News#1/2023: la super-sanzione a Meta “vieta”​ l’uso del contratto come base per fare targeted advNews#

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • #Meta sanzionata dall’Autorità irlandese, a rischio il suo #modello di #business;
  • anche #Apple (dopo Microsoft) ha problemi con il CNIL, ma sulla Direttiva #ePrivacy;
  • il primo gennaio scorso è entrato in vigore, in California, il #CPRA;
  • una società cancellata può comunque essere condannata secondo il #dlgs231;
  • le altre news dal #mondo includono: gli Stati di #NewYork e del #Kentucky che si attivano per approvare una legge privacy locale, Croazia e Finlandia elevano sanzioni importanti in ambito GDPR, mentre il District of Columbia si accorda con #Google per chiudere un’indagine sul tracciamento della localizzazione degli utenti senza consenso.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • non potevamo che cominciare con IAPP, il più rilevante network mondiale dei professionisti privacy, che tra l’altro ha pubblicato un interessante report sui “fatti” del 2022 e l’orizzonte che ci attende nel 2023, qui.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Don’t Stop Believin’ – Journey (1981 – 4:11 in loop)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

META SANZIONATA (ANCORA, E PESANTEMENTE) – La DPC – Irish Data Protection Commission – ha adottato, il 4 gennaio scorso, la decisione finale su Meta che tanto ha fatto discutere (e di cui avevamo già accennato per il suo percorso complesso). Fortemente richiesta dall’EDPB, e in particolare da diverse altre Autorità di controllo europee, questa decisione di fatto interferisce con il modello di business di Facebook/Instagram, incentrato su una profilazione pubblicitaria (targeted ads) basata giuridicamente sul contratto di iscrizione al social network, secondo Meta sufficiente a giustificare tale attività. I 390 milioni di sanzione, invece, derivano dal generale assunto – ormai molto chiaro – per cui senza un trasparente, libero e informato consenso non sia possibile effettuare, secondo le Autorità europee in materia, attività di adv online. Con questa sanzione, il totale delle violazioni privacy a carico di Meta (a partire dal 2021) arriva all’esorbitante ammontare di più di 900 milioni di euro. Vedremo adesso come e dove (non certo “se”) Meta opporrà la decisione, e in che modo la DPC sarà fedele a quanto deciso, dato che il testo del provvedimento è stato ampiamente “guidato” da altre Aurorità, mentre la commissione irlandese in precedenza aveva apertamente avallato la posizione di Meta; tra l’altro, proprio la DPC ha dichiarato di volersi opporre ad alcune parti della linea guida impostale dall’EDPB nella propria decisione vincolante.

APPLE vs. CNIL – L’Autorità francese per la protezione dei dati personali (CNIL) ha recentemente reso nota la propria decisione (solo in lingua francese) di infliggere una sanzione ad Apple Distribution International Ltd. A seguito di un reclamo, infatti la CNIL ha avuto modo di appurare che Apple presentava pubblicità personalizzata agli utenti dei sistemi operativi iOS e MacOS, e ciò per impostazione predefinita. In particolare, dalle indagini dell’Autorità è emerso che l’utente intenzionato a modificare tali impostazioni, avrebbe dovuto seguire una più o meno articolata trafila di azioni per modificare le impostazioni relative alla pubblicità personalizzata. Per tale ragione, la CNIL ha sanzionato per la cifra di ben 8 milioni di euro.

AZIENDE E RICERCA SCIENTIFICA – Il Future of Privacy Forum ha pubblicato un report sui programmi di condivisione dei dati tra aziende e istituti di ricerca intitolato “The Playbook: Data Sharing for Research”, un report che raccomanda le best practice per l’implementazione dei programmi di ricerca, comprese le fasi di gestione e condivisione dei dati. Il report illustra l’importanza e i vantaggi di disporre di protocolli adeguati per creare processi di condivisione dei dati sicuri e semplici, hanno dichiarato i responsabili del progetto per la condivisione dei dati e l’etica. Il report affronta in particolare i passaggi fondamentali per la gestione, la condivisione e l’esecuzione dei programmi tra aziende e ricercatori, quali la creazione di un sistema di condivisione dei dati che faccia progredire positivamente la ricerca scientifica, che richiede una migliore comprensione dei rischi esistenti, delle opportunità di affrontare le sfide e delle diverse parti interessate coinvolte nelle decisioni di condivisione dei dati.

