui trasferimenti internazionali effettuati da Facebook e Instagram (Meta Platforms) a seguito delle contestazioni sollevate da alcune autorità locali alla bozza di decisione della DPC irlandese: principale scoglio, l’assenza (incomprensibile) di alcuna sanzione verso il gigante USA seppur nella conferma della violazione di diversi precetti del GDPR. Si è pertanto aperta la procedura di cui all’art. 65 GDPR, che seguiremo da vicino nelle prossime news.

  • MERCATI DIGITALI

SMART WORKING – Il Governo interviene ancora, in piena estate, sulla materia dello “smart working”, con il Decreto ministeriale n. 149/2022 – pubblicato in Gazzetta Ufficiale lo scorso 19 agosto a firma del Ministro Orlando – che fissa alcune novità. Ai fini di un corretto svolgimento del lavoro in modalità agile, tra l’altro, sembra essere scomparso l’obbligo di effettuare al Ministero la comunicazione dei lavoratori coinvolti prima dell’inizio dello smart working, decadendo anche la relativa sanzione. Ne parla il Sole 24 Ore in questo e in questo articolo, mentre il Ministero ha rilasciato una nota stampa qui.

TWITTER – HateAid, organizzazione tedesca no-profit, ha denunciato Twitter presso l’Ufficio federale di giustizia. La denuncia si fonda sulla violazione di una disposizione del Network Enforcement Act, che prescrive l’obbligo di comunicare i meccanismi con i quali i social gestiscono i reclami: secondo quanto lamentato dall’organizzazione, Twitter non avrebbe adempiuto a ciò nel suo ultimo Rapporto sulla trasparenza, relativo al periodo gennaio-giugno 2022. In una notizia non correlata, l’ex responsabile della sicurezza di Twitter (Peiter ‘Mudge’ Zatko) ha lanciato pesanti accuse contro il social network per gravi e reiterate falle nella gestione della protezione degli utenti e nella lotta ai “bots”: qui un interessante articolo del The Guardian.

GOOGLE ENTRA NELL’OOH – Con un blog post ufficiale Google ha annunciato di aver integrato, nella propria piattaforma di adv, anche strumenti di “out of home”, ovvero pubblicazione di annunci commerciali attraverso videowall in stazioni, aeroporti, centri commerciali e altri luoghi di alto traffico di persone. L’azienda di Mountain View si è subito affrettata a precisare, per inciso, che non saranno utilizzati dati personali per “targettizzare” le pubblicazioni, ma solo “dati contestuali”, ad esempio mostrando annunci relativi allo specifico luogo di diffusione e/o al contesto reale in cui lo spettatore si trova.

  • NEWS DAL MONDO

CALIFORNIA – Arriva la prima sanzione del public enforcement locale contro una società per violazione del CCPA, seppure attraverso un accordo transattivo: Sephora, gigante del retail cosmetico, dovrà pagare 1,2 milioni di dollari per aver venduto i dati degli utenti senza effettuare loro alcuna notificazione o dare accurate informazioni, e inoltre sarà tenuta a specificare tali attività mediante diversi interventi concordati con l’autorità. Il portavoce di quest’ultima, per inciso, ha comunicato che sono in corso di invio circa cento altre lettere ad altrettanti brand, per violazioni della legge locale a protezione dei consumatori.

TURCHIA – KVKK, Autorità garante turca, ha pubblicato una bozza – destinata alla consultazione pubblica – di linee guida in materia di trattamento di dati genetici. Scopo del documento è aiutare i titolari del trattamento nel trattamento di tale delicata categoria di dati, nella scelta di un’adeguata base giuridica e nell’adempimento degli obblighi posti dalla normativa nazionale vigente.

USA – L’Electronic Privacy Information Center (EPIC) e il National Consumer Law Center (NCLC) hanno rilasciato una dichiarazione congiunta per sollecitare la Federal Communication Commission (FCC) a imporre sanzioni più severe nei confronti di tutte le compagnie telefoniche che non sono in grado di proteggere i consumatori da telefonate automatiche di truffa.

ROMANIA- L’ANSPDCP, autorità locale, ha recentemente reso nota la propria decisione di infliggere una sanzione di 10 mila euro a Enel Energie Muntenia SA per aver violato gli artt.32  e 33 del GDPR. Infatti, in seguito ad un incidente (un dipendente Enel ha inoltrato ad un destinatario sbagliato dati personali riferibili ad altro soggetto) Enel Energie non ha provveduto a dimostrare di aver posto in essere tutte le misure necessarie per evitare che un simile inconveniente potesse ripetersi in futuro, nè si è adoperata in termini di segnalazione dell’incidente stesso all’Autorità. 

PERÙ – In occasione della “Festa del bambino”, celebrata in Perù lo scorso 21 agosto, il Garante peruviano (ANPD) ha emanato delle raccomandazioni finalizzate alla protezione dei dati personali e alla prevenzione di molestie sessuali nei confronti di soggetti minori. Tra i consigli offerti dall’Autorità, evitare di fornire indicazioni precise circa la scuola e gli altri luoghi frequentata dai bambini, non accettare richieste da soggetti sconosciuti e evitare di rispondere a questionari e/o domande sui minori che appaiono discutibili e inappropriate.

