News #10/2023: l’anno peggiore di sempre per la cybersecurity, mentre arriva l’AI per tutti
LE PRINCIPALI NEWS DELLA SETTIMANA
- il Consiglio d’Europa approva le “sue” Clausole Contrattuali Tipo, collegate alla #Convenzione 108+
- il Parlamento UE si muove sulla #Identità #Digitale del futuro
- Novità in materia di AI e “AI Act” a livello europeo: scelta la #definizione
- approvato (finalmente) dal CdM il Decreto #Whistleblowing
IL PROFILO DA SEGUIRE:
- non solo esperto privacy, non solo iper-certificato IAPP, Jamal Ahmed opera soprattutto come mentore di professionisti nel settore della data protection, oltre a essere host di un podcast di grande successo, offrendo quotidianamente indicazioni su novità e sfide da affrontare nel lavoro.
QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..
- Rosanna – Toto (1982)
PRIVACY
CLAUSOLE CONTRATTUALI TIPO E CONVENZIONE 108+ – Il Consiglio d’Europa ha pubblicato una versione rivista di Clausole contrattuali tipo (“SCC”) per il trasferimento di dati personali da Titolare a Titolare, ai sensi del Protocollo di modifica della Convenzione per la protezione delle persone fisiche con riguardo al trattamento dei dati personali (“Convenzione 108+”). In particolare, la bozza riveduta di SCC include nuove definizioni, anche per i termini “violazione dei dati”, “esportatore di dati” e “importatore di dati”, e modifica alcune clausole esistenti relative a (i) due diligence e cooperazione tra l’importatore e l’esportatore di dati, (ii) sicurezza dei dati, (iii) trasferimenti successivi e (iv) ricorsi per gli interessati.
RAPPORTO CLUSIT – Il 2022 è stato l’anno peggiore da sempre per la cybersecurity, stando ai dati che emergono dal Rapporto Clusit 2023 illustrato in anteprima da Clusit – Associazione italiana per la sicurezza informatica – in vista della presentazione ufficiale in programma all’apertura di Security Summit, a Milano dal 14 al 16 marzo. Secondo i ricercatori di Clusit, il processo di rapida adozione e messa in campo di strumenti cyber-offensivi sofisticati sarà difficilmente reversibile, e in prospettiva potrebbe causare gravi conseguenze in un mondo già fortemente digitalizzato ma sostanzialmente impreparato ad affrontare minacce di questa natura. Dal rapporto emerge la necessità di una ulteriore evoluzione nell’approccio alla cybersecurity: occorre un aggiornamento normativo, e che si mettano in atto a tutti i livelli i processi di valutazione e gestione del rischio per il business, atti a calibrare adeguatamente gli investimenti sulla base delle reali necessità.
AI – Un gruppo di rappresentanti europei del settore industriale ha rilasciato una dichiarazione congiunta sulla proposta di Regolamento sull’intelligenza artificiale. La dichiarazione esorta il Parlamento europeo a garantire che eventuali nuovi requisiti e modifiche alla legge sull’IA siano introdotti tenendo conto della loro fattibilità tecnica, dell’impatto sulla certezza del diritto e della capacità degli sviluppatori di intelligenza artificiale, degli utilizzatori e gli utenti a conformarsi allo stesso: tutto questo mentre impazza la “corsa all’AI” da parte delle Big Tech di matrice USA, e si discute persino di quale esatta definizione attribuire all’Intelligenza Artificiale (soluzione breve: quella dell’OECD).
IDENTITÀ DIGITALE – Il 9 marzo 2023 il Parlamento europeo ha emesso un comunicato stampa in cui conferma che adotterà una posizione favorevole sulla proposta di regolamento per quanto riguarda l’istituzione di un quadro per un’identità digitale europea durante la sessione plenaria prevista di marzo, a seguito dell’adozione dell’orientamento generale da parte del Consiglio dell’Unione europea nel dicembre 2022. In particolare , il Parlamento ha osservato che la posizione adottata dalla Commissione per l’industria, la ricerca e l’energia ha evidenziato l’importanza di garantire che i sistemi nazionali funzionino tra loro, siano semplici da usare e che le persone abbiano il controllo sui propri dati personali.
