News #4/2023: in arrivo la norma ISO per il Privacy by Design, dovremmo forse implementarla tutti?
LE PRINCIPALI NEWS DELLA SETTIMANA:
- sarà pubblicato a breve da ISO uno standard in ambito “privacy by design”, che forse permetterà finalmente di definire questa “buzz word” che sentiamo ormai da anni;
- una nuova newsletter del nostro Garante, e nuove sanzioni assortite;
- il Data Protection Day e la Convenzione 108;
- Confindustria prende posizione sulla norma Whistleblowing;
- Google ha qualche problema anche con il Dipartimento di Giustizia USA.
IL PROFILO DA SEGUIRE:
- fonte inesauribile di approfondimenti e #contenuti in ambito informatico-giuridico, senza farsi mancare diversi spunti di sano #divertimento, il profilo del Prof. Giovanni Ziccardi è un “must” per chiunque – giovane o meno – operi nel nostro settore: c’è sempre da imparare, ogni giorno, qualcosa di nuovo!
QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..
- Stuck In A Moment You Can’t Get Out Of – U2 (2000 – All That You Can’t Leave Behind)
PRIVACY
ISO 31700 SULLA PRIVACY BY DESIGN – E’ prevista per l’8 febbraio l’adozione da parte dell’International Organization for Standardization della nuova ISO 31700, riguardo ai requisiti e alle indicazioni su come implementare il principio della “privacy by design”. L’obiettivo della certificazione sarà quello di fornire a tutti i Titolari del trattamento le informazioni necessarie per implementare correttamente l’assetto della protezione dei dati nel processo di gestione dei dati personali all’interno di enti ed organizzazioni, sulla base dei principi del GDPR. In questo modo si consentirà ai consumatori e ai soggetti interessati di far valere in modo ancora più efficace i propri diritti, determinando come progettare i controlli sulla privacy e la gestione dei dati durante il loro ciclo di vita.
NEWSLETTER GARANTE – Pubblicata lo scorso 24 gennaio l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionate tre ASL friulane – in particolare, Azienda Universitaria “Friuli Occidentale”, “Friuli Centrale” e “Giuliano Isontina” – per aver classificato i pazienti in relazione al rischio di avere o meno complicanze in caso di Covid attraverso l’utilizzo di #algoritmi; (ii) parere favorevole del Garante in merito alla bozza di decreto legislativo di attuazione della Direttiva 2019/1937 (cd. #DirettivaWhistleblowing); (iii) disponibili le prime indicazioni del Garante al fine di conciliare le esigenze di tutela della privacy in occasione dell’applicazione del #DecretoTrasparenza; (iv) parere favorevole del Garante relativamente alle nuove disposizioni attuative per la #Cartadellacultura – ossia la carta elettronica istituita dalla legge n.15/2020 al fine di contrastare la povertà educativa e promuovere il sostegno della lettura.
DECISIONE VINCOLANTE EDPB WHATSAPP – Lo scorso 24 gennaio il Comitato europeo per la protezione dei dati (EDPB) ha annunciato di aver pubblicato la propria decisione vincolante nell’ambito della controversia promossa dalla DPC (Autorità garante irlandese) nei confronti di #WhatsApp. Come già illustrato nella nostra precedente newsletter, la decisione vincolante – sciogliendo i dubbi interpretativi della DPC – si è posta come fondamento per il provvedimento con il quale l’Autorità capofila ha potuto sanzionare la società. Nello specifico, l’EDPB ha deciso che WhatsApp si era indebitamente basata sul contratto come base giuridica per il trattamento dei dati personali e pertanto ha incaricato il Garante irlandese di completare ulteriormente il provvedimento con una violazione dell’articolo 6(1) del GDPR, nonché una violazione del principio di equità di cui all’articolo 5(1)(a) del GDPR. Inoltre, l’EDPB ha stabilito che il Garante irlandese dovrà svolgere un’indagine sulle operazioni di trattamento di WhatsApp al fine di determinare se tratta (i) categorie particolari di dati personali ai sensi dell’art. 9 del GDPR e (ii) dati personali per finalità di pubblicità comportamentale, per finalità di marketing, nonché per la fornitura di metriche a terzi e lo scambio di dati con società affiliate ai fini del miglioramento del servizio.
