News #48: NIS-2 e norme UE in arrivo sulla interoperabilità nella PA; nuovi spunti sui data transfer verso gli USA; problemi per Meta e WhatsAppNews
Immagine di copertina di Miguel A Amutio grazie a Unsplash.
PRIVACY & CYBERSECURITY
REGOLAMENTO EUROPEO SULL’INTEROPERABILITA’ – La Commissione europea ha proposto – per ora solo a livello politico – una bozza di testo normativo (“Interoperable Europe Act” nr. COM(2022)720) per sviluppare e armonizzare il panorama europeo di disciplina digitale delle #PubblicheAmministrazioni, con attenzione all’interoperabilità, intesa come la capacità dei sistemi o delle organizzazioni di cooperare al fine di perseguire scopi condivisi a livello europeo. La norma, che dovrà coordinarsi attentamente con quanto previsto dal Data Governance Act sui dati coinvolti, avrà l’obiettivo di portare l’Unione europea a una rete di Pubbliche Amministrazioni interconnesse, che collaboreranno per promuovere l’innovazione e ridurre la frammentazione delle politiche di perseguimento degli obiettivi digitali dell’Unione europea per il 2030.
NEWSLETTER GARANTE – Pubblicata lo scorso 28 novembre l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) la maxi sanzione a #Douglas per molteplici violazioni del GDPR; (ii) la sanzione a #Vodafone al fine di garantire comunicazioni di #telemarketing più trasparenti; (iii) la sanzione ad una ASL valdostana per mancata tutela dei dati sanitari dei pazienti presenti nel #dossiersanitario; (iv) il parere positivo del Garante in merito alla bozza di decreto legislativo che istituisce il cd. #SICONBEP, il nuovo sistema informativo di rilevazione delle concessioni di beni pubblici.
DIRETTIVA NIS2 – Il Consiglio dell’Unione ha recentemente adottato una nuova normativa con l’obiettivo di istituire un livello di #cybersicurezza comune per tutti i Paesi dell’UE, in settori quali – tra gli altri – l’energia, i trasporti e la sanità. La nuova Direttiva, cd. #Nis2 – che va a sostituire la precedente, cd.Nis (Network and Information Security Directive) – oltre a stabilire le regole e i meccanismi per una efficace collaborazione tra le Autorità di ciascuno Stato membro, andrà ad istituire anche l’ #EU-cyCLONe, la rete europea di organizzazioni di collegamento per le crisi informatiche al fine di supportare una gestione coordinata di incidenti di sicurezza su larga scala. Dall’entrata in vigore della Direttiva (e cioè dal ventunesimo giorno dalla pubblicazione in Gazzetto Ufficiale) gli Stati membri avranno 21 mesi per adeguarsi alla nuova normativa.
DA AMBURGO ARRIVANO OSSERVAZIONI SUI TRASFERIMENTI INTERNAZIONALI … – L’Autorità garante di Amburgo (“HmbBfDI”) ha pubblicato il 29 novembre le sue osservazioni sulla proposta di Accordo sulla privacy dei dati UE-USA. L’HmbBfDI ha suggerito che le valutazioni d’impatto sul trasferimento dei dati seguano le indicazioni della sentenza della Corte di Giustizia dell’Unione europea sui trasferimenti di dati tra l’Unione europea e gli Stati Uniti fino alla finalizzazione dell’accordo proposto. L’HmbBfDI ha inoltre sostenuto che l’executive order statunitense merita un esame approfondito, e che l’effettiva applicazione delle disposizioni in materia di proporzionalità del trattamento sarà monitorata attentamente.
… MENTRE L’AUTORITÀ FEDERALE TEDESCA BOCCIA OFFICE365 – L’Autorità federale tedesca per la protezione dei dati (“DSK”) ha affermato in un rapporto che l’utilizzo di Microsoft Office365 nelle scuole tedesche non è conforme al GDPR. Secondo la DSK, Microsoft non rivela con sufficiente precisione quali operazioni di elaborazione dei dati sono poste in essere, né quali operazioni di elaborazione vengono eseguite per conto del cliente o quali vengono eseguite per i propri scopi. In particolare, i documenti contrattuali non sono precisi a riguardo e non consentono una valutazione complessiva del trattamento, che può essere anche esteso per finalità proprie dell’azienda. Dai confronti emersi con il gruppo di lavoro di Microsoft, è stato confermato che i dati personali vengono anche trasferiti negli Stati Uniti quando si utilizza O365, sostenendo il provider che sarebbe possibile utilizzare Microsoft 365 senza trasferire i dati personali negli Stati Uniti.
