News #5/2023: enforcement privacy in UE, Metaverso e DSA nelle news di questa settimana
LE PRINCIPALI NEWS DELLA SETTIMANA:
- la Slovenia è l’ultimo stato UE (dopo quasi 5 anni) a implementare il GDPR;
- arriveranno report su come va l’enforcement privacy in UE;
- il Metaverso secondo il Garante italiano;
- in ascesa (seppur di poco) l’Italia nel Corruption Index pubblicato online.
IL PROFILO DA SEGUIRE:
- un gruppo di professionisti che ci informano di aspetti molto interessanti e li approfondiscono è Italian Privacy & Cybersecurity Think Tank, che consigliamo di seguire anche iscrivendosi alla newsletter settimanale, oltre al canale Telegram con cui restare sempre aggiornati.
QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..
- Superman (It’s Not Easy) – Five For Fighting (2000)
PRIVACY
SLOVENIA & GDPR – Dopo numerosi solleciti da parte della Commissione UE, finalmente la Slovenia ha adottato (il 27 dicembre 2022) la legge di implementazione del Regolamento Europeo 2016/679, che è ora entrata in vigore. Sono stati ora fatti alcuni lievi cambiamenti, tramite la legge nota come ZVOP-2, in particolare con riferimento a dati biometrici, regime del DPO e requisiti specifici per l’esecuzione della DPIA. Con questo passo, ora tutti gli Stati membri hanno implementato il Regolamento (come doveva avvenire nel 2018).
ENFORCEMENT IN UE – Come sta andando l’enforcement in materia privacy nell’Unione Europea? Se lo sta chiedendo la Commissione UE, e la risposta sembra essere “non benissimo, e non in modo uniforme”. Per ovviare alle divergenze di opinioni e approcci, che in alcuni casi (vedi Irlanda) portano a veri e propri scontri pubblici, la Commissione – in risposta all’Ombudsman UE a seguito di una segnalazione dell’ICCL – ha confermato che richiederà a ciascuna Autorità nazionale di fornire un report bimestrale. All’interno di esso – strettamente confidenziale, quindi purtroppo non li vedremo probabilmente mai – saranno indicate una serie di informazioni utili a tenere monitorata la situazione in Europa. Non ci resta che attendere il secondo report della Commissione UE sull’applicazione del GDPR per avere maggiori informazioni: ma già questa notizia fa ben sperare per un maggiore coordinamento tra Autorità nazionali – sia in ambito di sanzioni che di linee guida.
GARANTE PRIVACY SU METAVERSO – Nella 17° giornata europea della protezione dei dati personali, il Garante italiano ha messo in luce i rischi e le opportunità della nuova tecnologia. In linea con l’obiettivo dell’evento, l’intervento del Garante italiano ha approfondito le problematiche legate all’impatto che il Metaverso, definito un nuovo “habitat” digitale, avrà sulle relazioni sociali e sui comportamenti dei singoli, sulle loro libertà e diritti, così come sui processi decisionali della società.
GUIDA SUL DSA PER LE PIATTAFORME ONLINE – la Commissione europea ha annunciato di aver pubblicato una guida per aiutare le piattaforme online e i motori di ricerca che rientrano nell’ambito di applicazione della legge sui servizi digitali (“DSA”) a conformarsi all’obbligo di comunicare il numero di utenti nell’Unione europea, da ottemperare al più tardi entro il 17 febbraio 2023 e successivamente almeno ogni sei mesi.
INFOGRAFICA EDPB – Il garante europeo della protezione dei dati (“EDPB”) ha pubblicato un’infografica sui principali tipi di reclami e di consultazioni trattati nel 2022. In particolare, l’infografica del GEPD evidenzia che le più frequenti #consultazioni hanno riguardato (i) il concetto di titolare del trattamento, contitolare e responsabile; (ii) i trasferimenti internazionali di dati; (iii) norme interne sulla protezione dei dati. Inoltre, l’infografica dell’EDPB ha illustrato che i #reclami ricevuti nel 2022 hanno riguardato principalmente (i) il diritto di accesso dei soggetti interessati; (ii) il diritto alla cancellazione e (iii) la raccolta adeguata e proporzionata di dati personali.