CYBERSECURITY NEL SETTORE ASSICURATIVO – Esperti del settore assicurativo in tema di cyber security hanno di recente avvertito che gli attacchi informatici su larga scala sono una preoccupazione crescente tra i dirigenti del settore: si rischia di fatto che divengano non assicurabili, come riporta il Financial Times, perché esiste un limite all’ammontare delle perdite che il settore privato può assorbire dagli attacchi cyber. Si esortano allora i governi a istituire schemi pubblici e privati per gestire rischi informatici “sistemici” che non possono essere nè quantificati nè assicurati preventivamente.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CONDANNA 231 DI SOCIETA’ ESTINTA – La cancellazione di una società dal Registro delle imprese non impedisce la condanna dell’ente per un illecito 231. Lo ha deciso il giudice per le indagini preliminari del Tribunale di Milano, con la sentenza 2993/2022, nella quale si legge che l’estinzione dell’ente, successiva all’addebito emanato ai sensi del Decreto 231, lascia impregiudicata la possibilità di una pronuncia di condanna. Sulle modalità di esecuzione della condanna spetterà al Pubblico Ministero decidere come procedere, avendo raggiunto le parti un accordo sull’applicazione della pena.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

MERCATO UNICO E DIGITALIZZAZIONE – In occasione dei 30 anni dalla creazione del mercato unico europeo, che ha preso avvio il 1 gennaio 1993, la Commissione europea ha pubblicato il paper “European Single Market is turning 30”, che analizza, con riguardo allo sviluppo digitale e con particolare riferimento al mercato unico dei servizi, i principali obiettivi raggiunti e quelli ancora da raggiungere nel mercato digitale grazie all’integrazione europea, che ha funzionato da motore per la crescita e la competitività, sostenendo il potere economico dell’Unione europea a livello globale. Il paper sottolinea inoltre che, anche sulla base delle proposte Fit For 55 e Digital Decade, l’Unione sta mettendo in atto un quadro normativo per sostenere le transizioni verdi e digitali dell’Europa.

LICENZIAMENTI AMAZON – Dopo Twitter e Facebook tocca anche ad Amazon. Sono circa 18 mila i licenziamenti previsti in tutto il mondo per il colosso di logistica guidato da Jeff Bezos. E’ molto probabilmente dal prossimo 18 gennaio che i lavoratori interessati cominceranno ad essere contattati dall’azienda, che intanto parla dell’operazione come l’esito di una “pianificazione annuale difficile”.  Non ci sono attualmente notizie ufficiali in merito ai settori che verranno maggiormente colpiti, né riguardo alla percentuale di lavoratori europei coinvolti. D’altronde, la stessa notizia dei licenziamenti è stata il frutto di una fuga di notizie. Ancora una volta,  non ci resta che aspettare, con la certezza però che anche il nuovo anno avrà i suoi riflettori puntati sul mondo delle #BigTech.

SALDI ONLINE E TRUFFE – In occasione dei tanto attesi saldi invernali Aicel (Associazione Italiana per il Commercio Elettronico) mette in guardia i consumatori dalle possibili #truffe che potrebbero caratterizzare il loro acquisto online. L’e-commerce, infatti, è particolarmente insidioso a fronte delle innumerevoli modalità escogitate dai malintenzionati per ingannare il consumatore. Un esempio di truffa diffusissimo online è la creazione di siti “copia”- quelli cioè che copiano esattamente il sito originale, non consentendo al consumatore di intuire che le operazioni di pagamento stanno avvenendo su un sito terzo. Tra i suggerimenti proposti da Aicel per difendersi (i) diffidare da affari “particolarmente vantaggiosi, (uu) accertarsi che i siti non siano segnalati dalle competenti autorità garanti – ad esempio AGCM – , (iii) verificare che sul sito siano presenti le informative relative alla privacy e ai cookie. 

