News#3/2023: tra sanzione a WhatsApp e novità sui cookie, i mercati digitali sono in fermento

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • ha suscitato reazioni contrastanti la #sanzione di “soli” 5 milioni di euro inflitta dalla DPC irlandese a Meta, questa volta in relazione a #WhatsApp;
  • importanti indicazioni sui #cookie dal survey predisposto dall’EDPB;
  • si apre (forse) una questione sanità vs. algoritmi tra Regione Veneto e Garante;
  • AGCOM regolamenta l’equo compenso online per la pubblicazioni di news giornalistiche.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • grande attenzione ai temi informatici, ISO e di aggiornamento dei numerosi strumenti di compliance disponibili oggi nella newsletter mensile e nei post di Cesare Gallotti, un profilo che seguiamo con grande interesse!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Ghosts (How Can I Move On) – Muse (2022 – Will Of The People)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY & CYBERSECURITY

WHATSAPP – Il Garante irlandese (DPC) ha annunciato di aver inflitto una sanzione (DI appena 5.5 milioni di euro!) a WhatsApp Ireland Limited. A seguito di una segnalazione era infatti emerso che nel 2018 WhatsApp aveva aggiornato i propri Termini di servizio, informando i propri utenti che una loro #accettazione risultava #necessaria per continuare ad usufruire della piattaforma a seguito dell’introduzione del GDPR. Tale accettazione era stata interpretata dalla società come stipula di un #contratto, tale per cui il conseguente trattamento di dati personali degli utenti (che comprendeva anche la fornitura di profilazione per “miglioramenti del servizio”) risultava #legittimo in quanto eseguito in esecuzione di un contratto. Diversamente, il denunciante sosteneva che tale trattamento si dovesse più correttamente basarsi sul #consenso e che, di fatto, WhatsApp aveva obbligato i propri utenti ad acconsentire, pena l’inutilizzabilità del servizio – come per le precedenti sanzioni imposte di recente a carico di Meta. Con il #provvedimento conclusivo del procedimento è stato imposto a WhatsApp, oltre alla sanzione, un termine di sei mesi per rendere conformi alla normativa vigente le proprie operazioni di trattamento.

COOKIE BANNER – Il Comitato Europeo per la protezione dei dati (EDPB) ha di recente reso noto di aver adottato – nel corso della seduta plenaria di gennaio 2023 – una bozza di relazione in merito al lavoro svolto dalla sua Cookie Banner Task Force, istituita in seguito ai (molti) reclami avanzati da NOYB ai vari Garanti europei. In particolare, all’interno della relazione l’EDPB ha specificato che le diverse Autorità europee hanno raggiunto un accordo circa l’interpretazione delle disposizioni applicabili nel caso concreto, e cioè Direttiva 2002/58/CE (c.d. direttiva #ePrivacy) e Regolamento UE 2016/679 (GDPR). Tra gli argomenti trattati all’interno della relazione, (i) i pulsanti di rifiuto, (ii) i colori ingannevoli e il contrasto dei pulsanti, (iii) la classificazione dei cookie essenziali e (iv) le caselle preselezionate.

UE – DIRETTIVE NIS2 e CER – Lo scorso 16 gennaio la Commissione Europea ha annunciato con un proprio comunicato stampa l’entrata in vigore  di due direttive: (i) la Direttiva UE 2022/2557 sulla resilienza delle entità critiche (cd. Direttiva CER) e (ii) la Direttiva UE 2022/2555 recante disposizioni finalizzate a garantire un livello elevato di #cybersicurezza comune in tutti i Paesi dell’Unione (cd. Direttiva NIS2). Con particolare riferimento alla Direttiva CER, questa impone valutazioni volte a individuare i settori “critici” della società e dell’economia – ossia maggiormente esposti a rischi quali attacchi terroristici, pericoli naturali o sabotaggi – e migliorarne la resilienza. Per quanto righuarda la Direttiva NIS2, la Commissione ha reso disponibile sul proprio sito web una scheda illustrativa nonchè una serie di domande e risposte. Gli Stati membri hanno ora 21 mesi a disposizione per adeguarsi alle disposizioni dettate dalle nuove direttive.