ISO 27001 – Lo scorso 6 marzo Accredia ha rilasciato (come segnala Cesare Gallotti in un suo post) le regole di transizione delle certificazioni ISO/IEC 27001:2013 alla versione aggiornata dell’ottobre 2022. Interessante sottolineare che il periodo di transizione, della durata di tre anni, farà si che ogni soggetto certificato debba trasferire il proprio certificato entro il 25 novembre 2022, alternativamente durante un audit programmato o con un audit di transizione speciale.
SISTEMA DI INFORMAZIONE SCHENGEN – Il Comitato europeo per la protezione dei dati personali (“EDPB”) ha pubblicato una comunicazione per ricordare l’entrata in funzione, in data 7 marzo, del nuovo Sistema d’informazione Schengen (“SIS”). L’EDPB ha osservato che il SIS è un sistema informatico su larga scala che supporta la sicurezza interna e lo scambio di informazioni su persone e oggetti tra polizia nazionale, controllo delle frontiere, dogane, visti e, a questo proposito, l’EDPB ha spiegato che, al fine di affrontare meglio la lotta al terrorismo e alla migrazione irregolare, i regolamenti SIS esistenti sono stati modificati per includere, tra l’altro, un uso più ampio dei dati biometrici e la creazione di nuove categorie di segnalazioni. Il controllo e il monitoraggio del SIS sarà di competenza del Comitato di controllo coordinato (“CSC”), che riunisce le autorità nazionali europee per la protezione dei dati e il Garante europeo della protezione dei dati, per garantire il controllo coordinato di grandi sistemi IT su larga scala e di organi, uffici e agenzie dell’UE.
ADEGUATEZZA USA-UE – Come riporta Luiz Alberto Montezuma, è stato pubblicato un testo del Parlamento UE contenente le proposte di modifica dell’accordo noto come EU-US Data Protection Framework, che è in corso di valutazione per una “nuova” decisione di adeguatezza per il trasferimento di dati tra Europa e Stati Uniti: 92 emendamenti per renderlo più solido. Ora la palla passa alla Commissione UE che dovrà valutare i pareri (certo non molto positivi) proprio del Parlamento e dell’EDPB.
D. LGS. 231
APPROVATO IL DECRETO WHISLEBLOWING – Il Consiglio dei Ministri ha approvato il 9 marzo scorso il Decreto di attuazione della Direttiva 2019/1937 in materia di “whistleblowing”. Al momento è circolato un testo non ufficiale, mentre si attende la pubblicazione in Gazzetta per l’entrata in vigore. Da quanto si legge sul sito di ANAC, le disposizioni dovrebbero divenire efficaci dal 15 luglio 2023.
REATI AMBIENTALI – Con la sentenza n. 5576 dello scorso 9 febbraio – consultabile gratuitamente per gli iscritti all’Associazione Aodv231 – la Suprema Corte di Cassazione ha stabilito che è sufficiente la realizzazione di nuovi punti di immissione per fondare il rischio di aumento delle emissioni prodotte dall’azienda e, di conseguenza, il relativo danno e/o pericolo ambientale.
NUOVO REATO PRESUPPOSTO – Con il D. Lgs. n.19 dello scorso 3 marzo 2023 – pubblicato in Gazzetta Ufficiale il 7 marzo e recante disposizioni in materia di attuazione della Direttiva UE 2019/2121 in materia di trasformazioni, fusioni e scissioni transfrontaliere – è stato aggiunto un nuovo #reatopresupposto nel catalogo dei reati previsto dal D. Lgs. 231/2001. L’art. 55 del nuovo Decreto, infatti, interviene sull’art.25-ter in materia di #reatisocietari estendendo la punibilità dell’ente non solo in relazione agli illeciti previsti dal codice civile, ma anche a quelli previsti da “altre leggi speciali”. Con la novella è stata inoltre aggiunta una nuova lettera “s-ter” che prevede l’applicazione di sanzioni pecuniarie – da 150 a 300 quote – per il delitto di false o omesse dichiarazioni per il rilascio del certificato preliminare previsto dalla normativa attuativa della Direttiva UE 2019/2021, e cioè del documento accompagnatorio di operazioni straordinarie transfrontaliere.