GARANTE PRIVACY SULLE INTERCETTAZIONI – L’Autorità Garante per la protezione dei dati ha evidenziato, durante l’audizione al Senato per l’indagine conoscitiva sulle intercettazioni, alcune criticità relative alle intercettazioni come mezzo di ricerca della prova, esprimendosi in particolare su (i) l’utilizzo di sistemi cloud per l’archiviazione delle informazioni raccolte, pericoloso sia per i diritti dei soggetti a cui i dati si riferiscono, sia per l’efficacia e la segretezza dell’azione investigativa; (ii) la particolare invasività dei software-spia che, nell’opinione del Garante, meriterebbe una riflessione da parte dell’organo legislativo in merito all’ambito di applicazione effettiva delle intercettazioni; (iii) sull’attenzione da prestare ai trojan utilizzati in ambito giudiziario.
SPESA E INVESTIMENTI PRIVACY – Il Data Privacy Benchmark report di CISCO ha analizzato gli investimenti effettuati dalle aziende nella privacy negli ultimi anni, individuando un aumento netto delle risorse stanziate per rispondere alle richieste degli utenti in tema di tecnologie e fornire ai consumatori un’effettiva tutela dei diritti. La richiesta di trasparenza da parte delle aziende è risultata essenziale per quasi la metà dei consumatori considerati dal report, e l’approccio di una società al tema della privacy ha mostrato un impatto che va ben oltre la compliance: gli investimenti in materia di privacy generano valore aziendale non solo per le vendite, ma anche per la sicurezza e la fiducia degli utenti. Investire nella privacy permette, come evidenziato dalle analisi di CISCO, di ridurre i ritardi nelle vendite, di mitigare l’impatto dovuto alle violazioni dei dati, di abilitare il processo di innovazione, di operare con maggiore efficienza, di consolidare la fiducia dei clienti e di attirarne di nuovi.
DATA PROTECTION DAY – Nel 2006, il Consiglio d’Europa ha deciso di istituire il Data Protection Day, da celebrare ogni anno in data #28gennaio, nella ricorrenza della Convenzione 108, che fu aperta alla firma nel 1981 per la protezione delle persone riguardo ai trattamenti automatizzati di dati personali. In forza di questa occasione, gli Stati firmatari si impegnarono ad adottare tutte le misure necessarie nel loro diritto interno, e ad applicare i principi stabiliti dalla stessa Convenzione per garantire il rispetto dei #diritti fondamentali delle persone in relazione al trattamento dei dati personali. La Convenzione 108 mira a creare una forte #comunità internazionale intorno alla protezione dei dati, e svolge un #ruolo fondamentale nel #diffondere il modello europeo di protezione dei dati a livello mondiale, essendo spesso utilizzata come fonte di #ispirazione dai Paesi che intendono adottare nuove normative in materia di rispetto della vita privata o #armonizzare quelle già esistenti con gli standard internazionali. In Italia, la Convenzione 108 è stata da ultimo recepita con la legge n. 60 del 22 aprile 2021 di Ratifica ed esecuzione del Protocollo di modifica alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, fatto a Strasburgo il 10 ottobre 2018. In occasione del Data Protection Day ha luogo, in modo emblematico, la premiazione dello Stefano Rodotà Award, in onore del politico e professore, primo presidente del Garante Privacy che lavorò assiduamente per la promozione dei diritti fondamentali e gettò le basi del diritto alla protezione dei dati europea.
D. LGS. 231
WHISTLEBLOWING – Confindustria ha recentemente formulato alcune considerazioni (condensate nel documento cd. Position Paper) in merito alla bozza di decreto legislativo in materia di #whistleblowing elaborato dal Governo per dare attuazione alla Direttiva UE 2019/1937. In via generale, emerge dal documento la necessità che sussista un corretto bilanciamento tra la protezione del segnalante e la tutela dell’azienda (che, da parte sua, potrebbe essere colpita da danni reputazionali, nonchè economici, da un abuso dello strumento. In quest’ottica – più in particolare – Confindustria reputa eccessiva (i) l’estensione dello strumento della segnalazione nelle PMI e (ii) la divulgazione pubblica delle segnalazioni che – riferendosi a violazioni del Modello 231 – risultino già oggetto di segnalazione interna. Il Paper suggerisce inoltre l’inserimento di una specifica disciplina di tutela.
ANALISI ANAC – Al fine di rafforzare la collaborazione con i Responsabili per la Prevenzione della Concorrenza e per la Trasparenza (RPCT), l’Autorità Nazionale Anticorruzione (ANAC) ha recentemente compiuto – attraverso la somministrazione di un questionario – una analisi delle esperienze e delle criticità riscontrate dagli stessi RPCT. I risultati dei questionari (111 in totale, suddivisi in due gruppi, “Amministrazioni medio-grandi” e “Piccole amministrazioni”) sono stati raccolti dall’Autorità all’interno di un documento (“Analisi di esperienze e criticità rilevate dai Responsabili per la Prevenzione della Corruzione e per la Trasparenza – gennaio 2023”). In particolare, tra gli esiti dell’indagine si registrano (i) difficoltà nell’adempiere alla rotazione del personale, (ii) scarsa sensibilità nei confronti della formazione del personale e (iii) inefficienze relative all’aggiornamento dei dati sulla trasparenza.