WHISTLEBLOWING E DPIA – Un punto importante dello schema di Decreto Legislativo di recepimento della Direttiva UE 2019/1937 riguardante la #segnalazione di illeciti per contrastare fenomeni di #corruzione, sia nelle imprese private che nelle Pubbliche Amministrazioni – che l’11 gennaio scorso ha ricevuto #parerepositivo dall’Autorità Garante – è dedicato al trattamento di dati personali nei procedimenti di whistleblowing. All’art. 13 si chiariscono infatti gli adempimenti necessari per la corretta applicazione della disciplina #privacy, tra i quali, al comma 6, è previsto che gli enti debbano definire il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, “sulla base di una #valutazionediimpatto sulla protezione dei dati”. Tutti gli enti dovranno quindi attivare canali sicuri, soprattutto quando si utilizzano piattaforme online o Internet per fare in modo di garantire ai segnalatori la riservatezza sulla loro identità, necessaria ad assicurare sia il flusso di informazioni sugli illeciti, sia a #proteggere gli stessi #whistleblower da atti ritorsivi e persecutori.

REGIONE VENETO E ALGORITMI IN SANITA’ – Il Garante per la protezione dei dati personali ha recentemente annunciato di aver inviato alla Regione Veneto una richiesta formale al fine di verificare la compatibilità di una #delibera – in virtù della quale sarebbe un #algoritmo, e non più un medico di medicina generale, a scegliere la classe di priorità della prestazione sanitaria richiesta dai pazienti – con la normativa privacy vigente. La questione è particolarmente delicata, non solo perché comporterebbe un trattamento su larga scala di dati sanitari (particolari, e dunque sensibili, ai sensi dell’art. 9 GDPR), ma anche perché dalle prime informazioni in possesso dell’Autorità sembrerebbe che le valutazioni espresse dall’algoritmo non potrebbero in concreto essere #modificate da nessun medico. La Regione Veneto dispone ora di 20 giorni per comunicare all’Autorità tutti gli elementi utili ai fini della valutazione dell’Autorità, tra cui (i) il tipo di algoritmo utilizzato, (ii) la norma giuridica posta alla base del trattamento e (iii) le tipologie di informazioni e di documenti trattati. La Regione, inoltre, dovrà specificare il numero di pazienti coinvolti, le modalità attraverso le quali ha informato gli interessati e gli elementi relativi alla valutazione di impatto (DPIA) effettuata.

CASO MESSINA DENARO –  Il clamoroso arresto del boss mafioso Matteo Messina Denaro  – latitante dal 1993 e catturato lo scorso 16 gennaio a Palermo, in una clinica privata presso la quale si trovava in cura – ha scatenato una pioggia di commenti, reazioni, riflessioni e (prevedibilmente)…infiniti articoli giornalistici. Sul punto è prontamente intervenuto il Garante per la protezione dei dati personali italiani che, in un comunicato diffuso sul proprio sito web, ha ribadito ai media il rispetto del #principio di #essenzialità fissato dalle Regole deontologiche della professione giornalistica. “Anche in casi di vicende di assoluto interesse pubblico” – scrive il Garante – “riguardanti persone che si sono macchiate di crimini orribili, la #pubblicazione integrale di referti, o la diffusione di dettagli particolareggiati presenti nelle cartelle cliniche relative a patologie, non appare giustificata”. 

TASSONOMIA STRUMENTI INFORMATICI – La ACN (Agenzia per la Cybersicurezza Nazionale) ha di recente annunciato la pubblicazione in Gazzetta Ufficiale di una nuova tassonomia degli incidenti informatici che devono essere notificati al fine di rafforzare il cd. Perimetro Nazionale di Cybersicurezza. Nel suo comunicato l’Agenzia pone l’accento sull’art. 1, comma 3-bis del D.L. n.115 dello scorso 9 agosto 2022 (convertito con l. n. 142/2022) il quale impone l’obbligo di notificare all’ACN, nel termine di 72 ore, ogni incidente che (i) interessa beni informatici compresi nel Perimetro Nazionale di Cybersicurezza nonchè (ii) gli incidenti che impattano su reti, sistemi e servizi informativi non contemplati in maniera diretta nel Perimetro. La nuova #categorizzazione degli incidenti informatici entrerà in vigore il prossimo 25 gennaio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

INTERDITTIVA ANTIMAFIA E AGEVOLAZIONI PUBBLICHE – Con la sentenza n. 49124 (disponibile gratuitamente per gli iscritti all’associazione Aodv231) la Corte di Cassazione ha stabilito che il #sequestropreventivo dei fondi ottenuti da una società durante il periodo di emergenza pandemica non può fondarsi sulla #omessadichiarazione circa l’interdittiva antimafia a carico di una società diversa da quella che ottenuto il beneficio, anche se facente parte del medesimo gruppo societario. Oltre a ciò, la Corte chiarisce che – in ogni caso – l’accesso a fondi e contributi è precluso per la società destinataria di una interdittiva antimafia solamente nel momento in cui questa diventa definitiva. 