QUADERNI ANTIRICICLAGGIO – È stata di recente pubblicata ad opera della Unità di Informazione Finanziaria istituita presso la Banca d’Italia la ventesima edizione dei “Quaderni dell’antiriciclaggio” dal titolo “Analisi e studi – La normativa in tema di prevenzione del riciclaggio: autorità, regole e controlli”. Il documento analizzare in maniera dettagliata le regole e le prassi operative caratterizzanti il sistema di #antiriciclaggio italiano in vista della prossima riforma della disciplina europea volta a (i) armonizzare le normative nazionali dei Paesi Membri e (ii) modificare l’apparato istituzionale europeo per la prevenzione del riciclaggio e del finanziamento al terrorismo.
MERCATI DIGITALI
TWITTER/1 – Lo scorso 6 marzo l’Autorità anticorruzione turca ha annunciato di aver multato Twitter per non aver richiesto la preventiva autorizzazione all’acquisizione da parte di Elon Musk, contravvenendo in tal modo alle regole di concorrenza locali. L’importo della sanzione è rappresentato dallo 0,1% del fatturato lordo conseguito in Turchia nell 2022. Twitter dispone ora di 60 giorni per impugnare tale decisione dinanzi al Tribunale amministrativo di Ankara.
TWITTER/2 – La bufera causata dagli ennesimi licenziamenti attuati in casa Twitter ha recentemente un danno d’immagine collaterale per il patron di Tesla, Elon Musk. Haraldur “Halli” Thorleiffson ha infatti reso pubblico sui social che, all’indomani della notizia dei licenziamenti, per ben 9 giorni non è stato in grado di comprendere se fosse ancora o meno un dipendente del social. Attraverso il suo account Halli, seguito da oltre 130mila persone, ha allora chiesto spiegazioni direttamente a Musk. La risposta e il successivo thread, naturalmente a colpi di tweet, si sono rivelati a dir poco agghiaccianti: Musk ha deriso infatti il suo ex dipendente affermando di non avere particolare rispetto per lui, e che lo stesso “non lavorava davvero”, a detta di Musk, a causa di una finta disabilità. Di fronte ad una tale insensibilità, Thorleiffson ha pertanto deciso di sbugiardare pubblicamente il suo ex capo, rendendo pubblica la propria condizione di salute, caratterizzata da oltre venti anni da distrofia muscolare – malattia degenerativa che lo ha costretto alla sedia a rotelle e che certamente gli impone alcune pause – ma che non gli impedisce in ogni caso di adempiere alle proprie prestazioni.
8 MARZO DIGITALE – In occasione della giornata internazionale per i diritti delle donne, vengono richiamate dalla Commissione le decisioni che l’Unione europea ha preso per garantire alle donne le stesse opportunità degli uomini, tra le quali, ad esempio, le nuove norme Unione europea sull’equilibrio di genere nei consigli di amministrazione delle società o sulla trasparenza delle retribuzioni, si evidenzia la Commissione europea. Attraverso la Strategia digitale e Crescita sostenibile, l’Unione europea punta a garantire alle donne un accesso paritario al potenziale non sfruttato delle tecnologie digitali. La Presidente della Commissione europea ha dichiarato che nel 2023 gli investimenti nell’istruzione e nella formazione delle donne e delle ragazze dovranno avere un ruolo fondamentale per migliorare la posizione delle donne in tutti i campi e per colmare il divario retributivo di genere.
TELEMEDICINA – È stato firmato, alla presenza del ministro della Salute, il contratto per implementare una Piattaforma nazionale di telemedicina, avente ad oggetto l’affidamento in concessione della progettazione, realizzazione e gestione dei Servizi abilitanti della Piattaforma, in linea con gli obiettivi strategici del PNRR. Grazie al progetto, i professionisti sanitari potranno disporre di nuovi strumenti per operare efficacemente in ogni situazione individuale e multi-disciplinare, migliorando l’accessibilità dei pazienti alle cure e alle prestazioni sanitarie. La Piattaforma Nazionale di Telemedicina punta a mettere in comunicazione l’Amministrazione sanitaria centrale con le Amministrazioni locali, con l’obiettivo di abilitare la governance e il monitoraggio centralizzato dei processi di telemedicina attuati a livello regionale. La linea guida di fondo è che il valore fondamentale della telemedicina risiede nella capacità di raggiungere la persona, favorendone non solo la cura ma anche il mantenimento in salute attraverso l’organizzazione di servizi inclusivi e sostenibili. In questa prospettiva, la Piattaforma avrà l’obiettivo di favorire l’implementazione omogenea dei percorsi di telemedicina su tutto il territorio nazionale, ottimizzando la deospedalizzazione e potenziando la qualità delle cure di prossimità, tendendo a colmare il divario e le disparità territoriali in termini di offerta sanitaria e migliorando la qualità clinica e l’accessibilità ai servizi su tutto il territorio nazionale.