MoU EDPS/ENISA – Nell’ottica di una collaborazione strategica, è stato recentemente firmato un Memorandum of Understanding tra il Garante europeo (EDPS) e l’Agenzia europea per la sicurezza informatica (ENISA). Il documento mira a promuovere una maggiore consapevolezza della privacy e della sicurezza informatica, anche promuovendo tale consapevolezza nelle altre istituzioni e agenzie dell’Unione.
RIUNIONE PLENARIA EDPB – Il 2 dicembre 2022 il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato l’ordine del giorno della sua 72° riunione plenaria, prevista per il 5 dicembre 2022. Saranno discusse le decisioni prese nell’ambito del meccanismo di coerenza ai sensi dell’articolo 65(1)(a) GDPR in merito alle controversie sorte sui progetti di decisione della Commissione per la protezione dei dati nei confronti di Facebook e Instagram, e nei confronti di WhatsApp.
D. LGS. 231 & PENALE
e-EVIDENCE – Lo scorso 29 novembre la Commissione Europea ha diffuso un comunicato stampa all’interno del quale ha espresso il proprio parere positivo in merito all’accordo provvisorio raggiunto tra Parlamento e Consiglio d’Europa sulle nuove norme in materia di #condivisione, tra gli Stati Membri, di #proveelettroniche. L’accordo si configura come il punto di partenza per la formulazione di due proposte di direttiva, l’una relativa alla nomina dei rappresentanti legali ai fini della raccolta di prove nell’ambito dei procedimenti penali, l’altra in materia di produzione e conservazione delle prove elettroniche, sempre in materia penale.
AMMINISTRATORE INDAGATO – Con le sentenze nn. 44372 e 44373 (consultabili gratuitamente per gli iscritti all’associazione AODV231) la Corte di Cassazione ha stabilito che, in tema di rappresentanza dell’ente in giudizio, ex art. 39 del #Decreto231, sussiste sempre il #conflittodiinteressi per il legale rappresentante della società indagato per un reato presupposto, anche laddove la responsabilità dell’ente non sia stata accertata o addirittura contestata.
PRESCRIZIONE E CONTESTAZIONE DELL’ILLECITO – Il Tribunale di Milano nella sentenza n. 2993/2022 (consultabile gratuitamente per gli iscritti all’associazione AODV231) ha stabilito che l’istanza di patteggiamento concordata tra difesa e accusa, trasmessa al G.I.P. nel corso delle indagini preliminari, è sufficiente a interrompere la prescrizione dell’illecito a carico della società. Ai fini dell’interruzione del termine di prescrizione, la trasmissione al giudice per l’applicazione concordata della sanzione ex art. 63 D.Lgs. n. 231/2001 deve essere considerata un atto idoneo a definire la contestazione mossa dal pubblico ministero nei confronti dell’ente.
TARANTO – CONDANNA AD AZIENDE SIDERURGICHE – La Corte di Assise di Taranto nella sentenza R.G. 1/2021 del 28 novembre ha riconosciuto la responsabilità ed applicato sanzioni pecuniarie, interdittive, confische e pubblicità del provvedimento a carico di società operanti nel campo della produzione e del commercio di acciaio, per gli illeciti relativi ai reati presupposto di associazione per delinquere, delitti corruttivi e ambientali. Come si legge nella sentenza della Corte d’Assise, tali enti, nell’espletamento degli adempimenti previsti dalle norme vigenti in materia di tutela ambientale, di prevenzione degli incidenti rilevanti e di igiene e sicurezza sul lavoro, agendo nell’interesse ed a vantaggio delle medesime società, procuravano danni ambientali, fatti corruttivi, anche associandosi tra loro allo scopo di commettere i reati, omettendo di provvedere all’attuazione delle misure di sicurezza, prevenzione e protezione dell’ambiente e della salute e sicurezza dei lavoratori di cui lo stabilimento siderurgico di Taranto necessitava.