BRASILE – Meta è stata condannata dal SENACON a pagare un risarcimento di 6.6 milioni di Real (circa 1,2 milioni di euro) per le violazioni derivanti dallo scandalo Cambridge Analytica, tra cui l’analisi e valutazione delle risposte attraverso app e “giochi” al fine di indirizzare il voto dei cittadini durante le elezioni.

News #33: attacchi “hacker” in aumento; attenti a cosa digitate attraverso TikTok e Facebook; Google sanzionato anche in Australia.

Immagine di copertina di Ryan Wilson grazie a #Unsplash.

  • PRIVACY & CYBERSECURITY

CYBERSICUREZZA IN ITALIA – Nel corso della tradizionale riunione del Comitato nazionale per l’ordine e la sicurezza pubblica – presieduto dalla Ministra dell’Interno, Luciana Lamorgese- sono stati resi pubblici dati preoccupanti circa la situazione della sicurezza informatica nel nostro paese. Secondo i dati rilasciati dal Viminale, infatti, gli attacchi hacker rilevati nell’ultimo anno sono oltre il 75% in più rispetto a quelli registrati nell’anno precedente.

IL DPO NON PUÒ DIFENDERE L’ENTE – Il Garante ha sanzionato, con decisione del 9 giugno scorso emersa di recente, il Comune di Policoro per aver affidato al proprio DPO (avvocato) alcuni incarichi di tutela in contenziosi aventi ad oggetto il tema privacy. In questo modo, evidentemente, generando un irrisolvibile conflitto d’interessi tra controllato e controllore, non accettabile in particolare se riguarda un ente pubblico.

GOOGLE NELLE SCUOLE – Continua a restare sulla linea del rigore l’Autorità danese in riferimento all’utilizzo – molto diffuso anche in Italia – di Google Workspace nelle scuole. In un aggiornamento della vicenda, infatti, la municipalità ha inviato una DPIA considerata “insufficiente e scarsa” dalla DPA danese, oltre che non commentata (!!) dal DPO nominato: nessuna misura di salvaguardia, in sostanza, è stata assunta per tutelare i minori dall’uso indiscriminato dei dati da parte della Big Tech USA, che per diversi trattamenti è considerata “titolare” del trattamento, e non responsabile.

AZIENDA vs. AZIENDA – L’Autorità belga per la protezione dei dati ha assunto di recente la posizione secondo cui una azienda, che ritenga un’altra in violazione del GDPR e/o della normativa locale, può adire proprio la DPA per vedere la seconda sanzionata. Si tratta sicuramente di un punto di vista interessante, anche se foriero (come diversi commentatori riportano) di numerosi profili critici, tenendo conto del già alto numero di contenziosi e procedimenti che il regolamento europeo ha portato con sè, a fronte di mezzi e risorse per le autorità locali di poco superiori al periodo ante-2018.

  • MERCATI DIGITALI

APPLE, ALLARME SICUREZZA – Arriva un annuncio ufficiale per tutti coloro che utilizzano dispositivi a marchio Apple: aggiornare quanto prima i propri device alla nuova versione dei sistemi operativi. A spingere la società di Cupertino a diffondere una tale comunicazione (e ad intervenire prontamente con un aggiornamento) sarebbe stata la scoperta di una falla nel sistema che, a quanto pare, consentirebbe ad hacker l’accesso ai dispositivi, con la conseguente possibilità che gli stessi si approprino dei dati personali in essi contenuti.

I SOCIAL SONO KEYLOGGER – Ha aperto un vero e proprio vaso di Pandora la scoperta che anche TikTok, oltre che Facebook e Instagram, effettuano iniezioni di codice informatico nei siti web che vengono visitati attraverso i browser “inclusi” nelle app per dispositivi mobili. La ragione? Con questa tecnica, i social network mappano e leggono ogni tasto premuto – e quindi ogni parola o click effettuato – dall’utente, di fatto venendo a sapere tutto ciò che avviene anche su portali di soggetti terzi, senza esclusione alcuna (e anche su Apple iOS). Si attendono indagini e verifiche, auspicabilmente, da parte delle autorità preposte.

  • NEWS DAL MONDO

AUSTRALIA – L’ACCC (Australian Competition and Consumer Commission) ha annunciato che la Corte federale australiana ha inflitto una salatissima multa a Google, di ben 60 milioni di dollari. Secondo la ricostruzione della Corte, il colosso digitale avrebbe reso dichiarazioni ingannevoli ai consumatori in merito alla raccolta e all’utilizzo dei loro dati personali, in particolar modo per quanto riguarda l’attività di profilazione degli stessi.

PORTOGALLO – L’Autorità nazionale per le comunicazioni portoghese (ANACOM) ha di recente annunciato la pubblicazione di una nuova legge (n.16/2022)  sulle comunicazioni elettroniche. Viene in tal modo stabilito un nuovo regime normativo, attraverso l’abrogazione della normativa precedente (che risaliva al 2004) e il recepimento di alcune direttive comunitarie. Tra le novità, l’obbligo di notifica all’ANACOM in caso di verificazione di qualsiasi tipo di incidente di sicurezza in grado di determinare un significativo impatto sul funzionamento di reti e servizi.

FILIPPINE – La Commissione nazionale per la privacy filippina ha recentemente emesso una circolare sulle linee guida in materia di sanzioni amministrative conseguenti alle violazioni della normativa vigente commesse da titolari e responsabili del trattamento. Scopo della circolare è quello di consentire l’irrogazione di sanzioni dissuasive e proporzionate alle infrazioni effettivamente commesse.