LICENZE POSTALI DIGITALI – E’ stato attivato il nuovo portale “Licenze postali” per il rilascio e la gestione delle licenze e delle autorizzazioni postali. Il ministero per le Imprese e Made in Italy, nel rendere nota l’attivazione del sistema, ha precisato che l’iniziativa ha consentito di automatizzare molte attività e di rendere il processo completamente digitale, nell’ottica di una semplificazione delle procedure della pubblica amministrazione a vantaggio di cittadini e imprese. Attraverso il portale gli utenti avranno a disposizione un’area riservata dedicata alle richieste di rilascio di titoli abilitativi, rinnovi, cessioni e subentri per licenze e autorizzazioni postali attive. I pagamenti saranno gestiti interamente dal servizio PagoPA.

SANITA’ DIGITALE – Il nuovo progetto firmato da Cineca e dall’Associazione Scientifica per la Sanità Digitale punta a formare il personale sanitario su tematiche come robotica, telemedicina, mobile application e business intelligence, con l’obiettivo di più efficiente ed efficace la Sanità. Il progetto si colloca nell’ambito delle attuali linee programmatiche del ministero della Salute, perseguite anche a livello internazionale, in cui la telemedicina e le tecnologie digitali rappresentano il fattore chiave per supportare l’interazione dei diversi professionisti sanitari.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

NEW YORK – New York promuove la propria legge sulla privacy (“New York Privacy Bill”) per (i) indurre le aziende a rivelare i loro metodi di identificazione dei dati personali, (ii) adottare speciali misure di salvaguardia per la condivisione dei dati e (iii) consentire ai consumatori di ottenere i riferimenti degli Enti con cui vengono condivise le loro informazioni. In particolare, nell’atto è riportato che la pubblicità mirata e la vendita di dati personali non sono considerate finalità di trattamento necessarie per fornire servizi o beni richiesti da un consumatori. New York adotta la formulazione di de-identificazione del CPRA e una terminologia familiare al GDPR, comprendente i concetti di Titolari e Responsabili del trattamento e i principi di minimizzazione dei dati e limitazione della conservazione.

KENTUCKY – Nell’Assemblea generale del Kentucky dello scorso 3 gennaio è stato presentato dal Senatore W. Westerfield un disegno di legge relativo alla protezione dei dati personali dei consumatori. In particolare, le disposizioni introdotte nel disegno di legge stabiliscono, tra le altre cose, i diritti dei consumatori e la loro possibilità di appellarsi al titolare del trattamento per il soddisfacimento delle proprie richieste. La bozza prevede inoltre che l’autorità esclusivamente competente a far applicare la legge sia il Procuratore Generale dello Stato, con la sola eccezione della facoltà, concessa al consumatore, di esercitare il diritto di azione privata. In base a tale diritto, il consumatore ha la possibilità di richiedere un provvedimento ingiuntivo per violazioni specifiche nel caso in cui il titolare del trattamento non abbia provveduto a porvi rimedio nel termine di 30 giorni dalla ricezione di un avviso dal parte del Procuratore Generale. Se approvato, il disegno di legge entrerà in vigore il 1 gennaio 2025.

CROAZIA – L’Autorità croata per la protezione dei dati personali ha ritenuto che un Titolare del trattamento avesse installato un sistema di videosorveglianza che riprendeva lo spazio pubblico senza una base giuridica adeguata ai sensi dell’art. 6(1) del GDPR, e ha ingiunto al Titolare in questione di regolare l’angolo delle telecamere entro quindici giorni in modo da non prendere nell’inquadratura lo spazio pubblico e le persone che vi accedono, con l’obbligo di fornire adeguate informazioni nonappena l’infrazione venga rettificata.

FINLANDIA – L’Autorità finlandese per la protezione dei dati ha irrogato una sanzione di 230.000 euro a una società di navigazione che ha posto in essere diverse violazioni nel trattamento dei dati sanitari dei dipendenti, tra le quali una mancanza dell’attuazione corretta dei principi di trasparenza, accuratezza, diritto all’informazione, diritto di accesso e protezione dei dati by design, di cui al GDPR.