AUTONOMIA DELLA RESPONSABILITÀ DELL’ENTE –  La Corte di Cassazione è recentemente tornata ad esprimersi in materia di #autonomia della responsabilità dell’ente rispetto a quella propria del soggetto (apicale o sottoposto) autore del reato. Sul presupposto che non può essere condannata una società senza il dovuto approfondimento circa l’incidenza della c.d. colpa di organizzazione ai fini della commissione del fatto di reato, con sentenza n. 570 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) gli Ermellini hanno annullato la condanna di una società. In particolare, in conseguenza di un incidente mortale – verificatosi a causa di una non corretta edificazione di un ponteggio – l’ente era stato #condannato per l’illecito di cui all’art. 25-septies, comma 3 del Decreto 231. Secondo i giudici, tuttavia, i profili di colpa ascrivibili all’amministratore della società in quanto datore di lavoro non possono automaticamente addebitare all’ente, senza le dovute valutazioni e le necessarie prove circa la citata colpa di organizzazione.

INQUINAMENTO E AUTORIZZAZIONE INTEGRATA AMBIENTALE – Con sentenza dello scorso 10 gennaio (n. 398, consultabile gratuitamente per gli iscritti all’associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che il reato di #inquinamento ambientale non si estingue con il rilascio dell’autorizzazione di cui all’art. 29-bis del D. Lgs. 152/2006. Nel pronunciarsi, i giudici di piazza Cavour hanno chiarito che (i) la semplice effettuazione del programma necessario all’ottenimento dell’autorizzazione non è sufficiente a determinare l’estinzione del reato e (ii) il rilascio della certificazione non produce effetti sui reati già commessi.

SISTEMA DI GESTIONE DELLA SICUREZZA – La regolarità del sistema di gestione della sicurezza, secondo quanto previsto dal D. Lgs. 81/2008, non esclude la responsabilità dell’ente per i reati previsti dal Decreto 231. Lo ribadisce la Corte di Cassazione, IV sez. penale, con la sentenza 45131/2022 (disponibile gratuitamente per gli iscritti ad Aodv231).  I giudici di legittimità hanno ritenuto irrilevante la presenza, al momento dell’infortunio sul luogo di lavoro, sia di un #sistema di #gestione della sicurezza che dell’individuazione di tutti i soggetti da esso previsti. Queste misure, infatti, sono funzionali alla prevenzione degli infortuni sul lavoro, ma è il Modello 231 a determinare e rispondere alle necessità di mappare le aree maggiormente a rischio e di disporre i controll opportuni per assicurare l’adempimento degli obblighi in ambito di sicurezza sul lavoro, così da contenere il rischio di commettere reati, violando la normativa antinfortunistica. 

INDICATORE PNRR PER DEBITI COMMERCIALI – Dal 1° gennaio il rispetto dei tempi di pagamento della Pubblica Amministrazione sarà misurato da indicatori funzionali all’erogazione dei fondi del PNRR, con un #parametro elaborato grazie alla riforma sulla “Riduzione dei tempi di pagamento delle PA e del sistema sanitario”, inserita fra quelle abilitanti del Piano, che prevede il rispetto dei tempi di pagamento previsti dalla normativa nazionale ed europea entro il quarto trimestre 2023, con conferma nel 2024.

VENDITA FALSI PRODOTTI DOC – La Cassazione con la sentenza n. 47810/2022 (disponibile gratuitamente per gli iscritti al sito Aodv231) ha respinto un ricorso secondo il quale il sequestro, finalizzato alla confisca per equivalente, non poteva essere supportato dal reato associativo, strumento utile di per sé a commettere reati che, solo potenzialmente, possono portare profitto. I giudici di legittimità hanno così condannato alla misura del #sequestro preventivo delle #quote sociali – per l’illecito amministrativo previsto dalla legge 231/2001 – la cooperativa che vendeva falsi vini DOC.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

EQUO COMPENSO PER PUBBLICAZIONI ONLINE – L’Autorità Garante nelle Comunicazioni (“AGCOM”) ha approvato un regolamento sulla determinazione dell’equo compenso per l’utilizzo online delle pubblicazioni giornalistiche, in base al quale, per la #diffusione online dei #contenuti #giornalistici, le piattaforme dedicate dovranno stipulare specifici contratti con gli editori e determinare quanto della raccolta pubblicitaria proveniente da tale utilizzo debba essere corrisposta a questi ultimi. Lo scopo principale è di incentivare accordi tra editori e prestatori di servizi della società dell’informazione, comprese le imprese di media monitoring e rassegne stampa, ispirandosi alle pratiche commerciali e ai modelli di business adottati dal mercato. 