LITUANIA – L’autorità nazionale per la privacy ha recentemente pubblicato una interessante linea guida sulle funzioni e sui compiti del Data Protection Officer, tema sempre complesso è fonte di rischi privacy (come anche la recente decisione italiana riportata sopra ci ricorda).

News #32: i chiarimenti di INL sulla Trasparenza; data breach per Twilio; nuovi incentivi per la gestione dei rifiuti elettronici in azienda.

Immagine di copertina di Ray Hennessy grazie a Unsplash.

  • PRIVACY

D. LGS. TRASPARENZA – L’Ispettorato Nazionale Lavoro (“INL”) ha emanato una circolare, d’intesa con il Ministero del Lavoro, che contiene le “prime indicazioni di carattere operativo” sulla interpretazione di alcuni passaggi dell’ormai famoso D.Lgs. 104/2022, che è entrato in vigore lo scorso 13 agosto. Tra i numerosi spunti – tutti da verificare nella pratica – rileva la possibilità di avvalersi del “mezzo elettronico” per tutte le comunicazioni da effettuare a favore dei lavoratori (informative, istruzioni, ecc.). In relazione alla norma ed ai “nuovi” adempimenti privacy introdotti, segnaliamo poi l’interessante spunto di analisi offerto da Antonio Ciccia Messina su LinkedIn, qui.

UE-GIAPPONE – L’EDPS (European Data Protection Supervisor) ha annunciato di aver emesso un parere circa la possibilità che, nell’esecuzione di un partenariato UE-Giappone, vengano trasferiti anche flussi di dati personali. Sebbene il Giappone sia già dal 2019 considerato un “paese adeguato”, l’EDPS ha espresso il suo parere in termini di necessità di ulteriori e specifici negoziati. In particolare, l’obiettivo sarebbe quello di prevedere – seppur limitatamente a casi espressamente giustificati – l’adozione di misure che comportino la conservazione dei dati nell’ambito dell’UE o, comunque, dello Spazio Economico Europeo (SEE).

CNIL VS. CRITEO – Sebbene non sia ancora stata comminata alcuna sanzione definitiva, la notizia è già diventata virale: il CNIL avrebbe in serbo per il colosso Criteo una sanzione di ben 65 milioni di dollari. L’accusa sarebbe quella di aver violato il GDPR e, più nello specifico, di aver effettuato attività di tracciamento e profilazione in mancanza di una base giuridica valida. Nei giorni scorsi l’Autorità francese – così come prescritto dalla normativa vigente – ha informato Criteo dell’andamento della denuncia a proprio carico. Rimaniamo ora in attesa della definitiva decisione sul caso.

DATA BREACH IN TWILIO – Il sito ufficiale del fornitore di servizi di comunicazione con base USA (SMS automation in particolare) ha rilasciato una news sul proprio blog in cui riporta di aver subito un “social engineering attack” che ha compromesso dati di dipendenti e clienti, scoperto in data 4 agosto. I clienti coinvolti hanno ricevuto una e-mail di alert con una serie di istruzioni e chiarimenti ulteriori.

  • D.LGS. 231

ANTICORRUZIONE – L’Autorità Anticorruzione italiana (ANAC) ha recentemente lanciato un nuovo portale per fornire ai cittadini degli indicatori “oggettivi” al fine di valutare l’intensità del rischio di verificazione di eventi corruttivi. Attraverso il portale – denominato “Misura le corruzione” – l’utente potrà valutare il rischio di ciascuna città o provincia italiana. Tre le macro aree tematiche individuate: indicatori di contesto, rischio corruttivo negli appalti e rischi a livello comunale.

AMBIENTE E RIFIUTI DIGITALI – Pubblicato di recente in Gazzetta Ufficiale il Decreto del Ministero della Transizione Ecologica che mira ad incentivare l’introduzione volontaria dei sistemi certificati di gestione ambientale disciplinati dal Reg. UE (CE) 2009/1221. Si prevede un contributo sino a 15 mila euro per consulenza e attività di certificazione, qualora non si disponga ancora di tali sistemi di gestione.

  • MERCATI DIGITALI

MEDIASET VS. VIMEO – Notizie di stampa riportano che anche il giudizio di appello nella controversia in materia di copyright tra il colosso italiano e la piattaforma Vimeo è andato a favore della prima: confermata la sanzione da 8,5 milioni di euro per violazione dei diritti d’autore su migliaia di filmati tratti da programmi televisivi della media company. La decisione si innesta in un solco già ampiamente tracciato a livello europeo.

GOOGLE E LA TRASPARENZA – Sarà lanciata a breve anche in Italia la funzione “Informazioni su questo risultato”, con cui la big di Mountain View punta a rafforzare la sua “operazione trasparenza” chiarendo all’utente le ragioni per cui vengono mostrati certi risultati nella ricerca sul web. Si segnala, in proposito, anche una e-mail inviata da Google ai propri utenti non paganti (account free) in cui viene ricordato che i servizi offerti sono gratuiti propri grazie alla pubblicità con cui la big tech si finanzia.

WHATSAPP E LA PRIVACY – Con un annuncio tramite Facebook, Mark Zuckerberg ha dichiarato l’arrivo di nuove funzioni “privacy” all’interno del popolare sistema di messaggistica immediata, tra cui il divieto di effettuare screenshot delle chat istantanee e la possibilità di uscire “silenziosamente” dai gruppi.