D. LGS. 231
CORRUPTION PERCEPTION INDEX – Transparency International – l’associazione non governativa che si occupa di corruzione a livello internazionale – ha pubblicato lo scorso 31 gennaio il Corruption Perception Index relativo all’anno 2022. Il documento classifica ogni anno i Paesi in base al loro livello di corruzione percepito nel settore pubblico su una scala di punteggio da 0 (massimo livello di corruzione percepita) a 100 (minimo livello). Danimarca, Nuova Zelanda e Finlandia si confermano i Paesi in cui la percezione della corruzione è minore a livello globale; in fondo alla classifica, Sud Sudan, Siria e Somalia. In ascesa l’Italia, che pur confermando il punteggio dell’anno precedente (56/100) scala in positivo di una posizione la classifica mondiale.
ODV – La Corte d’Appello di Venezia è intervenuta (con sentenza n. 3348, disponibile gratuitamente per gli iscritti all’Associazione Aodv231) in materia di effettività e autonomia dell’Organismo di Vigilanza. La vicenda, in particolare, è quella di un istituto di credito chiamato a rispondere dei reati di aggiotaggio, ostacolo all’esercizio delle funzioni delle Autorità di vigilanza e falso in prospetto. Nel confermare la condanna per l’ente (con riduzione, però, dell’ammontare della pena inflitta dalla decisione di primo grado) i giudici hanno specificato che il Modello organizzativo adottato dall’istituto di credito introduceva un OdV talmente privo di autonomia, da non costituire in concreto un vero e proprio ostacolo alla commissione dei reati-presupposto previsti dal Decreto 231.
BANCA D’ITALIA E ANTIRICICLAGGIO – La Banca d’Italia ha rafforzato l’attività di vigilanza in materia di antiriciclaggio, e ha pubblicato sul proprio sito internet una nuova sezione dedicata (sezione “Supervisione e Normativa Antiriciclaggio”), che fornisce agli utenti linee guida sulla normativa antiriciclaggio a livello internazionale, europeo e nazionale. Inoltre, nella sezione è presente un questionario che le banche e gli intermediari finanziari, soggetti ai poteri regolamentari e di vigilanza della Banca d’Italia, dovranno compilare per permettere la raccolta di dati a fini di statistiche e osservazioni sull’antiriciclaggio.
MERCATI DIGITALI
CICLO DI VITA DEI PRODOTTI – L’Unione europea sta recentemente valutando la possibilità di adeguare la definizione del ciclo di vita di ciascun prodotto alle sue specifiche peculiarità e spostare le segnalazioni delle vulnerabilità a livello nazionale. Tali valutazioni sono attualmente contenute all’interno di un nuovo compromesso sul #CyberResilienceAct (la proposta legislativa dell’UE finalizzata a introdurre requisiti minimi di sicurezza informatica per l’ “Internet of Things”). Se in principio Cyber Resilience Act imponeva ad ogni produttore di garantire i prodotti immessi sul mercato per tutto il ciclo di vita del singolo prodotto o per un massimo di cinque anni, la nuova proposta – riconoscendo che ogni prodotto è diverso dall’altro e che, di conseguenza, non è possibile fissare indistintamente un ciclo di vita unico per tutti i prodotti – stabilisce che i produttori devono garantire i loro prodotti con elementi digitali “per un periodo di tempo adeguato al tipo di prodotto e alla sua durata prevista”. Per quanto riguarda le segnalazioni delle vulnerabilità, il vecchio testo individuava nell’ENISA il soggetto competente alla loro ricezione. Tuttavia, a fronte dei dubbi circa le concrete capacità dell’Agenzia europea per cybersicurezza di gestire migliaia di notifiche, è stato proposto di dirottare le segnalazioni al Computer Security Incident Response Team (CSIRT) di ciascuno stato membro. La proposta sarà ora discussa a livello tecnico, per comprenderne la fattibilità.
