News #45: le Big Tech licenziano come non era mai successo prima; cambia la privacy policy di TikTok; si consolida la proposta di AI Act.
Immagine di copertina di Brett Zeck grazie a Unsplash.
MERCATI DIGITALI
FACEBOOK – Dopo giorni di indiscrezioni, arriva la notizia ufficiale: Facebook licenzia 11 mila dipendenti. Si tratta, indiscutibilmente, della più grande campagna di licenziamenti della storia delle #bigtech – più grande addirittura, in termini assoluti, del maxi licenziamento di Twitter di cui abbiamo parlato nella newsletter della scorsa settimana. Per stessa ammissione del CEO di Meta – Mark Zuckerberg – le ragioni dei licenziamenti andrebbero ricercate in un errore di valutazione delle entrate attese, connesso inevitabilmente alla attuale e generale crisi economica mondiale. In ogni caso, è stato chiarito che ciascuno degli ex dipendenti riceverà una indennità pari a 16 settimane di retribuzione (più due settimane extra per ogni anno di servizio svolto presso Facebook). Inoltre – notizia gradita soprattutto per gli statunitensi coinvolti – agli ex dipendenti e ai loro familiari sarà garantita, per i prossimi sei mesi, una copertura assicurativa per spese sanitarie, completamente a spese della società. Ma il metaverso, forse, perde consensi..
ONU vs MUSK – Volker Türk, Alto Commissario dell’ONU, ha recentemente inviato una lettera aperta a Elon Musk per esortarlo – all’indomani del maxi licenziamento che ha investito i dipendenti di Twitter – al rispetto dei diritti umani. L’appello si sarebbe reso necessario a fronte dell’ormai nota presa di posizione nei confronti della #libertàdiespressione, intesa da Musk in termini assoluti. Tale atteggiamento estremamente permissivo potrebbe infatti comportare quale conseguenza non gradita l’avallo di pratiche spiacevoli, come ad esempio il #hatespeech.
RENDICONTAZIONE DI SOSTENIBILITÀ – Lo scorso 10 novembre il Parlamento Europeo ha adottato la proposta di Direttiva in materia di rendicontazione di sostenibilità aziendale. La nuova normativa impone a grandi aziende e multinazionali una serie di obblighi relativi alla rendicontazione circa l’impatto della loro attività sull’ambiente. Al fine di assicurare l’adempimento delle nuove disposizioni, sono inoltre previsti controlli e revisioni indipendenti. Dopo l’ok del Parlamento, il prossimo 28 novembre toccherà al Consiglio dell’Unione esprimersi sulla proposta. In caso di conferma ed entrata in vigore, le nuove regole entreranno in vigore tra il 2024 ed il 2028.
AGCOM E NUOVE REGOLE ANTI TRUFFA – Sono state emanate nuove regole dall’Autorità per le Garanzie nelle Comunicazioni (“AGCOM”) per il cambio della SIM, con l’obiettivo di arginare le truffe legate al cambio dell’operatore della scheda telefonica. Innanzitutto, l’operazione di cambio SIM potrà essere effettuata solo dall’intestatario dell’utenza, a differenza di quanto succedeva finora con le deleghe – sarà possibile procedere ancora per delega solo nel caso di SIM aziendali. La verifica dell’identità, inoltre, dovrà essere effettuata attraverso due diverse procedure – una con un documento di identità e una tramite un codice ricevuto via SMS sul numero interessato, e oggetto di cambio operatore.
CGUE E CONSUMATORI – La Corte Federale di Giustizia tedesca ha domandato alla Corte di Giustizia dell’Unione Europea (“CGUE”) di pronunciarsi sulla posizione giuridica delle associazioni di tutela dei consumatori in relazione a potenziali violazioni del trattamento dei dati da parte di Meta. La Corte ha dichiarato che è in corso di decisione se un’eventuale mancata informazione da parte di Meta sulla portata, lo scopo e l’utilizzo dei dati degli utenti possa dare luogo a richieste di provvedimenti ingiuntivi ai sensi del diritto della concorrenza, e possa essere seguita da azioni di associazioni di tutela dei consumatori.
LOTTA ALLA PIRATERIA – Alcune case discografiche italiane hanno riportato una notevole vittoria nella lotta contro la pirateria online: il Tribunale di Milano ha respinto il ricorso di CloudFlare contro l’inibitoria cautelare che gli imponeva di interrompere la fornitura del suo servizio Dns pubblico a tre siti BitTorrent, che in precedenza erano stati bloccati dall’AGCOM. CloudFlare è uno dei principali intermediari internet sfruttati dalla pirateria online, ed era stato destinatario, a luglio 2022, di un’ingiunzione cautelare per implementare le misure tecniche che impedissero agli utenti di accedere ai siti identificati tramite il suo servizio. I servizi di CloudFlare consentivano infatti agli utenti di accedere a siti web in violazione del copyright, sottraendo ricavi a coloro che investono e creano musica. Così, confermando l’ordinanza originaria contro CloudFlare, il Tribunale di Milano ha stabilito un precedente importante secondo cui gli intermediari online possono essere obbligati a prendere provvedimenti efficaci se i loro servizi sono utilizzati per la pirateria musicale.