MUSK-TWITTER – Elon Musk ha venduto azioni di Tesla per un ammontare complessivo di quasi 7 miliardi di dollari. Secondo indiscrezioni, la decisione sarebbe strettamente correlata al caso Twitter: temendo un eventuale giudizio contrario nella causa contro il social network, Musk starebbe cominciando a trovare i fondi necessari per l’acquisto dello stesso, nel caso in cui gli esiti dovessero rivelarsi per lui sfavorevoli.

  • NEWS DAL MONDO

RUSSIA – Il prossimo 1 settembre entreranno in vigore in Russia nuove disposizioni in materia di trattamento di dati personali. Lo scorso 11 agosto il Roskomnadzor, Servizio federale per la supervisione delle comunicazioni, della tecnologia, dell’informazione e delle comunicazioni, ha reso disponibile una sintesi delle imminenti modifiche legislative. Tra le nuove previsioni, l’obbligo di comunicazione di fughe di dati e la previsione di pene più severe in caso di trattamento illegale, da considerarsi come vero e proprio “atto criminale”.

FRANCIA – L’Autorità garante per la protezione dei dati francese (CNIL) ha recentemente pubblicato degli strumenti didattici indirizzati al settore sportivo non agonistico, finalizzati a garantire il rispetto della normativa privacy dettata dal GDPR. Tra gli obiettivi dichiarati dell’Autorità, quello di fornire i medesimi strumenti anche per il settore professionistico.

BANGLADESH – Il Dipartimento delle tecnologie, dell’informazione e della comunicazione bengalese ha emanato un progetto di legge in materia di protezione dei dati, il cui ambito di applicazione territoriale si espanderà anche oltre i confini del Bangladesh. Come specificamente dichiarato nel corpo della bozza, la normativa non si applicherà al trattamento di dati anonimi, crittografati e pseudonimizzati.

AUSTRALIA – Sono al vaglio del governo locale le ipotesi di riforma del “Privacy Act 1988”, nell’ottica di tenere in considerazione la legislazione europea (GDPR in particolare) come standard di trasparenza ed efficacia a cui ispirarsi: l’OIAC, commissioner locale simile alle nostre autorità garanti, ha espresso un dettagliato parere in proposito.

SINGAPORE – L’autorità locale per la trasparenza monetaria (MAS) ha pubblicato un paper sull’analisi del rischio operazionale delle terze parti, all’esito di una approfondita ispezione di diverse banche aventi sede nel territorio. Interessanti i controlli e le indicazioni di governance formulate, specifiche per il settore bancario.

News #31: la Corte UE “estende”​ i dati sensibili; sciarpe “smart”​ allo stadio; nel patteggiamento 231 l’ente non paga le spese processuali.

Immagine di copertina di Kalen Emsley grazie a Unsplash

  • PRIVACY

MATOMO, GA4 E I LORO FRATELLI – Mentre i dubbi continuano riguardo a Google Analytics 4 e alla sua (improbabile, a quanto pare) conformità al GDPR, salvo cambiamenti, emergono informazioni interessanti sui suoi competitor. Tra di essi Matomo, che – avendo avuto grande esposizione mediatica – sta venendo analizzato con sempre maggiore attenzione, e che presenta anch’esso potenziali profili di rischio a seguito del (dichiarato) utilizzo di soluzioni cloud offerte da Amazon Web Services (tramite la controllata neozelandese), in particolare per l’offerta di strumenti di CDN.

LA CGUE INTERPRETA I DATI PARTICOLARI – Una recentissima decisione dell’alta Corte UE (C-184/20) riguardo ad un caso lituano sembra aver aperto la strada per una interpretazione molto ampia di cosa costituisca un “dato particolare” ai sensi del GDPR. In particolare, la decisione ha ad oggetto i cosiddetti “dati inferiti”, cioè quelli derivati da altri dati personali: anche il dato derivato, insomma, è “particolare” se rivela – come nel caso di specie – un orientamento sessuale (o rientra comunque nella casistica di cui all’art. 9 GDPR). Tempi duri per servizi online come quelli di dating, di salute, o di pubblicità su temi “sensibili”?

BLOCKCHAIN VS. GDPR – Un report pubblicato da Bloomberg pone dei seri – e molto interessanti – quesiti sulla convivenza tra i diritti esercitabili in base alla normativa europea e la sostanziale “eternità” delle informazioni immagazzinate attraverso la blockchain, soprattutto riguardo a diritti di rettifica e “oblio”. Non solo: l’incertezza legale può arrivare a riguardare anche il concetto di “dati crittografati”, che con la blockchain rende complesso concedere uno dei diritti fondamentali, quello di accesso.

SCIARPA SMART – Ha fatto notizia l’avvio di una fase di test della “smart scarf” da parte del team inglese del Manchester City, che raccoglie dati utilizzando una serie di sensori a contatto con il collo e le spalle del tifoso che la indossa. Molto interessante come il club abbia rilevato i momenti di maggior interesse, emozione e coinvolgimento dei tifosi oggetto del pilota, lungo il corso dei 90 minuti di partita, tra cui il battito cardiaco e la temperatura corporea.

