News #36: il Garante boccia l’Ecosistema dei Dati Sanitari; multa salata per Instagram; battaglia (persa) in Giappone per il marchio Gucci.

  • PRIVACY

ECOSISTEMA DATI SANITARI – Il Garante ha recentemente bocciato lo schema di decreto – proposto congiuntamente da Ministero della salute e Ministero per l’innovazione tecnologica e digitale – che include la realizzazione di una nuova banca dati denominata “EDS” (Ecosistema Dati Sanitari). Essa, prevista dalla riforma del Fascicolo Sanitario Elettronico, comporterebbe infatti la #duplicazione di tutti i dati già presenti nel FSE, finendo così per diventare la più grande banca dati di informazioni sanitarie mai creata in Italia. Proprio in virtù delle tipologie di dati coinvolti e del numero di soggetti interessati (si tratterebbe by default di un trattamento sistematico su larga scala) il Garante si è dimostrato molto scrupoloso: ben venga insomma introdurre nuovi strumenti in grado di agevolare lo sviluppo dei servizi sanitari, se nel costante rispetto dei diritti fondamentali delle persone.

CORTE DEI CONTI SOTTO ATTACCO? – Anche la Corte dei Conti pare essere finita nel mirino degli hacker. Secondo alcune indiscrezioni, diversi giudici sono stati raggiunti da un messaggio tramite l’app WhatsApp, apparentemente proveniente dal numero di un collega. Il messaggio, che aveva l’aria di una innocua catena di Sant’Antonio, si è in realtà rivelata invece un’operazione di #phishing, che ha consentito ai cybercriminali di accedere a tutto quanto contenuto nei cellulari dei giudici della Corte. Dopo un’attenta bonifica dei cellulari colpiti dall’attacco, tutto è tornato sotto controllo. Resta, tuttavia, un problema di sicurezza: nel caso in cui dei giudici dovessero usare (o continuare ad usare) WhatsApp per le loro comunicazioni professionali, in quanto più celere rispetto allo scambio di e-mail, le loro comunicazioni rimarrebbero potenzialmente esposte ad ulteriori attacchi.

MULTA PER INSTAGRAM – A seguito di un’istruttoria durata oltre due anni, la Commissione irlandese per la protezione dei dati (DPC) ha imposto ad Instagram una #sanzione di ben 405 milioni di euro (la più alta finora imposta ad una società del gruppo Meta da parte della DPC) per violazione delle norme europee in materia di protezione dei dati personali dei #minorenni. Secondo le motivazioni del Garante irlandese, riportate da Euractiv, Instagram avrebbe consentito a utenti di età compresa tra i 13 ed i 17 anni di aprire e gestire account aziendali, con la conseguenza che i dati personali di minori sono stati resi pubblici, senza che gli stessi ne fossero effettivamente consapevoli.

LE RISORSE DEI GARANTI UE – L’EDPB ha pubblicato ieri, 5 settembre, una “overview” delle risorse di cui ciascuna Autorità nazionale è dotata, sia dal punto di vista economico che di personale a disposizione. Alcuni #spunti interessanti: (i) un tendenziale, seppur minimo incremento dei budget economici a disposizione delle Autorità tra il 2020 e il 2022; (ii) questi budget sono considerati dal 77% delle Autorità come #insufficienti – con la sorprendente eccezione del Garante nostrano; (iii) anche le risorse umane a disposizione tendono all’incremento, non venendo però considerate adeguate alle numerose attività in corso (ad esempio, per l’Italia, lo staff previsto è di 200 persone, a fronte di 139 operatori attualmente presenti). Nel paper sono riportati anche i grafici comparativi dei dati presenti, insieme ad altri spunti molto interessanti.

  • 231

FATTURE INESISTENTI – In materia di dichiarazione fraudolenta mediante fatture per operazioni inesistenti è necessario provare la fittizietà del soggetto formalmente emittente, nel caso in cui si tratti di una società appartenente al Gruppo. È quanto stabilito dalla Corte di Cassazione lo scorso 5 settembre, con la pronuncia delle #sentenze (consultabili gratuitamente per gli iscritti all’associazione AODV231)  n. 32505, n. 32506 e n. 32507. Secondo i giudici di Piazza Cavour, l’eterodirezione da parte della capogruppo non è un elemento di per sé sufficiente per sostenere la fittizietà della controllata e, di conseguenza, qualificare come inesistenti le fatture emesse da quest’ultima.

BANCA DATI ANTIRICICLAGGIO – Uno schema di legge proposto dal Ministero dell’economia e delle finanze (MEF) si propone di aggiornare la legge antiriciclaggio con l’introduzione di un articolo 34-bis istituendo una banca dati informatica centralizzata, previo parere dell’Autorità Garante per la protezione dei dati. Ne riporta diffusamente Maurizio Arena nella sua newsletter n. 14, qui.