PRIVACY & CYBERSECURITY
PRIVACY POLICY DI TIKTOK – La piattaforma TikTok ha annunciato un aggiornamento della propria privacy policy per lo Spazio Economico Europeo (“SEE”), che sarà effettivo a partire dal 2 dicembre 2022. L’obiettivo è quello di migliorare la trasparenza del servizio e la sicurezza dei dati trattati dalla società per tutti gli utenti europei. A tale scopo, l’aggiornamento alla policy si occupa soprattutto di modificare le sezioni dedicate al luogo di conservazione dei dati e alle modalità di trattamento dei dati di geolocalizzazione. Per quanto riguarda i trasferimenti internazionali – punto cruciale delle preoccupazioni sul tema – la piattaforma va nella direzione di investire le proprie risorse nella risoluzione delle problematiche sollevate dalla sentenza Schrems II, anche al fine di evitare le pesanti sanzioni che le autorità hanno già applicato nei confronti di altre piattaforme, sprovviste di misure di sicurezza che consentissero l’effettiva tutela dei dati dei propri utenti dall’accesso delle autorità governative.
TESTO DI COMPROMESSO SUL “AI ACT” – Il Consiglio ha reso pubblica la versione finale del testo di compromesso sulla proposta di Regolamento recante norme armonizzate sull’intelligenza artificiale (“AI Act“), e lo sottoporrà all’adozione dell’orientamento generale al Comitato dei Rappresentanti Permanenti durante la prossima riunione del Consiglio Trasporti, Telecomunicazioni ed Energia (“TTE”) dell’8 novembre 2022. Il testo di compromesso sottolinea che la presidenza del Consiglio intende presentare alcune modifiche alla legge sull’AI, e invita le delegazioni a formulare le loro osservazioni finali prima che il documento sia presentato.
NEWSLETTER EDPS – E’ stata pubblicata la newsletter dell’European Data Protection Supervisor (“EDPS”), che raccoglie alcuni temi privacy tra i quali (i) la protezione dei dati personali da phishing e attacchi ransomware; (ii) i recenti Audit del EDPS; (iii) Intelligenza Artificiale; (iv) Machine Learning, e molto altro consultabile al link qui indicato.
SICUREZZA INFORMATICA UE – In occasione dei negoziati relativi alla nuova Direttiva europea sulla #cyberdifesa, Joseph Borrell – alto rappresentante della politica estera e della difesa dell’Unione – ha annunciato l’imminente creazione di un Centro europeo di coordinamento per la cyberdifesa. Per il raggiungimento di tale finalità, e a fronte dei sempre più numerosi #cyberattacchi, l’Unione si impegna ad incoraggiare collaborazioni e sinergie tra gli Stati membri in settori critici, tra i quali energia e sanità.
PROPOSTA REGOLAMENTO UE – Lo scorso 7 novembre è stato annunciato che la Commissione Europea ha adottato una proposta di regolamento finalizzata a rafforzare la trasparenza in materia di raccolta e condivisione dei dati relativi ai servizi di #affitto e #alloggioabrevetermine. Tra gli obiettivi, (i) armonizzare i requisiti di registrazione delle proprietà offerte in affitto, (ii) semplificare la condivisione di dati tra piattaforme online e autorità pubbliche, (iii) consentire il riutilizzo dei dati in forma aggregata. Al fine di illustrare con maggiore chiarezza la nuova proposta, la Commissione ha messo a disposizione online una scheda informativa e una serie di Q&A.
D. LGS. 231
DECIMO ANNIVERSARIO DELLA LEGGE SEVERINO – A dieci anni dall’entrata in vigore della legge Severino, risulta quanto mai evidente che investire nell’Anticorruzione è un’utilissima e indifferibile manovra economica. Come ha affermato il Presidente dell’ANAC, intervistato per l’occasione, negli ultimi anni l’Italia ha fatto importanti passi avanti, scalando dieci posizioni nella classifica di Transparency International. Eppure, nonostante il balzo dell’ultimo periodo, la strada da percorrere è ancora lunga per prevenire e reprimere la corruzione e l’illegalità nella Pubblica amministrazione, oltre che per promuovere la trasparenza. L’obiettivo è prioritario, con i fondi del PNRR e l’attenzione dell’Unione europea sull’Italia per una corretta gestione di tali finanziamenti. Restano rilevanti criticità sui temi del whistleblowing e della regolamentazione del lobbying, fenomeni rispetto ai quali l’Italia non è ancora in linea con le direttive europee.