ARTIFACT – Dalle menti di Kevin Systrom e Mike Krieger (co-founder di Instagram) è di recente nata Artifact, una nuova app di notizie personalizzate che utilizza tecnologie di apprendimento automatico per comprendere i gusti dei suoi utenti. La logica di funzionamento di Artifact pare essere la stessa di TikTok: basterà cliccare su un articolo di proprio gradimento per vedere in futuro contenuti simili. Al momento Artifact non è ancora aperta al grande pubblico, ma esiste già una lista d’attesa che consente ai suoi iscritti di vedere il feed centrale. Intanto, nell’attesa, gli utenti beta stanno testando altre due funzionalità dell’app.
CONSUMATORI E TARGETING POLITICO – La Commissione per il Mercato Interno e la Protezione dei Consumatori del Parlamento europeo (“IMCO”) potrebbe inasprire le norme sulla pubblicità politica per ridurre le interferenze elettorali e migliorare la trasparenza. La proposta dell’IMCO consente agli inserzionisti di utilizzare solo i dati personali espressamente forniti a fini di pubblicità politica. Ciò vieterebbe il “micro-targeting” degli elettori “sulla base del sesso, della razza, dell’orientamento sessuale o di altre caratteristiche individuali”, così come l’uso dei dati dei bambini. La proposta include anche regole per rendere più trasparenti i finanziatori dei candidati.
INVESTIMENTI PNRR PER IL DIGITALE – Il report dell’Istituto per la Competitività (“I-Com”) realizzato dalla Commissione del Parlamento europeo sullo stato d’attuazione dei Piani di ripresa e resilienza (“PNRR”) degli Stati membri in ambito digitale, mostra che l’Italia si colloca al primo posto in Europa per entità degli investimenti nel digitale legati al Pnrr. In generale, l’Italia ha impegnato una quota del 26,7% in cybersecurity, nelle reti e nelle competenze digitali delle imprese. Si rileva anche, però, che manca una visione comune dello sviluppo delle tecnologie avanzate, a partire dall’intelligenza artificiale, coerente con gli obiettivi di autonomia strategica e di competitività che l’Unione europea si sta dando.
CONTACT CENTER AS A SERVICE (“CCaaS”) – Un customer journey efficiente oggi deve essere in grado di attraversare qualsiasi canale e qualsiasi dispositivo, mantenendo costantemente il contatto con il brand e offrendo una esperienza consistente tra i diversi canali. Un’esigenza che trova risposta, grazie al cloud computing, in una nuova generazione di Contact Center as a Service, mercato che ha visto una forte accelerazione nel periodo della pandemia, perché ha permesso, in modo agile e veloce, di abilitare canali di contatto con i clienti o i cittadini. Un recente studio illustra nel dettaglio i benefici che le aziende possono ottenere con un Contact Center as a Service, tra i quali (i) la flessibilità e la scalabilità del contact center in cloud, (ii) la capacità di organizzazione per migliorare la qualità del servizio, (iii) il modello della Total Experience, (iv) la flessibilità nella pianificazione degli investimenti in CCaaS, (v) il ruolo dell’Intelligenza Artificiale nel Contact Center as a Service.
ALTRE NEWS DAL MONDO
FRANCIA – L’Autorità francese per la protezione dei dati (CNIL) ha recentemente reso noto di aver pubblicato una guida per fornire indicazioni ai recruiter in materia di trattamento dei dati personali dei candidati. La guida si compone di due sezioni: la prima contiene un richiamo ai principi generali fissati dal GDPR in materia di assunzioni, mentre la seconda contiene una serie di domande e risposte in materia di utilizzo di nuove tecnologie durante il processo di selezione dei candidati.
REPUBBLICA CECA – L’Agenzia nazionale per la sicurezza informatica e dell’informazione ceca (NÚKIB) ha di recente dichiarato di avere preparato un progetto di legge sulla sicurezza informatica in vista del recepimento della direttiva cd. NIS 2. Attualmente la bozza di legge è aperta alla consultazione pubblica fino al prossimo 26 febbraio.
ANDORRA – L’Autorità garante di Andorra (“APDA”) ha recentemente pubblicato una linea guida in materia di valutazione di impatto (cd. DPIA) ai sensi della legge nazionale sulla protezione dei dati personali. Con tale linea guida l’APDA propone un modello di DPIA sostanzialmente equivalente allo standard europeo.