MERCATI DIGITALI
UE/TWITTER – Gli occhi della Commissione europea sono tutti puntati su #Twitter. Nel corso di una videochiamata, Thierry Breton – commissario per il mercato interno – ha rappresentato a #ElonMusk tutte le sue “raccomandazioni” affinché il social rispetti la nuova normativa comunitaria in materia di servizi digitali, il cd. #DSA. La nuova legge europea prevede infatti, tra le altre cose, una serie di valutazioni da svolgersi con cadenza annuale finalizzate a valutare i rischi connessi a situazioni quali (i) la violazione di diritti, soprattutto se di minori, e (ii) la diffusione di notizie false. Al termine dell’incontro il commissario Breton si è espresso favorevolmente in merito alla proposta di Musk di un “Twitter 2.0” conforme al DSA. Secondo alcune fonti, all’inizio del 2023 la Commissione provvederà a effettuare uno #stresstest presso la sede della società; nel frattempo, si vocifera di un nuovo “data breach” di grande importanza che avrebbe colpito proprio Twitter.
META – La Commissione per la protezione dei dati irlandese (DPC) ha di recente reso pubblica la sua decisione di multare #MetaIreland – sede “locale” europea di #Facebook – per ben 265 milioni di euro, oltre a quella di imporre l’adozione di misure correttive conseguenti alla violazione dell’art. 25 GDPR (dunque, delle disposizioni dettate in materia di #PrivacybyDesign e #PrivacybyDefault). La decisione dell’Autorità arriva all’esito di un’inchiesta partita nell’aprile 2021 in seguito alla scoperta di un set di dati personali – raccolti su Facebook – resi disponibili online.
WHATSAPP E DARK WEB – Secondo quanto riportato sul sito ufficiale del Garante svizzero (FDPIC), i dati personali di circa 550 milioni di utenti di #WhatsApp sarebbe stati messi in vendita sul #darkweb. Dalle fonti attualmente disponibili non sarebbe possibile, ancora, stabilire chi sia l’autore di tale azione. In attesa di ulteriori accertamenti, la raccomandazione dell’Autorità è pertanto quella di verificare sempre l’autore del messaggio, procedendo a bloccare e cancellare il numero nel caso in cui dovesse riscontrarsi qualche “stranezza”.
COPYRIGHT – CONFERMATA LA CONDANNA A CLOUDFLARE – Con la sentenza dello scorso 4 novembre (resa nota da poco), il Tribunale di Milano ha confermato l’ingiunzione a Cloudflare – società americana che fornisce servizi DNS – che impone il blocco di alcuni siti torrent che violano il diritto d’autore di diverse case musicali, rendendo illegittimamente disponibili al pubblico i brani musicali. Cloudflare aveva proposto appello contro la sentenza di primo grado, ma la Corte meneghina ha confermato la sentenza del giudice di prime cure, affermando che gli intermediari online che offrono questo tipo di servizi di risoluzione DNS possono essere soggetti al dovere di agire in modo efficace se i loro servizi sono utilizzati per la pirateria musicale.
RAPPORTO CENSIS SULLE COMPETENZE DIGITALI – Secondo il 56esimo rapporto Censis sulla situazione sociale del Paese/2022, le attività quotidiane mediate da Internet hanno registrato un notevole incremento: dal reperimento di informazioni su aziende, prodotti, servizi, allo shopping online, l’ascolto di musica e la gestione di operazioni bancarie. In generale, le opinioni degli italiani convergono anche sull’utilità dello smart working. Un altro dato interessante rilevato dal report è che la spesa delle famiglie per i consumi mediatici, in particolare la spesa per l’acquisto di telefoni e equipaggiamento telefonico, ha subito un enorme incremento, moltiplicando per oltre cinque volte il suo valore rispetto agli anni precedenti.