  • D. LGS. 231

PATTEGGIAMENTO – Con una recentissima sentenza (n. 30610 dello scorso 3 agosto, consultabile gratuitamente per gli iscritti all’associazione AODV231) la Suprema Corte di Cassazione ha stabilito che, in caso di patteggiamento, l’ente non può essere condannato al pagamento delle spese processuali. Secondo l’orientamento dei giudici di Piazza Cavour, infatti, l’istituto della applicazione della pena previsto per le persone giuridiche non è perfettamente sovrapponibile a quello previsto per le persone fisiche (che non prevede il beneficio dell’esenzione dalle spese).

WHISTLEBLOWING –  Lo scorso 2 agosto la Camera dei Deputati ha approvato in via definitiva il Disegno di Legge recante la delega al Governo per poter – finalmente – recepire anche all’interno del nostro ordinamento la Direttiva UE 2019/1937 (cd. Direttiva Whistleblowing). La Direttiva, come è ormai noto, avrebbe dovuto essere recepita in tutti gli Stati Membri entro il 21 dicembre dello scorso anno, tuttavia moltissimi sono stati i Paesi che – proprio come l’Italia –  non hanno provveduto nei termini stabiliti. Aggiunto il tassello del voto della Camera, non ci resta che aspettare il Decreto Legislativo dell’Esecutivo.

MALVERSAZIONE – Ai fini della sussistenza del reato di malversazione (di cui all’art.316-bis c.p.) non è necessario che il finanziamento sia erogato dallo Stato, essendo sufficiente che il denaro sia concesso in presenza di una garanzia pubblica. A stabilirlo è la Cassazione (con la sentenza  n. 28416 dello scorso 19 luglio).

RAPPRESENTANZA PROCESSUALE DELL’ENTE –  La Corte di Cassazione ha recentemente stabilito (con la sentenza n. 28963) che gli amministratori indagati o imputati per il reato-presupposto non possono rappresentare l’ente in giudizio. A fondamento di tale decisione, la Corte ribadisce il tenore dell’articolo 39 del Decreto 231, secondo il quale l’ente non può partecipare al procedimento per il tramite del proprio rappresentante, nel caso in cui questi risulti coinvolto in prima persona nello stesso. Una tale inderogabile previsione è necessaria per assicurare e garantire pienamente il diritto di difesa della persona giuridica.

  • MERCATI DIGITALI

YOUTUBE-AGCOM – L’Autorità per le garanzie nelle comunicazioni ha recentemente sanzionato Youtube (di proprietà di Google) per ben 750 mila euro. Alla base del provvedimento la diffusione, da parte della piattaforma, di pubblicità del gioco d’azzardo, comportamento vietato dall’art. 9 del Decreto Dignità (D.L. 87/2018).

AMAZON COMPRA ROOMBA – Il colosso di Jeff Bezos ha annunciato di aver acquisito la casa produttrice di iRobot, l’aspirapolvere auto-gestito tra i più diffusi nel mondo, così rafforzando la sua posizione di fornitore di beni, oltre che di servizi. Non va dimenticato, tra l’altro, che il Roomba mappa la geometria di casa per fornire il miglior servizio, conoscendo così – di fatto – dove e come viviamo.. al centimetro.

PROCESSO PENALE TELEMATICO – Il Consiglio dei Ministri ha approvato il Decreto Legislativo che dà il via alle tecnologie informatiche nel settore penale, intervenendo ad esempio su notificazioni per via telematica e trasmissione dei fascicoli tra gli uffici giudiziari, evitando così che tali adempimenti impieghino mesi o anni, come oggi.

  • NEWS DAL MONDO

RUSSIA – Anche WhatsApp finisce nel mirino del Roskomnadzor, il Servizio federale per la supervisione delle comunicazioni, delle tecnologie, dell’informazione e dei mass media. Così come era successo ad altri big del settore digitale, anche WhatsApp viene sanzionato per non aver conservato all’interno del territorio federale russo una copia della documentazione attestante che il trattamento dei dati dei cittadini russi fosse avvenuto sul territorio dello stato.

REPUBBLICA CECA – L’UOOU (Ufficio per la protezione dei dati personali ceco) ha inflitto, lo scorso 1 agosto, una pesante ammenda nei confronti del Ministero dell’Interno locale per violazione della “Legge sulla polizia” nazionale. In particolare, è stato sanzionato il trattamento di dati sanitari (e, dunque, particolari) caricati dai cittadini su una app dedicata alla quarantena.

BASSA SASSONIA – L’Autorità garante della Bassa Sassonia ha recentemente inflitto una salata sanzione (per ben 900 mila euro) a un istituto di credito per aver trattato dati personali senza avere a supporto una base giuridica sufficiente. In particolare, l’ente sanzionato avrebbe tratto dati personali – addirittura anche di ex clienti – senza consenso, sulla sola base dell’insufficiente legittimo interesse.

INDIA – A seguito di una mozione alla Camera bassa, riporta Data Guidance, il Governo locale ha cancellato il “data protection bill” del 2019, mentre è in corso di diffusione per pubblica consultazione la nuova norma che lo andrà a sostituire.

Decreto “Trasparenza”/ 1: implicazioni privacy delle novità

Il prossimo 13 agosto entrerà a tutti gli effetti in vigore, senza la previsione di alcun periodo di transizione, il nuovo D.Lgs. 104/2022 (cd. Decreto Trasparenza).

