Articoli

News #13/2023: in Italia chiude d’urgenza ChatGPT, mentre arriva un codice di condotta per i call-center (e le altre news della settimana)

LE PRINCIPALI NEWS DELLA SETTIMANA

  • provvedimento d’urgenza del Garante italiano che, di fatto, disabilita la fruizione di ChatGPT (OpenAI) in Italia, almeno temporaneamente;
  • intanto, viene pubblicato un Codice di Condotta che dovrebbe limitare la “piaga” del telemarketing selvaggio, dopo che il Registro delle Opposizioni ha evidentemente fallito;
  • Meta passa al “legittimo interesse” come base giuridica per l’advertising su Facebook e Instagram, aggiungendo un altro tassello alla battaglia in corso tra Europa, Irlanda e il colosso di Menlo Park;
  • pubblicato in G.U. il “nuovo codice degli appalti”, che modifica la disciplina con forti impatti sul mondo 231.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana segnaliamo il profilo LinkedIn dell’EDPS e, in particolare, la pagina web dedicata ai #podcast. Coerentemente con lo scopo dell’Autorità di divulgazione delle buone pratiche in UE, sono due i #format resi attualmente disponibili: (i) Newsletter Digest, un podcast mensile che raccoglie gli ultimi pareri emessi, i commenti formali, pubblicazioni ed eventi; e (ii) EDPS on Air, singoli podcast o brevi serie attraverso le quali l’Autorità affronta di volta in volta diversi e rilevanti argomenti, come la tecnologia e l’intelligenza artificiale.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • The World Is Not Enough – Garbage (1999 – James Bond Theme)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

CHAT GPT – Con un comunicato dello scorso 31 marzo il Garante per la protezione dei dati personali ha reso noto di aver adottato un provvedimento che dispone il blocco di #ChatGPT. Secondo l’Autorità, infatti, #OpenAI – la società statunitense che ha sviluppato e che gestisce la piattaforma – non rispetta la normativa europea in materia di protezione dei dati personali. In particolare, l’Autorità ha riscontrato: (i) l’assenza di una adeguata informativa agli utenti; (ii) la mancata selezione di una base giuridica idonea a giustificare la raccolta e la conservazione dei dati degli utenti; (iii) l’inesistenza di un filtro capace di verificare l’età degli utenti, nonostante la piattaforma dichiari di indirizzarsi esclusivamente ad utenti di almeno 13 anni di età. OpenAI – nei cui confronti è ora in corso un’istruttoria – dispone ora di 20 giorni per comunicare le misure adottate per ottemperare alle richieste del Garante. Nel frattempo, nella giornata di ieri ha disabilitato il servizio per gli utenti con IP italiano.

CODICE DI CONDOTTA TELEMARKETING – È stato approvato dal Garante per la protezione dei dati personali il Codice di condotta per le attività di telemarketing e teleselling promosso da un gruppo eterogeneo di soggetti, tra cui call center, teleseller e associazioni di consumatori. Il codice diverrà efficace una volta conclusa la fase di accreditamento dell’Organismo di monitoraggio e la successiva pubblicazione in Gazzetta Ufficiale.

ADV META – Lo scorso 30 marzo l’organizzazione NOYB (None of your business) ha reso noto attraverso un comunicato sul proprio sito web la notizia – riportata già dal Wall Street Journal – secondo cui #Meta starebbe operando il passaggio alla base giuridica del #legittimo #interesse per quanto riguarda le attività di trattamento relative alla pubblicità. Il caso di Meta è particolare: mentre la gran parte delle società tratta i dati a fini pubblicitari sulla base del consenso degli utenti (cd. opt-in), il colosso di Menlo Park già allo stato attuale si trova in una posizione di sostanziale illiceità, avendo fin ora optato per il contratto quale base giuridica del trattamento ai fini dell’ #adv. Per NOYB – che ha già annunciato una imminente azione legale – si tratterebbe, in buona sostanza, di una pratica illegale in sostituzione di altra pratica illegale.

PLENARIA EDPB – Il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato l’ordine del giorno della sua prossima riunione plenaria, il 28 marzo 2023. L’EDPB discuterà, tra le altre cose: (i) le linee guida 01/2022 sui diritti degli interessati e in particolare sul diritto di accesso; (ii) l’aggiornamento delle linee guida 8/2022 sull’identificazione dell’autorità di controllo capofila del titolare o del responsabile del trattamento; (iii) l’aggiornamento delle linee guida 9/2022 sulla notifica di violazione dei dati personali ai sensi del GDPR. Inoltre, l’ordine del giorno specifica che l’EDPB esaminerà una richiesta di mandato per la creazione di una task force sull’interazione tra protezione dei dati, concorrenza e tutela dei consumatori.