AIUTI COVID – Con la sentenza n. 1635 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che il sequestro preventivo per indebita percezione di fondi erogati per l’emergenza da Covid-19 è infondato nel caso in cui risultino assenti (i) la condotta ingannatoria del richiedente e (ii) il pericolo di dispersione dei beni. Dichiarando inammissibile il ricorso della Procura – che aveva impugnato il provvedimento di riesame che confermava la insussistenza dei presupposti del sequestro nei confronti della rappresentante legale di una società- gli Ermellini hanno specificato non solo che le condotte poste concretamente in essere dall’indagata erano del tutto lecite ma che, soprattutto, “requisito del provvedimento di sequestro preventivo (…) sia la concisa motivazione anche del ‘periculum in mora’, da rapportare (…) alle ragioni che rendono necessaria l’anticipazione dell’effetto ablativo rispetto alla definizione del giudizio con sentenza”. In altre parole, il Supremo giudice di legittimità esclude categoricamente ogni automatismo decisorio in grado di collegare la pericolosità alla mera natura obbligatoria della confisca.
MERCATI DIGITALI
GOOGLE – Secondo quanto riportano autorevoli fonti di stampa, pare che il Dipartimento di Giustizia si stia preparando a far causa a Google per la sua #posizionedominante sul mercato della pubblicità digitale. Il colosso di Mountain View è infatti il re indiscusso del settore degli annunci digitali (negli U.S.A. e non solo), detenendo per altro la maggior parte della tecnologia utilizzata per l’acquisto, la vendita e il servizio di pubblicità online ( configurandosi, dunque, come un vero e proprio monopolista). Google – che ha già nel suo cv tre procedimenti legali intentati da altrettanti procuratori generali – viene ora citata in giudizio a livello federale. L’inizio del processo si prevede verso settembre. La denuncia, in particolare, mira a far chiarezza sulla gestione della pubblicità, che farebbe ricavare a google dalle inserzioni l’80% dei suoi ricavi.
GOOGLE/2 – Google ha raggiunto un’intesa con l’Unione europa e è impegnato a limitare la propria capacità di apportare modifiche unilaterali agli ordini rispetto a prezzi o cancellazioni, e a creare un indirizzo di posta elettronica riservato alle autorità per la tutela dei consumatori, in modo che quest’ultime possano segnalare e richiedere la rapida rimozione di contenuti illegali. Il risultato di questi adeguamenti saranno informazioni più chiare e accurate sui servizi, con l’obiettivo di allineare le pratiche della piattaforma al diritto dell’Unione europea, in particolare per quanto riguarda la mancanza di trasparenza nei confronti dei consumatori.
CHIPS ACT – La commissione Industria ed energia del Parlamento europeo ha votato favorevolmente il progetto di legge sul Chips Act e, in particolare, ha dato il via libera all’aumento degli investimenti previsti per l’attuazione della normativa. Il Parlamento europeo si è impegnato a creare una rete di centri di competenza per gestire la necessaria formazione di lavoratori specializzati nel settore dei semiconduttori di prossima generazione e sui chip quantistici, con lo scopo di attrarre nuove risorse nella ricerca, nella progettazione e nella produzione. Il progetto permetterà di garantire che l’Unione europea sia all’avanguardia nella ricerca e nell’innovazione, che abbia un ambiente favorevole alle imprese, un processo di autorizzazione rapido e che investa in una forza lavoro qualificata per il settore dei semiconduttori.
NEWS DAL MONDO
RUSSIA – Il Ministero dello sviluppo digitale, delle telecomunicazioni e dei mass media della Federazione russa ha annunciato di aver creato un “Centro nazionale per la crittografia digitale”. Tra i compiti del Centro – che verrà lanciato nel 2024 con l’obiettivo di diffondere l’uso di metodi di protezione crittografica – (i) lo sviluppo di produttori nazionali di strumenti di protezione crittografica, (ii) la formazione pratica per specialisti della sicurezza delle informazioni e lo sviluppo di strumenti per la protezione dei dati personali.