INTELLIGENZA ARTIFICIALE PER I RETAILER – Sono state lanciate sul mercato alcune tecnologie digitali funzionali ad aiutare i retailer a trasformare i loro processi di controllo degli scaffali in negozio e migliorare i loro siti di e-commerce con esperienze di acquisto online più fluide e naturali per i clienti. In particolare, è disponibile in anteprima a livello globale la nuova #soluzione di #controllo degli #scaffali basata sull’intelligenza artificiale di Google Cloud, che permette di aiutare i retailer a migliorare la disponibilità dei prodotti sugli scaffali, fornire una migliore visibilità sull’aspetto effettivo dei loro scaffali e aiutarli a capire dove sono necessari rifornimenti. L’intelligenza artificiale per il controllo degli scaffali consente ai retailer di risolvere il problema di come identificare prodotti di tutti i tipi, su larga scala, basandosi esclusivamente sul caratteristiche visive e testuali di un prodotto, e tradurre tali dati in insight fruibili.

PROGETTO EURO DIGITALE – Alla sede del Consiglio Economia e finanza a Bruxelles i ministri dell’Economia dell’Unione europea hanno discusso alcune richieste sul progetto allo studio della Banca Centrale Europea (“BCE”) sull’Euro digitale, che dovrebbe integrare il contante ed essere introdotto in un contesto di #digitalizzazione dell’economia. Secondo le aspettative, l’Euro digitale potrebbe garantire l’accesso alla moneta della BCE per gli utenti della zona euro in tempi di maggiore digitalizzazione dei #pagamenti, dovrebbe essere sicuro e resiliente, e garantire un elevato livello di privacy, essendo facile da usare e ampiamente accessibile al pubblico, anche in termini di costi per gli utenti finali.

SANITA’ DIGITALE – Il recente report di CB Insight sulla sanità digitale ha evidenziato le principali criticità riguardanti i “deserti sanitari”, cioè aree geografiche con un accesso limitato alle cure e ai servizi sanitari fondamentali, e i fattori socio-economici che di fatto limitano l’accesso alle cure, come lo scarso accesso a Internet, la scarsa alfabetizzazione sanitaria e un basso livello di istruzione. Il #report identifica i principali obiettivi della sfida tecnologica in sanità, che corrispondono anche alle #quattro #aree a maggior intensità di investimenti: (i) portare i pazienti alle cure, abbassando le barriere di accesso alle cure in ambulatorio; (ii) portare le cure al paziente, aumentando gli strumenti direct-to-consumer e favorendo l’accesso alle cure; (iii) in-store innovations, sfruttando l’hardware che trasforma i retailer in sandbox per i futuri centri di cura e (iv) il potenziamento dei software per l’accesso ai centri di cura.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SPAGNA – L’AEPD, Autorità garante spagnola, ha annunciato lo scorso 17 gennaio di aver approvato il nuovo Codice di condotta relativo al trattamento dei dati per attività pubblicitarie. Il nuovo Codice – che rivede quello inizialmente approvato il 3 novembre 2022 e che entrerà in vigore il prossimo 28 gennaio – si applicherà al trattamento di dati a fine pubblicitario, tra cui (i) comunicazioni commerciali, (ii) utilizzo di cookie per pubblicità comportamentale o profilazione e (iii) promozioni effettuate al fine di raccogliere dati personali a fini pubblicitari. Il Codice prevede inoltre un modulo online come sistema di risoluzione extragiudiziale delle controversie nell’ambito del quale AUTOCONTROL (Associazione per l’auto-regolamento della comunicazione commerciale) opererà in veste di mediatore. Si specifica, inoltre, che qualora i reclami dovessero essere inoltrati direttamente all’AEPD, questa si riserverà il diritto di deferirli al Giurì della pubblicità.

CINA – La China Academy for Information Communications Technology (“CAICT”) ha pubblicato un recente paper sulla legislazione informatica, evidenziando lo sviluppo della legislazione in materia di protezione dei dati personali nel 2022, compresa quella incentrata sui trasferimenti transfrontalieri di dati e sulla regolamentazione delle piattaforme digitali. Il CAICT ha sottolineato anche la necessità di migliorare l’attuale supervisione dei trasferimenti transfrontalieri di dati personali nelle bozze di regolamento, nonché la regolamentazione del trattamento di categorie speciali di dati personali, come i dati relativi ai minori o i dati sanitari, in base alla base giuridica stabilita dalla legge sulla protezione delle informazioni personali (“PIPL”).