  • MERCATI DIGITALI

GUCCI vs CUGGL – Gucci e CUGGL come Davide e Golia. La storica casa di moda italiana perde una importantissima #battaglia contro una piccola (e finora) poco conosciuta start-up giapponese. A scatenare il caso, la comparsa sul mercato di una t-shirt dove una scritta viene oscurata da una striscia di vernice che, in concreto, non permette di distinguere se il testo riporti la scritta “GUCCI” o “CUGGL”. A decidere le sorti dello scontro è stato l’Ufficio brevetti giapponese (JPO), il quale ha #respinto l’opposizione al marchio proveniente dalla maison fiorentina. Le probabilità che un consumatore si confonda e scambi le t-shirt a marchio CUGGL per autentiche Gucci sono, a detta del JPO, davvero molto basse. Vedere questo articolo e la foto qui di seguito per credere (e valutare).

LEGA VS. FACEBOOK – Nel nuovo millennio, si sa, le battaglie elettorali si combattono sui social. Ma c’è chi fa di più, decidendo di combattere addirittura “contro i social”. Un gruppo di parlamentari della Lega ha infatti deciso di presentare un esposto ad #AGCOM (Autorità per le garanzie nelle comunicazioni) contro Facebook. Il motivo, presentato a supporto dell’esposto, è il seguente: il social avrebbe, del tutto arbitrariamente, reso particolarmente difficoltosa (ed in alcuni casi, addirittura, oscurato) la circolazione dei loro post e contenuti elettorali. Al momento, tuttavia, Meta fa sapere che nessuna problematica è stata riscontrata. 

LA DEFINIZIONE DI “METAVERSO” – Il dizionario Merriam-Webster ha introdotto una definizione di Metaverso, che riportiamo in originale: “a persistent virtual environment that allows access to and interoperability of multiple individual virtuan realities“. Primo utilizzo riportato? #1992.

  • NEWS DAL MONDO

BELGIO – Rinviata davanti alla Corte Europea di Giustizia la controversia sul Transparency and Consent Framework di IAB Europe, utilizzato come standard negli ultimi anni per la gestione dei #cookie. Nei mesi scorsi, lo ricordiamo, l’Autorità belga di protezione dei dati personali aveva sanzionato pesantemente IAB Europe per non conformità alla normativa europea, ponendo in grande difficoltà tutti gli operatori che avevano aderito e implementato lo standard. Ne riporta Luiz Alberto Montezuma in questo post.

GERMANIA – L’ondata generata dalla sentenza “Schrems II” – con cui è venuto meno il Privacy Shield, l’accordo per gli scambi UE-USA di dati personali – pare non essersi ancora fermata. Con una recente decisione, la Camera degli Appalti del Baden-Württemberg ha stabilito che anche il mero accesso dall’estero ai dati personali equivale ad un trasferimento. L’interpretazione – evidentemente estensiva – del concetto è stata possibile a fronte della inesistenza, nel corpo del Regolamento UE 2016/679, di una definizione di “trasferimento”.

UK – L’Autorità per la protezione dei dati inglese (ICO) ha recentemente pubblicato una bozza di guida sulle tecnologie per il miglioramento della privacy (PETs) con l’obiettivo di aiutare le organizzazioni a sfruttare il potenziale dei dati mediante un approccio basato sulla privacy by design (dunque, protezione dei dati sin dalla fase della progettazione).

SPAGNA – Il Garante spagnolo (AEPD) ha pubblicato, lo scorso 6 settembre, una guida per tutti coloro che andranno a ricoprire, nei centri educativi, il ruolo di Coordinatore per il benessere e la protezione degli studenti – nuova figura introdotta dalla Legge organica n.8/2021 per la protezione dei bambini e degli adolescenti contro la violenza. Tra le funzioni proprie del Coordinatore, promuovere la comunicazione immediata tra centro educativo e Agenzia, in tutte quelle situazioni che possono verosimilmente comportare un trattamento illecito dei dati personali dei minori. L’AEPD, nella battaglia per la protezione dei minori, ha  anche messo a disposizione un canale prioritario per la segnalazione di materiale pornografico o violento su internet, di cui si richiede l’immediata rimozione.

USA – Proseguono gli studi legislativi verso il mondo digitale, questa settimana con importanti aggiornamenti dalla Federal Trade Commission che ha pubblicato una proposta di legge, e poi ora attende dagli stakeholder commenti entro il 21 ottobre prossimo.