USA
- NEW YORK
E’ stato presentato all’Assemblea dello Stato di New York il disegno di legge sulla protezione della privacy online dei dipendenti e degli studenti, che, a tutela di queste categorie di soggetti interessati, (i) limita i poteri del datore di lavoro nell’accedere a dati personali riguardo ai propri dipendenti e (ii) garantisce il rispetto delle tutele sui dati personali degli studenti da minacce alla sicurezza dei sistemi delle istituzioni educative.
- HAWAII
E’ stato proposto al Senato delle Hawaii e approvato in prima lettura il 23 gennaio 2023 il disegno di legge sulla protezione dei dati personali, che mira a stabilire un quadro per regolamentare l’accesso dei titolari e dei responsabili del trattamento ai dati personali dei consumatori e introduce sanzioni e un nuovo fondo speciale per la privacy dei consumatori.
SANZIONI:
- SPAGNA – L’autorità garante spagnola (“AEPD”) ha sanzionato il Dipartimento dell’Istruzione, della Cultura e dello Sport che, in qualità di Titolare del trattamento, ha condiviso via email con i vari dipartimenti un foglio Excel, contenente nome, cognome, carta d’identità e posizione lavorativa di oltre 200 dipendenti pubblici.
- GERMANIA – Il Tribunale regionale di Amburgo ha ritenuto illegittimo il trattamento di dati sanitari conservati in un registro dei tumori. Nonostante la natura del trattamento soddisfasse i caratteri previsti dall’art. 9(2) del GDPR, sarebbe stato però necessario fornire maggiori garanzie di sicurezza, anche a norma delle vigenti leggi nazionali, che invece risultavano carenti.
- NORVEGIA – L’autorità garante norvegese (“Datatilsynet”) ha ammonito la Chiesa locale per violazione dei diritti degli interessati ai sensi del GDPR in quanto, in qualità di Titolare del trattamento, raccoglieva le informazioni sulle nuove nascite dal registro nazionale della popolazione, divulgate sulla base della legislazione nazionale, compresi i dati particolari dei neonati, e, se almeno un genitore era un membro della comunità religiosa, il Titolare iscriveva i neonati come “persone affiliate”) in un registro.
- ROMANIA – L’autorità rumena per la protezione dei dati ha sanzionato una società nel settore degli elettrodomestici, che, da Titolare del trattamento, inviava SMS pubblicitari al soggetto interessato anche dopo la richiesta di quest’ultimo di essere cancellato dall’elenco del Titolare, condotta effettuata in violazione del diritto all’oblio.
SEZIONE SPECIALE: NOVITA’ DAL MONDO CYBERSEC
NIS2 E SICUREZZA INFORMATICA – Anche a seguito del recepimento della Direttiva NIS 2 (“Network and Information Security”) vengono sempre più in rilievo gli ambiti da implementare per la sicurezza informatica, che non viene vista solo come un insieme di strumenti e mezzi tecnici per prevenire gli attacchi, ma come un insieme di misure organizzative al centro delle quali è posta un’efficace politica di formazione del personale. Dal momento che il lavoro delle società in vari settori non può prescindere dai sistemi informatici, proteggere tali sistemi e i dati in essi contenuti diventa sempre più cruciale, così come definire delle procedure di emergenza in caso di attacco e dei piani di ripristino, in modo analogo a quanto succede per le grandi emergenze o catastrofi naturali. Il framework della Direttiva si articola in diverse azioni, fra le quali (i) l’identificazione dei rischi della tecnologia da parte degli utenti; (ii) la protezione dei sistemi informatici su cui gli utenti operano; (iii) la formazione del personale; (iv) i piani di emergenza predisposti e (v) i piani di ripristino approvati dalla società.
PIANO INFORMATICA PER PA DIGITALE – L’Agenzia per l’Italia Digitale ha pubblicato il Piano triennale per l’informatica nella Pubblica Amministrazione per il periodo dal 2022 al 2024, redatto in collaborazione con numerosi altri dipartimenti, che recepisce ed estende i contenuti del PNRR e rappresenta un’opportunità di accelerare e migliorare l’esecuzione della transizione digitale della Pubblica Amministrazione. Il nuovo Piano triennale favorisce, infatti, lo sviluppo di una società digitale, cerca di promuovere lo sviluppo sostenibile, etico e inclusivo, attraverso l’innovazione e la digitalizzazione al servizio delle persone, delle comunità e dei territori, nel rispetto della sostenibilità ambientale, e di contribuire alla diffusione delle nuove tecnologie digitali nel tessuto produttivo italiano, incentivando la standardizzazione, l’innovazione e la sperimentazione nell’ambito dei servizi pubblici.
Immagine di copertina di Joshua Sortino grazie a Unsplash.