ISLANDA – L’Autorità garante islandese ha respinto il ricorso di un interessato che chiedeva la cancellazione del proprio database genealogico, in possesso di un Titolare del trattamento. L’Autorità, in particolare, ha deciso che il trattamento da parte del Titolare del trattamento era giustificato ai sensi dell’articolo 6(1)(f) del GDPR, e che il Titolare aveva il diritto di rifiutare la richiesta di cancellazione in quanto il trattamento era giustificato per motivi di pubblico interesse, nello specifico per ragioni di ricerca storico-scientifica e per ragioni statistiche.

SPAGNA – L’Autorità spagnola per la protezione dei dati personali (“AEPD”) ha irrogato una multa di 30.000 euro a un operatore di telecomunicazioni locale per aver attivato una carta SIM senza verificare prudentemente l’identità dell’abbonato, il quale aveva invece fornito in modo fraudolento al Titolare del trattamento i propri dati personali. 

CALIFORNIA – Entrato in vigore il 1 gennaio 2023 il California Privacy Rights Act (“CPRA”), che introduce modifiche al California Consumer Privacy Act (“CCPA”) che impongono alle aziende nuovi requisiti per i consumatori, tra i quali l’ottenimento del consenso prima della raccolta dei dati in determinati casi, e prevede anche una più stringente limitazione dell’utilizzo dei dati personali.

VIRGINIA – Entrato in vigore il 1 gennaio 2023 anche il Virginia Consumer Data Protection Act (“CDPA”), che prevede ulteriori diritti per i consumatori, tra i quali il diritto di accesso, di cancellazione e di opt-out, stabilendo obblighi per i Titolari del trattamento e per i Responsabili che trattano dati personali. Da notare particolarmente che il procuratore generale della Virginia avrà l’autorità esclusiva di applicare le disposizioni del CDPA, e potrà avviare azioni e chiedere ingiunzioni per impedirne ogni violazione con sanzioni civili fino a 7.500 dollari. 

COREA DEL SUD – L’Autorità locale per la protezione dei dati personali (“Personal Information Protection Commission” o “PIPC”) ha pubblicato le linee guida per l’interpretazione degli standard del Personal Information Protection Act (“PIPA”), con lo scopo di migliorare la comprensione delle regole in materia di protezione dei dati personali nel settore pubblico e di rispondere alle questioni e agli interrogativi su argomenti di questo settore. In particolare, per ciascuna domanda le linee guida descrivono la base giuridica da considerare e forniscono un breve parere del PIPC sul tema. 

DISTRICT OF COLUMBIA – Karl A. Racine, Procuratore Generale del Distretto di Columbia (meglio conosciuto come Washington D.C.), ha recentemente annunciato il raggiungimento di un importante accordo con Google LLC finalizzato a risolvere le accuse secondo le quali il colosso informatico avrebbe ottenuto i dati di localizzazione relativi agli utenti dei suoi servizi attraverso comportamenti ingannevoli. Le indagini, avviate nel 2018 dopo la pubblicazione di un articolo da parte dell’Associated Press,  hanno consentito al Procuratore Generale di appurare che Google otteneva realmente i dati di localizzazione attraverso comportamenti ingannevoli, come ad esempio l’uso di dark pattern. Alla luce di tali evidenze, il Procuratore Generale ha pertanto provveduto a denunciare le plurime violazioni del Consumer Protection Procedures Act commesse da Google. Proprio per risolvere tali accuse è stato previsto l’accordo, del valore di ben 9,5 milioni di dollari. Oltre al pagamento di tale importantissima cifra, è stato imposto a Google, tra le altre cose, di (i) informare chiaramente gli utenti circa la raccolta e il tracciamento dei dati relativi alla posizione, (ii) mantenere disponibile ed aggiornata una pagina contenente la politica di Google in materia di dati di posizione e (iii) limitare la diffusione dei dati degli utenti. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Elias Ehmann grazie a Unsplash.