ENISA – L’Agenzia dell’Unione europea per la cybersicurezza (“ENISA”) ha annunciato, il 28 marzo 2023, di aver rilasciato uno strumento per aiutare le piccole e medie imprese (“PMI”) a valutare il livello di maturità della loro sicurezza informatica. In particolare, l’ENISA ha evidenziato che lo strumento include le seguenti funzionalità: (i) valutazione della sicurezza informatica in una scala che va da “base” ad “avanzato o esperto”, ed è parametrata alle dimensioni dell’impresa, al budget disponibile, al settore di attività, all’identificazione degli asset generici, ed altro.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CODICE DEGLI APPALTI – Con una approvazione dell’ultim’ora, è stato pubblicato in Gazzetta Ufficiale (serie generale n. 77 del 31 marzo, supplemento ordinario n. 12) il “Nuovo Codice Appalti”, ovvero il D. Lgs. 36/2023, mentre il precedente D. Lgs. 50/2016 andrà in pensione tra circa tre mesi. Un “mostro” di 556 pagine – allegati inclusi – che andrà studiato dagli operatori del settore, avendo forte impatto anche sulle attività di compliance aziendale, e che in questo post viene proposto con collegamenti ipertestuali e l’indicazione delle parti modificate e aggiornate.

RIFORMA FISCALE – È stato recentemente approvato dal Consiglio dei Ministri il Disegno di Legge delega sulla riforma fiscale con il quale il Governo è stato incaricato di introdurre, tra i reati-presupposto del Decreto 231/2001, gli illeciti tributari connessi alle accise. In particolare, l’art. 18 prescrive di estendere la punibilità degli enti anche alle ipotesi previste dal D. Lgs. 504/95 “Testo unico delle disposizioni legislative concernenti le imposte sulla produzione e sui consumi e relative sanzioni penali e amministrative”. Inoltre, in materia di #contrabbando, viene conferita la delega per consentire l’applicabilità delle sanzioni interdittive di cui all’art. 9, comma 2 lett. a) e b) in caso di commissione degli illeciti previsti dall’art. 25-sexiesdecies del Decreto 231. L’esecutivo dispone ora di 24 mesi per adottare i decreti legislativi.

WHISTLEBLOWING – Nel corso dell’ottava assemblea del Network of European Integrity and Whistleblowing Authorities” (cd. Neiwa, organismo composto da 34 autorità rappresentative di 25 stati membri dell’Unione) – tenutasi a Roma lo scorso 24 marzo – è stata sottoscritta una dichiarazione finalizzata a “coordinare gli sforzi per il rafforzamento della protezione dei whistleblowers attraverso lo scambio di conoscenze pratiche; unire le forze e, quando necessario, parlare con una sola voce; collaborare come interlocutore chiave con istituzioni pubbliche e organizzazioni private europee e internazionali”. In particolare, nel corso dell’incontro il Naiwa ha concentrato la propria attenzione allo stato di attuazione della Direttiva 2019/1937 (cd. Direttiva Whistleblowing) e sulle leggi nazionali attualmente approvate in materia.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

IDENTITA’ DIGITALE – Il Parlamento europeo ha avviato i colloqui con il Consiglio dell’Unione europea in merito alla proposta di regolamento sull’identità europea digitale, emanata dalla Commissione europea nel giugno 2021. In particolare, il Parlamento ha precisato che la proposta di regolamento consentirà ai cittadini identificarsi e autenticarsi online tramite un portafoglio di identità digitale europeo, senza dover ricorrere a fornitori commerciali, dando così agli utenti il pieno controllo dei propri dati. Per quanto riguarda i prossimi passi, il Parlamento ha precisato che, dopo l’approvazione della sua plenaria, le discussioni con il Consiglio sulla forma finale del regolamento possono iniziare immediatamente, chiarendo che la sua posizione durante i negoziati si baserà sugli emendamenti adottati dalla commissione Industria, ricerca ed energia a febbraio 2023.

DATA ACT – I rappresentanti degli Stati membri dell’Unione europea hanno raggiunto una posizione comune (“mandato negoziale”) riguardo al Data Act, che consente al Consiglio di avviare i negoziati con il Parlamento europeo sulla proposta legislativa riguardante le norme armonizzate sull’accesso equo ai dati e sul loro utilizzo. L’accordo ha l’obiettivo di facilitare la trasformazione digitale delle società ed economie, dato che la normativa sui dati sfrutterà le potenzialità economiche e sociali dei dati e delle tecnologie in linea con le norme e i principi fondamentali dell’Unione europea. Contribuirà inoltre alla creazione di un mercato unico per consentire la libera circolazione dei dati all’interno dell’Unione e tra i vari settori, a beneficio delle imprese, dei ricercatori, delle pubbliche amministrazioni e della società in generale.