DELUDENTE MONITORAGGIO ANTICORRUZIONE – Lo scorso 9 settembre l’Autorità Nazionale Nazionale Anticorruzione (“A.N.AC.”) aveva provveduto all’aggiornamento del Piano Triennale di Prevenzione della Corruzione e della Trasparenza in vigore per il triennio 2019-2021, (i) modificando la parte relativa alla mappatura delle attività degli uffici dell’A.N.AC., (ii) individuando i comportamenti a rischio e la relativa valutazione, (iii) programmando misure specifiche. Poco tempo dopo, è emerso da una specifica ricerca su tutti gli uffici giudiziari dislocati sul territorio nazionale (Procure della Repubblica, Tribunali, Procure Generali, Corti d’Appello e Corte di Cassazione) che gli stessi Tribunali chiamati a giudicare sull’adeguatezza dei presidi di contrasto alla corruzione di società private ed enti pubblici, sono a loro volta privi dei Piani anticorruzione e di adeguati canali di whistleblowing.
NEWS DAL MONDO
UE vs. MICROSOFT – Sulla scia dell’Antitrust britannico, anche la Commissione Europea ha di recente annunciato l’apertura di un’indagine nei confronti di Microsoft in ragione della sua proposta (del valore di ben 69 miliardi di dollari) di acquistare Activision Blizzard, colosso mondiale dei videogiochi, nonché “mamma” del famosissimo Call of Duty. Le preoccupazioni sono connesse, più in particolare, alla possibilità che Microsoft precluda, in concreto, ad altre società l’accesso ai videogiochi di Activision Blizzard. La durata dell’istruttoria è di 90 giorni: la decisione dovrà pertanto arrivare entro il 23 marzo 2023.
USA: LINEE GUIDA SULLE RISORSE DIGITALI – Il governo USA ha pubblicato delle nuove linee guida dedicate alle risorse digitali, comprese le criptovalute, sulla protezione di consumatori, investitori e imprese, insieme alla promozione della stabilità finanziaria, della sicurezza nazionale e dell’ambiente, riconoscendo che le risorse digitali, incluse le criptovalute, presentano evidenti opportunità per rafforzare la leadership degli Stati Uniti nel sistema finanziario globale e che, al contempo, esse comportano rischi significativi. Le linee guida, in questo senso, promuovono l’innovazione (i) avviando la ricerca e lo sviluppo del settore privato, (ii) supportando le aziende statunitensi all’avanguardia a trovare un punto d’appoggio nei mercati globali e (iii) ponendo misure per mitigare i rischi con una più severa applicazione delle leggi esistenti e la creazione di standard di efficienza.
BASSA SASSONIA – L’autorità garante della Bassa Sassonia ha recentemente emesso un comunicato stampa per ricordare alle società che trasferiscono dati fuori dallo Spazio Economico Europeo o verso organizzazioni internazionali che alla fine di quest’anno – più precisamente il 27 dicembre – dovranno essere obbligatoriamente aggiornate all’ultima versione (quella del 27 settembre 2021) le Clausole Contrattuali Standard (#SCC), lo strumento che consente alle società di esportare i dati in sicurezza, nel rispetto della normativa e delle tutele dettate dal GDPR, pur in mancanza di una decisione di adeguatezza. L’ obbligo vige, più in particolare, per tutti i contratti conclusi prima del 27 settembre 2021, quelli cioè che fino al prossimo 27 godranno di un “periodo di favore”, scaduto il quale ogni trasferimento non allineato alle nuove Clausole sarà illegale.
BELGIO – La commissione parlamentare belga per l’economia, la protezione dei consumatori e l’agenda digitale ha approvato il disegno di legge sulla protezione delle persone che segnalano violazioni del diritto dell’Unione o del diritto nazionale riscontrate all’interno di un Ente (“whistleblowing”), recependo la Direttiva sulla tutela delle persone che segnalano violazioni del diritto dell’Unione.
AUSTRALIA (NEW SOUTH WALES) – La Commissione per l’Informazione e la Privacy (“IPC”) ha pubblicato la relazione annuale 2021/2022 documentando i risultati raggiunti ed evidenziando alcune statistiche riguardo a (i) iniziative strategiche e regolamentari; (ii) richieste di accesso, revisioni e reclami sulla privacy; (iii) pareri in tema di privacy per supportare la conformità da parte degli Enti; (iv) audit proattivi sull’accesso ai dati personali e (v) sensibilizzazione sulla privacy e sui diritti dei soggetti interessati.