Il Decreto, emanato per recepire all’interno dell’ordinamento italiano la Direttiva Europea 2019/1152 (cd. Direttiva trasparenza) reca importanti novità in materia di obblighi – soprattutto infornativi ed integrativi – del datore di lavoro. Tali obblighi dovranno essere assolti, con riferimento ai nuovi assunti, al momento dell’instaurazione del rapporto di lavoro e comunque prima dell’inizio dell’attività lavorativa, mediante la consegna del contratto di lavoro redatto per iscritto o, in alternativa, della copia della comunicazione di instaurazione del rapporto di lavoro.

La finalità perseguita – prima a livello comunitario e poi interno – è quella di migrare verso forme di lavoro più trasparenti e prevedibili: in quest’ottica, la previsione di nuovi oneri in capo al datore di lavoro si configura come lo strumento operativo necessario al raggiungimento delle finalità sancite dalla normativa.

Le nuove disposizioni si applicano ad una vasta gamma di tipologie contrattuali (a titolo esemplificativo e non esaustivo, contratti di lavoro subordinato, somministrato, contratti di lavoro intermittente e co.co.co.) e, come già accennato, prevedono un aumento degli oneri posti in capo al soggetto qualificato, nell’ambito del rapporto, come datore di lavoro. Tali oneri possono sostanzialmente suddividersi in due categorie.

Da un lato vengono innanzitutto stabiliti obblighi di comunicazione inerenti al rapporto di lavoro, che impongo al datore di lavoro di comunicare – modo chiaro e trasparente e con modalità cartacea o digitale – informazioni quali, tra le altre, l’identità delle parti e il luogo di lavoro, la durata delle ferie e i modi per esercitare il diritto di recesso

Dall’altro lato, vengono introdotte novità anche in materia di tutela delle informazioni e dei dati personali relativi ai lavoratori.

 Da questo punto di vista, il datore di lavoro sarà tenuto a:

  • informare il lavoratore circa l’utilizzo di sistemi decisionali o di monitoraggio automatizzati in grado di incidere sul rapporto di lavoro;
  • integrare l’informativa, qualora già resa in precedenza, con tutte le istruzioni di sicurezza relative all’utilizzo di tali sistemi atomizzati.

Di notevole importanza anche la previsione di specifiche misure di tutela. In particolare:

  1. la possibilità di ricorrere a strumenti più agevoli e rapidi per la risoluzione di controversie insorte tra le parti;
  2. la previsione di una sanzione per comportamenti ritorsivi che il datore di lavoro ponga eventualmente in essere, come conseguenza dell’avvio di un procedimento, anche non giudiziario, da parte del lavoratore;
  3. la previsione di una tutela contro il licenziamento o altro comportamento ritorsivo posto eventualmente in essere dal datore di lavoro in conseguenza dell’esercizio, da parte del lavoratore, dei diritti stabiliti nel decreto trasparenza e nel D.Lgs. 152/1997.

Di seguito la nostra scheda riassuntiva dettagliata, relativa all’ambito privacy, a cui seguirà una ulteriore scheda in ambito lavoristico redatta in collaborazione con lo studio RG Avvocati.

___________________________________________

Immagine di copertina di Cytonn Photography grazie a Unsplash

Novità in materia Smart Working: il 31 agosto (al momento) è la data.

Il prossimo 31 agosto la versione “emergenziale” dello smart working cesserà.

Con la fine del periodo emergenziale tramonterà anche il periodo “di favore” concesso alle aziende private allo scopo di fornire un accesso allo smart working – o, abbandonando ogni inglesismo, al cd. “lavoro agile” – semplificato dal punto di vista procedurale.

Nel corso degli ultimi due anni, infatti, l’accesso a tale modalità di lavoro è avvenuta attraverso un iter estremamente celere e scorrevole, rivelandosi sufficiente l’invio al Ministero del Lavoro e delle Politiche Sociali di apposito modulo contenente l’elencazione di tutti i lavoratori dell’azienda coinvolti nel passaggio di modalità.

Quindi, dal 1° settembre 2022 toneranno in vigore le regole dettate dalla legge n. 81/2017, integrate da quanto in ultimo stabilito dal “Protocollo nazionale sul lavoro in lavoro agile” del 7 dicembre 2021.

Già lo scorso marzo eravamo intervenuti sul tema con l’approfondimento “Lo smart working: nuova normalità”.

Tuttavia, alla luce dell’imminente cambio di normativa, ci sembra opportuno rispolverarne i passaggi fondamentali.

Nell’ultimo paragrafo, invece, trovate le attività concrete e operative da effettuare prima del 31 agosto, al fine di continuare ad accedere al “lavoro agile” correttamente.

Legge 81/2017

La legge 22 maggio 2017, n. 81 reca – al capo II e con l’obiettivo di bilanciare le esigenze private e professionali del lavoratore – disposizioni in materia di lavoro agile, per tale intendendosi una modalità di lavoro flessibile, caratterizzata dall’assenza di particolari vincoli in termini di luogo e di orari di lavoro. 

Rispetto alla procedura semplificata di matrice emergenziale, la legge sul lavoro agile risulta sicuramente più rigida e vincolante: la comunicazione complessiva dei nominativi sarà soppiantata dalla sottoscrizione di un accordo individuale con ciascuno dei lavoratori coinvolti.