ALTRE NEWS DAL MONDO
SVIZZERA – L’Ufficio federale di giustizia ha pubblicato delle F.A.Q. in materia di protezione dei dati che, in particolare, forniscono maggiori informazioni in merito alla nuova legge federale in materia di privacy (la riveduta LPD, o “nLPD”).
NORVEGIA – Datatilsynet, Autorità garante norvegese, ha recentemente annunciato di aver emesso una decisione preliminare in merito all’utilizzo di Google Analytics da parte di una società locale, il cui sito web rientrava tra quelli denunciati da NOYB. All’esito dell’attività istruttoria condotta, l’Autorità ha stabilito che l’uso di GA da parte della società era contrastante con le disposizioni dettate dal GDPR in materia di trasferimenti internazionali. L’analisi, in particolare, è stata condotta con riguardo alla versione GA3, ma l’Autorità ha sottolineato che la nuova versione di tale strumento – GA4, appunto – non sempre corregge i problemi individuati col suo predecessore. Le parti interessate dispongono ora di 3 settimane per riferire le proprie osservazioni all’Autorità.
USA – E’ stata presentata al Senato degli Stati Uniti la legge sulla privacy per la difesa dei dati sulla salute e sulla posizione online (“UPHOLD”). Tale legislazione amplierebbe le protezioni per la privacy dei dati sanitari personali degli americani, impedendo alle aziende di trarre profitto dai dati sanitari di identificazione personale per scopi pubblicitari. Inoltre, l’UPHOLD Privacy Act consentirebbe ai consumatori un maggiore accesso alle informazioni sulla salute personale, limitando la capacità delle aziende di raccogliere o utilizzare informazioni sulla salute personale senza il consenso dell’utente e vietando ai broker di dati di vendere dati sulla posizione.
USA (CALIFORNIA) – Presentata il 6 marzo scorso una versione emendata del California Consumer Privacy Act che introduce maggiori tutele e diritti (per i “soli” consumatori) in ambito di dati sensibili – per il GDPR, “particolari” – come riporta DataGuidance. La modifica introduce espressamente i dati relativi alla condizione di cittadino e/o immigrato al catalogo dei dati sensibili protetti dalla normativa californiana, di cui è necessario tenere conto nella gestione dei business che hanno effetto in quello Stato americano.
GERMANIA – E’ stata pubblicata la decisione della Camera degli Appalti n. VK2-114/22 che ha dichiarato che una società non può essere esclusa da un’offerta di appalto a causa di possibili violazioni del GDPR, relative all’utilizzo di una filiale tedesca di una società statunitense come Responsabile del trattamento dei dati. In particolare, la Camera degli Appalti ha rilevato che il contenzioso tra i soggetti è sorto nell’ambito di una gara per la fornitura di servizi, e che l’aggiudicazione dell’offerta e i documenti contrattuali prevedevano precisi requisiti in relazione alla protezione dei dati. La Camera degli Appalti ha stabilito che l’offerta della società non poteva essere squalificata per possibili violazioni del GDPR, e ha ritenuto che avere una società madre statunitense per un Responsabile del trattamento dei dati tedesco non fosse un motivo valido per presumere trasferimenti illeciti di dati negli Stati Uniti.
REPUBBLICA CECA – L’Ufficio per la protezione dei dati personali (UOOU) ha pubblicato lo scorso 7 marzo delle F.A.Q. in materia di cookie bar e consenso. L’Autorità locale ha, più in particolare, osservato che i cookie rappresentano nella gran parte dei casi un vero e proprio trattamento di dati personali e, di conseguenza, è necessario definire con chiarezza e trasparenza quale sia il loro scopo nonché la base giuridica del relativo trattamento.
GIAPPONE – Il Ministero dell’Economia, del Commercio e dell’Industria giapponese ha pubblicato una Guida in materia di condivisione e divulgazioni delle informazioni relative ai danni causati dagli attacchi informatici. Il documento, tra le altre cose, passa in rassegna le informazioni che possono essere incluse negli annunci relativi agli attacchi e quelle che, invece, dovrebbero rimanere riservate.
Immagine di copertina Possessed Photography grazie a Unsplash.