CINA – Dall’8 al 10 novembre prende il via la seconda edizione della Digital China Week, evento di formazione in cui diversi esperti del settore e aziende presenti sul mercato proporranno spunti per sviluppare un business di successo in Cina. L’evento è considerato particolarmente significativo nel settore, anche dal momento che il digitale in Cina rappresenta un imprescindibile stile di vita, con piattaforme differenti da quelle occidentali e tendenze come il live streaming o il social commerce.
REGNO UNITO – L’Information Commissioner’s Officer (ICO), autorità garante inglese, ha annunciato di aver avvertito – o meglio, rimproverato- il Dipartimento per l’Istruzione locale per violazione dell’art. 5 del Regolamento Europeo 2016/679 (GDPR). Dalle indagini sarebbero infatti emersi accessi non autorizzati ad LRS (database che fornisce un registro delle qualifiche degli alunni – quasi 30 milioni – a cui i fornitori di servizi di istruzione possono accedere e memorizzare dati). Più in particolare, è stato rilevato l’accesso di Trust Systems Software UK Ltd (“Trustopia”), società di screening che utilizzava il database per aiutare le società di gioco d’azzardo a confermare che i clienti fossero maggiorenni. Concedendo l’accesso al database a Trustopia, il Dipartimento per l’Istruzione si è sostanzialmente reso responsabile di un uso illegale dei dati (che venivano, di fatto, trattati per scopi diversi da quelli consentiti). La decisione di non irrogare alcuna sanzione – che avrebbe sfiorato i 10 milioni di sterline, a fronte della gravità della violazione – è stata giustificata da John Edwards, sesto commissario dell’ICO, con il fatto che i soldi delle multe ritornano al Governo. L’impatto per il Dipartimento, pertanto, sarebbe stato sostanzialmente minimo.
BADEN-WÜRTTEMBERG – L’Autorità garante locale ha recentemente emanato una guida rivolta a società ed enti pubblici finalizzata ad impartire istruzioni per una corretta integrazione di video sui propri siti web in perfetta compliance con la normativa europea sulla protezione dei dati personali. Più in particolare, la guida si sofferma sul rispetto dei requisiti fissati dalla legge federale (21 giugno 2021) sulla protezione della privacy nelle telecomunicazioni e nei telemedia (TTDSG).
GERMANIA (ASSIA) – L’HBDI, Autorità garante dell’Assia, ha di recente rilasciato una dichiarazione in merito all’utilizzo di #GoogleFonts. Secondo quanto chiarito dall’Autorità, quando i fonts di Google sono integrati online, i dati dell’utente utilizzatore vengono trasferiti a Google. L’accento della questione viene posto sulla necessità che tale trasferimento sia supportato da una adeguata #basegiuridica, così come richiesto dall’art. 6 del GDPR. In particolare, le maggiori problematiche riguardano il fatto che un trasferimento di dati a Google si sostanza, nella pratica, in un trasferimento verso gli Stati Uniti (paese “particolarmente attenzionato” in seguito alla sentenza Schrems II e conseguente caduta del Privacy Shield).
REGNO UNITO – L’Information Commissioner’s Office (“ICO”) del Regno Unito ha annunciato una consultazione pubblica fino al 19 dicembre sulla priorità che l’autorità garante dà ai reclami in materia di libertà di informazione. L’ICO ha indicato che la consultazione è stata stimolata da finanziamenti limitati e da una maggiore necessità di sostenere le autorità pubbliche in difficoltà, che insieme hanno creato una “tempesta perfetta”. L’autorità di regolamentazione ha spiegato che il nuovo schema prenderà in considerazione i reclami in cui vi sia un chiaro interesse pubblico per le informazioni.
IRLANDA – La Commissione irlandese per la protezione dei dati ha presentato una bozza di decisione sulla conformità di Yahoo agli obblighi del GDPR, in materia di trattamento dei dati personali. Il vice commissario Graham Doyle ha dichiarato che l’indagine, iniziata nell’agosto 2019, ha esaminato la conformità dell’azienda ai requisiti di fornire informazioni trasparenti agli interessati ai sensi delle disposizioni del GDPR. Le autorità di controllo interessate avranno tempo fino al prossimo 24 novembre per opporsi al progetto di decisione.
CANADA – I governi di Canada, Singapore e Regno Unito hanno annunciato l’impegno congiunto ad aumentare le misure di sicurezza informatica per i dispositivi dell’Internet degli oggetti. I governi hanno dichiarato che i vantaggi delle tecnologie IT possono essere realizzati con requisiti di sicurezza informatica appropriati, che sono integrati nei prodotti fin dalla fase di progettazione, piuttosto che far ricadere questo onere sui consumatori. Il lavoro congiunto dei tre Paesi eviterà la frammentazione e ridurrà la duplicazione di test e valutazioni simili.