Vincoli vengono poi imposti al datore di lavoro anche per quanto riguarda il contenuto di tale accordo.

Dovrà infatti figurare nel testo:

  • la previsione di tempi di riposo del lavoratore e diritto alla sua disconnessione (art. 19);
  • la previsione del diritto recesso dall’accordo (art. 19, secondo comma);
  •  una garanzia di un trattamento economico e normativo non inferiore a quello applicato ai colleghi che eseguono le mansioni in modalità ordinaria (art. 20);
  • la disciplina poteri di controllo del datore di lavoro ex art.4 Statuto dei lavoratori (art.21).

Il datore di lavoro, inoltre, deve inoltre fornire al lavoratore agile una informativa scritta per la sicurezza, una tutela contro gli infortuni sul lavoro e le malattie professionali per rischi connessi alla prestazione lavorativa resa all’esterno dell’azienda, nonché una tutela contro gli infortuni sul lavoro occorsi durante il normale percorso di andata e ritorno dal luogo di abitazione a quello prescelto.

Protocollo Nazionale sul Lavoro Agile

Ad integrare la normativa è intervenuto, lo scorso 7 dicembre, il Protocollo nazionale sul lavoro agile, dettando regole e vincoli ulteriori.

Innanzitutto, vengono individuate informazioni aggiuntive da inserire nell’accordo di cui alla legge n.81/2017. Tra queste figurano, tra le altre, la durata dell’accordo e i luoghi eventualmente esclusi ai fini della prestazione lavorativa, l’alternanza con periodi di lavoro in sede e gli strumenti di lavoro, nonché i tempi di riposo e le forme di esercizio dei diritti sindacali.

Ribadisce inoltre gli elementi caratterizzanti il lavoro agile:

  • l’assenza di un preciso orario di lavoro (art.3);
  • il rispetto della normativa relativa alla protezione dei dati personali (art.12);
  • la libertà del lavoratore di scegliere il luogo in cui svolgere la prestazione lavorativa (art.4);
  • la fornitura, di regola, da parte del datore di lavoro di tutta la strumentazione tecnologica e informatica necessaria allo svolgimento della prestazione lavorativa (art.5);

Suggerimenti operativi

Per un passaggio lineare allo smart working – o per un suo mantenimento, laddove sia attualmente attivo –, un primo aspetto da tenere ben in conto attiene alla comunicazione: è difatti importantissimo avvisare i lavoratori di tale possibilità, preferibilmente attraverso l’organizzazione di incontri di approfondimento, finalizzati anche a comprendere, tra le altre cose, le preferenze e le disponibilità per quanto riguarda la il numero di giornate lavorative da destinarsi all’una o all’altra modalità di lavoro.

Allo stesso modo, particolare attenzione va riservata alla gestione della contrattazione individuale. Ogni lavoratore è difatti portatore di esigenze e desideri diversi, che diversamente impattano sulla buona riuscita del progetto.

Dovranno pertanto essere attentamente analizzati i bisogni di ciascun lavoratore, in modo tale da garantire che l’obiettivo fissato dal Legislatore – bilanciamento vita privata/lavoro, ma anche incremento della produttività – venga efficacemente raggiunto.

Alla luce di quanto detto, appare evidente che gli aspetti da tenere in conto sono numerosi e diversi, che non si limitano al solo ambito della normativa lavoristica ma ricomprendono anche aspetti privacy e sicurezza sul lavoro.

Al di là dei singoli accordi individuali, è consigliato – anzi, quasi necessario – stilare un regolamento interno che riporti le logiche aziendali poste alla base dell’organizzazione dello smart working nonché predisporre e/o revisionare il regolamento d’uso degli strumenti aziendali e il codice disciplinare.

Per questa ragione, il suggerimento è quello di coinvolgere, sempre e sin dall’inizio, tutti i consulenti e i referenti aziendali di volta in volta interessati dall’innovazione o cambiamento, in modo tale staccarsi sempre più dal concetto di “emergenza”, rendendo sempre più “normale” il ricorso a questa forma agile di lavoro.

_________________________________________

Immagine di copertina di Austin Distel grazie a Unsplash

Il prossimo “Privacy Shield”: avvenimenti, criticità e possibilità aperte

Alla luce della novità di ieri, con il Garante italiano che ha – allineandosi ad altri “colleghi” europei – sanzionato l’uso di Google Analytics per il trasferimento di dati verso gli USA, ritenuto non conforme a GDPR, riteniamo molto interessante tornare sul tema degli accordi transatlantici USA-UE per (provare a) rendere lecita l’attività che coinvolge fornitori americani.

Gli avvenimenti principali: Max Schrems e la Corte di Giustizia UE

Il “Privacy Shield”, che permetteva il trasferimento di dati personali fra Unione europea e gli Stati Uniti, era un meccanismo approvato dall’Unione europea in seguito all’abolizione – sempre per mano della Corte di Giustizia UE – del suo predecessore, il “EU-USA Safe Harbour”.

Entrambi gli accordi definivano gli Stati Uniti come un Paese verso cui è possibile effettuare, secondo certe condizioni, un trasferimento dei dati di cittadini europei e/o persone comunque soggette alla normativa UE: ciò fino all’incontro-scontro con Max Schrems, giovane avvocato e attivista austriaco, che da anni sfida le politiche di trasferimento di dati verso gli USA attuate, in particolare, nell’ambito del social network “Facebook”.