DANIMARCA – Datatilsynet, Autorità garante danese, ha annunciato di aver avviato, in seguito alla segnalazione di un privato, un’indagine nei confronti della regione Jutland centrale. Il segnalante – paziente dell’ospedale universitario di Aarhus – aveva infatti denunciato l’uso da parte della struttura sanitaria del social Instagram. In particolare, l’Autorità ha riferito che sull’account social dell’ospedale era possibile ritrovare pubblicate foto dei propri pazienti, tali da rivelare informazioni personali sui pazienti interessati. Per tale ragione Datatilsynet ha inviato all’ospedale una serie di domande sull’utilizzo del social, tra le quali la base giuridica prescelta per il trattamento e i risultati delle valutazioni dei rischi e delle analisi d’impatto compiute.

REGNO UNITO – L’ICO ha recentemente manifestato alcune preoccupazioni riguardo all’utilizzo dell’intelligenza artificiale (“AI”) da parte delle autorità locali, dopo aver condotto un’indagine sullo sviluppo, lo scopo e le funzioni di algoritmi e sistemi utilizzati dalle autorità locali nel processo decisionale in merito al diritto a benefici nel sistema di welfare. L’ICO ha osservato che il coinvolgimento umano deve essere tenuto in considerazione prima che venga presa qualsiasi decisione definitiva sul diritto alle prestazioni, e che qualsiasi decisione deve considerare alcuni passaggi pratici, quali (i) adottare un approccio di protezione dei dati by design e by default; (ii) essere trasparenti su come vengono utilizzati i dati personali; (iii) identificare ogni potenziale rischio per la privacy delle persone, valutando la possibilità di condurre una valutazione dell’impatto sulla protezione dei dati (“DPIA”).

USA:

  • VIRGINIA – E’ stato approvato e aggiunto al Codice della West Virginia un articolo (HB 2460) che mira a fornire una effettiva protezione della privacy online per i minori, e delinea termini che includono informazioni su bambini, operatori, genitori e personali. L’art. HB 2460 stabilisce che gli operatori devono fornire avvisi sul sito Web di quali informazioni vengono raccolte dai bambini, di come l’operatore utilizza tali informazioni e le pratiche di divulgazione dell’operatore per tali informazioni.
  • MASSACHUSETTS – E’ Stata presentata in Massachusetts una proposta di legge sulla protezione dei dati personali, che stabilisce importanti principi in materia di protezione dei dati personali, tra i quali, che le entità interessate dalla normativa non potranno raccogliere, elaborare o trasferire dati personali, a meno che non siano limitati a ciò che è ragionevolmente necessario e proporzionato per scopi specifici. 

SANZIONI:

  • SPAGNA – L’Autorità spagnola per la protezione dei dati personali (AEPD) ha recentemente pubblicato una propria decisione nella quale ha inflitto una sanzione (50 mila euro, poi ridotta a 40 mila) alla società Endesa Energía per violazione dell’art. 32 GDPR. Chiamata ad indagare da un reclamo proposto da un privato, l’AEPD ha infatti scoperto che Endesa Energía aveva ceduto il contratto con il denunciante ad un’altra società, e ciò (i) senza raccogliere il consenso dell’interessato e (ii) senza fornire un SMS certificato idoneo a provare l’accettazione del contratto. L’Autorità ha pertanto constatato una violazione di riservatezza, in quanto la Endesa Energía ha consentito ad una entità terza di accedere ai dati di un proprio cliente senza una valida base giuridica. 
  • NORVEGIA – L’autorità garante norvegese (“Datatilsynet”) ha sanzionato una società di spedizioni e logistica per violazione dell’articolo 32 del GDPR, per aver condotto un’insufficiente valutazione dei rischi e per la mancanza di misure di sicurezza nell’utilizzo dell’applicazione MyPostNord, che utilizzava i numeri di telefono come unico mezzo di autenticazione per accedere al profilo del cliente. L’autorità garante ha affermato che l’utilizzo dei numeri di telefono come unico fattore di autenticazione e verifica avrebbe creato una violazione del principio di riservatezza, soprattutto nel caso in cui i numeri di telefono fossero assegnati a nuovi proprietari ma i profili di servizio della società non venissero aggiornati.
  • POLONIA – L’autorità garante polacca ha sanzionato uno studio legale, Titolare del trattamento, avente attività principale nella consulenza in materia di incidenti stradali. Nel corso di queste attività, il Titolare del trattamento ha interagito con potenziali clienti al fine di valutare la loro situazione giuridica e le possibilità di far valere i loro diritti, ma, prima di interagire con gli interessati, il Titolare ha chiesto verbalmente il consenso al trattamento dei loro dati personali, senza prendere nota e dare, di conseguenza, alcuna dimostrazione all’autorità dell’ottenimento legittimo di tale consenso.
Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Timon Studler grazie a Unsplash.