COREA DEL SUD – La Commissione per la protezione delle informazioni personali coreana (PIPC) ha annunciato di aver rilasciato la versione aggiornata delle linee guida in materia di protezione dei dati personali in materia di lavoro e occupazione. Scopo delle linee guida è migliorare il livello di protezione delle informazioni personali nel contesto lavorativo.
SINGAPORE – Lo scorso 1 febbraio è entrato in vigore l’Online Safety Bill, il disegno di legge in materia di sicurezza online. La nuova legge prevede, in particolare, che i servizi di comunicazione online devono, tra le altre cose, (i) fornire un ambiente online sicuro, (ii) dare prioritaria protezione a quelle categorie di utenti finali che, come i minori, sono maggiormente esposte al rischio di esposizione a contenuti dannosi.
GIAPPONE – La nota società automobilistica Kitakanto Mazda Co. Ltd ha di recente reso noto di essere stata colpita da una violazione di dati personali. Secondo quanto affermato da Mazda, a causare il data breach (che ha coinvolto i dati di circa 50 mila clienti) sarebbe stato l’accesso non autorizzato da parte di terzi nei propri sistemi. La società – che ha già provveduto a segnalare la violazione alle autorità competenti – è ora impegnata a migliorare i propri sistemi di sicurezza.
USA:
- il National Institute of Standards and Technology (“NIST”) ha pubblicato l’Artificial Intelligence Risk Management Framework (“AI RMF”), un documento di orientamento rivolto alle organizzazioni che progettano, sviluppano, distribuiscono o utilizzano sistemi di intelligenza artificiale (“AI”) per contribuire a gestire efficacemente i rischi delle tecnologie AI. In particolare, il NIST ha sottolineato che l’AI RMF è destinato ad adattarsi al panorama dell’AI insieme allo sviluppo delle tecnologie, e ad essere utilizzato dalle organizzazioni in modo che la società possa trarre vantaggio dalle tecnologie dell’IA e allo stesso tempo essere protetta dai suoi potenziali danni.
- la Federal Trade Commission ha di recente annunciato la sua proposta di multare la GoodRx Holdings Inc per 1,5 milioni di dollari in conseguenza della divulgazione di informazioni personali sanitarie a terzi e della mancata notifica ai consumatori. Dalle indagini dell’Autorità è infatti emerso che GoodRx – società che gestisce una piattaforma sanitaria digitale che offre sconti per diversi servizi sanitari – ha condiviso le informazioni sanitarie dei suoi utenti con piattaforme come Google e Facebook (e, in quest’ultimo caso, ha anche sfruttato le informazioni condivise per indirizzare gli utenti verso campagne pubblicitarie mirate).
- CALIFORNIA – Rob Bonta, Procuratore generale della California, ha annunciato di aver avviato una indagine nei confronti delle aziende con app mobili che non rispettano il CCPA (California Consumer Privacy Act 2018). In particolare, l’indagine governativa si concentra su tutte le app “popolari” che (i) presumibilmente non soddisfano le richieste degli utenti di rinuncia o (ii) non prevedono alcun meccanismo che consenta ai consumatori di interrompere la vendita dei propri dati personali.
- NEW YORK – è stato presentato al Senato dello Stato di New York il disegno di legge nr. 2998 per un atto di modifica del diritto commerciale generale, in relazione all’istituzione della legge sulla protezione dei consumatori online. La proposta normativa prevede, tra le altre cose, che le reti pubblicitarie debbano pubblicare un avviso chiaro e ben visibile sulla home page del loro sito Web relativamente alla loro politica sulla privacy e sulle pratiche di raccolta e utilizzo dei dati. Inoltre, la bozza di testo legislativo prevede che gli editori di una pagina web dovranno, in ogni contratto con una rete pubblicitaria, pubblicare un avviso chiaro e ben visibile che descriva la raccolta e l’uso delle informazioni da parte della rete pubblicitaria.
Immagine di copertina di Denys Nevozhai grazie a Unsplash.