Nel 2011, Max Schrems, dopo aver assistito a una lezione, in un’università della California, tenuta dal privacy lawyer di Facebook, si è reso conto che le politiche del social network non tutelavano la privacy degli utenti, e ha scaricato una copia da Facebook dei dati che lo riguardavano, in possesso della piattaforma. L’allora studente di legge ha trovato oltre 1.200 pagine di informazioni sul suo conto, contenenti anche tutti i messaggi scambiati sulla piattaforma, compresi quelli cancellati.

È iniziata così la battaglia legale, alla quale si sono aggiunte, in modo decisivo, nel 2013, le rilevazioni di Edward Snowden, ex tecnico della CIA, secondo cui anche il governo degli Stati Uniti poteva avere accesso ai dati di Facebook, e non solo i gestori del social.

La prima vittoria di Schrems è del 2015, quando la Commissione europea ha smantellato la struttura del Safe Harbour. Ma l’attivista ha proseguito ancora, e nel luglio 2020 la Corte di Giustizia dell’Unione europea ha emesso una nuova sentenza che ha abbattuto anche il Privacy Shield.

Max Schrems, nel frattempo, ha anche fondato una organizzazione no profit (“NOYB”, “None Of Your business”).

Cos’è rimasto in piedi dell’impianto legislativo per il trasferimento dei dati personali europei negli Stati Uniti?

La Corte di Giustizia, in relazione agli artt. 7 8 e 47 della carta di Nizza, in materia di protezione dei dati, su è espressa in merito alla normativa che imponeva a Facebook di mettere a disposizione delle agenzie di Intelligence americane i dati personali trasferiti, o quelli che Facebook raccoglieva dagli utenti.

In particolare, l’art 702 del FISA (“Foreign Intelligence Surveillance Act”) consente al Procuratore e al Direttore dell’Intelligence americana di autorizzare congiuntamente, previa approvazione della Corte ad hoc FISA, la sorveglianza di specifici utenti e dati mediante programmi di sorveglianza come PRISM e UPSTREAM. La Corte di Giustizia UE ha valutato anche la portata dell’Executive Order n. 12333, che consente alla NSA (“National Security Agency”) di accedere ai cavi sottomarini posti sotto l’atlantico (“dorsali di internet”) e di raggiungere i dati personali prima che essi arrivino negli Stati Uniti.

Il diritto degli Stati Uniti, secondo la sentenza della Corte di Giustizia, non prevede garanzie e limitazioni sui dati personali rispetto alle ingerenze autorizzate dalla sua normativa nazionale, e non assicura una tutela giurisdizionale effettiva degli interessati contro queste ingerenze. Restano tecnicamente validi, comunque, dopo la sentenza della Corte, tutti gli strumenti alternativi alla decisione della commissione europea, in particolare le Clausole Contrattuali Standard (in versione 2021) e le norme vincolanti di impresa (“Binding Corporate Rules”), seppure queste ultime siano utili solo a grandi (e poche) multinazionali.

Sono strumenti che non possono essere adottati solo formalmente: è necessario infatti che il Titolare del trattamento svolga sempre una valutazione caso per caso, in modo da assicurare mediante misure di sicurezza e misure supplementari che la normativa statunitense non interferisca con la protezione dei dati personali garantita dal GDPR. Se, alla fine di questa valutazione, il Titolare ritiene che non vi siano ancora adeguate garanzie, deve sospendere o porre fine al trattamento di dati personali verso gli USA.

È possibile allora ipotizzare un nuovo Privacy Shield?

Prendendo le mosse da ragionamenti di carattere storico, dato che già il primo Safe Harbour che esisteva fra Unione europea e Stati Uniti venne dichiarato invalido dalla CGUE e successivamente si arrivò a un altro compromesso, potenzialmente si potrebbe giungere a un altro accordo.

Il rischio concreto è che, per conflitto di normative interne, ora non si riescano mai a raggiungere gli standard di sicurezza previsti dall’unione europea: ciò seppure, rispetto al passato, si stanno comunque compiendo dei notevoli passi avanti, grazie ai meccanismi di cooperazione fra le Autorità Garanti europee e con l’interlocuzione tra Commissione UE e governo USA.

Ad esempio, è stato pubblicata una nuova versione delle Clausole Contrattuali Standard, che rivedono un meccanismo di trasferimento dei dati rimasto un po’ “abbandonato” negli anni, in quanto ancora riferito alla Direttiva del 1995 anche dopo l’avvento del GDPR; anche la pubblicazione da parte dell’EDPB delle Linee guida sul Trasferimento internazionale dei dati personali ha rappresentato, a parere degli esperti, una preziosa fonte di indicazioni e istruzioni, anche tecniche, per limitare i rischi e adeguare i trattamenti che comportano trasferimenti.

Rimane certa, per ora, la necessità di adottare un approccio concreto e non teorico nel trasferimento dei dati personali, valutando caso per caso con adempimenti come un attento data mapping e una valutazione relativa al trasferimento dei dati (c.d. “TIA”) quali potrebbero essere i rischi derivanti dal trasferimento di dati personali extra UE, valutando anche le misure alternative o le misure tecniche per rendere il trattamento il più possibile rispettoso dei diritti e delle libertà degli interessati.

_______________________________________________________

Immagine di copertina grazie a NASA on Unsplash