NEWS DAL MONDO
SINGAPORE – La Commissione per la protezione dei dati personali di Singapore (PDPC) ha recentemente reso pubblica una decisione con la quale ha inflitto ad un ospedale una sanzione di 58 mila SGD (all’incirca 40 mila euro) per violazione dei dati personali. In particolare, pare che la Commissione abbia ricevuto una segnalazione secondo la quale due dipendenti avevano inoltrato ad indirizzi terzi oltre 9 mila e-mail, contenenti dati personali di oltre 3 mila dipendenti. Sebbene l’ospedale abbia provveduto a porre in essere misure correttive per mitigare le conseguenze dell’incidente, è stata riscontrata una inefficiente predisposizione di misure di sicurezza volte a garantire la protezione dei dati contenuti nelle caselle di posta elettronica.
FRANCIA – L’Autorità francese per la protezione dei dati (“CNIL”) ha comminato una sanzione di 600.000 euro a una società di servizi, contestando tre violazioni del GDPR riguardanti (i) la mancata dimostrazione dell’acquisizione di un consenso preventivo nell’ambito di una campagna di promozioni commerciali per via elettronica; (ii) l’omissione dell’informazione ai clienti della base giuridica per l’utilizzo dei loro dati personali e (iii) la mancata protezione dei dati personali dopo che le credenziali di 25.000 account, destinatari di un bonus da parte della società, non erano state archiviate in modo sicuro.
GUERNSEY – La ODPA, Autorità garante del Guernsey – isola alle dipendenza della Corona Britannica – ha recentemente pubblicato una guida sui trasferimenti internazionali di dati personali. Il documento, in particolare, evidenzia la necessità che, entro il 27 dicembre, tutte le organizzazioni locali si adeguino alle nuove Clausole Contrattuali Tipo al fine di assicurare che tutti i trasferimenti extra SEE avvengano secondo gli standard di sicurezza fissati dalla Commissione Europea.
ISRAELE – E’ stata avviata una consultazione pubblica sulla bozza di regolamento per la protezione dei dati personali nei trasferimenti dallo Spazio Economico Europeo (“SEE”), con l’obiettivo di stabilire istruzioni relative alle informazioni trasferite in Israele dal SEE, a seguito del processo di revisione dell’adeguatezza di Israele – attualmente in corso da parte della Commissione europea.
ARGENTINA – L’autorità argentina per la protezione dei dati (“AAIP”) ha annunciato, il 29 novembre 2022, che è stato istituito un modulo web per la registrazione dei Titolari del trattamento dei dati che non risiedono in Argentina. Il modulo è destinato a persone fisiche o giuridiche che trattano dati personali di soggetti interessati argentini, ma che non sono stabiliti nel territorio.
NIGERIA – La nigeriana National Information Technology Development Agency (NITDA) ha recentemente reso nota su Twitter una presunta violazione di dati personali da parte di #WhatsApp. Secondo le informazioni in possesso all’Autorità, sarebbero oltre 500 milioni numeri di telefono in tutto il mondo, 9 milioni dei quali riconducibili ad utenti nigeriani. A fronte di questa notizia, la NITDA sta raccomandando a tutti gli utenti di WhasApp di abilitare l’autenticazione a due fattori, di non condividere tramite l’app informazioni personali e di non rispondere a messaggi provenienti da contatti sconosciuti.
BELGIO – Pubblicato il report annuale dell’Autorità belga per la protezione dei dati, che ha definito il 2021 un anno record, con un aumento dell’87% delle richieste di consulenza in materia di privacy e del 181% i reclami e le richieste di riscontro, rispetto al 2020. La violazione dei dati legata alla vicenda Facebook-Meta nel 2021 ha contribuito alle alte cifre rilevate rispetto ai reclami, insieme al fattore della pandemia da Covid-19, che ha comportato decisioni relative all’applicazione delle norme in materia di privacy e alla pubblicazione di linee guida sul trattamento dei dati.
BRASILE – Il Brasile ha aderito il 1 dicembre alla Convenzione di Budapest sulla criminalità informatica, e altri sei Paesi (Croazia, Moldavia, Slovenia, Sri Lanka, Ucraina e Regno Unito) hanno firmato il secondo protocollo aggiuntivo alla Convenzione sulla cooperazione rafforzata e la divulgazione delle prove elettroniche.
Immagine di copertina di Miguel A Amutio grazie a Unsplash.