RACCOMANDAZIONI CONSUMATORI – L’Organizzazione europea dei consumatori ha pubblicato, il 24 marzo 2023, alcune raccomandazioni in relazione all’iniziativa della Commissione europea volta a specificare le norme procedurali relative all’applicazione del GDPR. In particolare, l’ente ha accolto con favore l’iniziativa, e ha osservato che l’armonizzazione procedurale è un aspetto essenziale dell’applicazione e dell’esecuzione del GDPR. A questo proposito, l’ente ha sottolineato che l’iniziativa dovrebbe garantire che tutte le procedure, le politiche e le pratiche relative alla protezione dei dati siano coerenti, omogenee e standardizzate nella massima misura possibile.

PROPOSTA DI DIRETTIVA SULL’EUROPA DIGITALE – Gli obiettivi della proposta di direttiva adottata dalla Commissione europea nel quadro di un progetto di facilitazione, da parte delle aziende, dell’uso di strumenti e processi digitali nel diritto societario sono quelli di (i) facilitare le operazioni delle società transfrontaliere e ad aumentare la trasparenza e la fiducia delle imprese, (ii) rendere pubbliche a livello dell’Unione europea maggiori informazioni sulle società, (iii) ridurre la burocrazia per le imprese che operano con l’estero, risparmiando notevoli capitali attualmente impiegati in oneri amministrativi all’anno. La proposta contribuirà anche a favorire un’ulteriore digitalizzazione del mercato unico e aiuterà le imprese, in particolare quelle di piccole e medie dimensioni, a fare affari nel quadro dell’Unione. La proposta si applicherà a circa 16 milioni di società a responsabilità limitata e a 2 milioni di imprese nell’Unione europea. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

FRANCIA – L’Autorità garante francese (CNIL) ha pubblicato lo scorso 23 marzo un dossier tematico in materia di identità digitale che definisce il concetto di #identità #digitale e le altre questioni relative all’uso di tale strumento da parte delle organizzazioni.

FRANCIA/2 – Sanzione di 125.000 euro a Cityscoot (noleggio breve motorini) per illecita conservazione dei dati di geolocalizzazione relativi all’uso dei propri servizi: in particolare, la App geolocalizzava l’utente “attivo” ogni 30 secondi; il procedimento è stato condotto in cooperazione con le autorità di Spagna e Italia, dove Cityscoot opera con lo stesso modello di business.

GIAPPONE – Il Ministero dell’Economia, del Commercio e dell’Industria giapponese (METI) ha di recente annunciato di aver rivisto le proprie Linee guida in materia di cybersicurezza.

SVEZIA – Lo scorso 23 marzo il Parlamento svedese (Riksdag) ha annunciato di aver approvato la proposta di modifica della legge sui dati dei pazienti avanzata dal Governo (la “Proposition 2022/23:31 Processing of personal data when calculating numbers for clinical research”). In particolare, dalla relazione della Commissione per gli affari sociali si evince che dati personali dei clienti potranno essere trattati per calcolare il numero di soggetti che soddisfano i requisiti stabiliti per essere ammessi alla ricerca clinica. Le nuove disposizioni entreranno in vigore il prossimo 1 maggio.

REGNO UNITO – L’ICO, Autorità UK in ambito privacy, ha annunciato la pubblicazione di una nuova linea guida in materia di marketing diretto e comunicazioni in ambito regolatorio, particolarmente interessante dato che aiuta le aziende a capire quando e come utilizzare la messaggistica verso i propri consumatori e utenti in caso di necessità di comunicare loro, ad esempio, il cambiamento di termini e condizioni.

SPAGNA – L’AEPD, Garante spagnolo, ha di recente reso pubbliche le sue nuove Linee guida in materia di gestione del rischio di violazione di dati personali per tutte quelle operazioni di trattamento che comportano la comunicazione di dati tra enti pubblici.

LUSSEMBURGO – In vista dell’attuazione del Regolamento UE 2022/1925 (il cd. DMA, Digital Markets Act), lo scorso 23 marzo è stato approvato dalla Camera dei Deputati del Lussemburgo il disegno di legge di modifica delle legge 30 novembre 2022 sui mercati digitali. Il disegno di legge istituisce l’Autorità lussemburghese garante della concorrenza quale autorità competente ai fini del DMA, affidandole inoltre il compito di assistere la Commissione europea nelle questioni inerenti i mercati digitali. 

DANIMARCA – Datatilsynet, Autorità garante danese, ha di recente aggiornato le proprie Linee guida in materia di protezione dei dati personali nel contesto dei rapporti di lavoro. In particolare, (i) ha aggiornato la guida alle sue ultime pratiche, tra cui quella relativa ai dati dei casellari giudiziari e alle referenze, (ii) ha fornito chiarimenti su alcuni paragrafi e (iii) ha rivisto la struttura del documento in modo tale da renderlo più fruibile e comprensibile.

OLANDA – Circa 780.000 passeggeri delle ferrovie nazionali sono stati coinvolti in un importante data breach, causato da una violazione di sicurezza di un fornitore strategico, che ha comportato la potenziale esposizione di numeri di telefono, indirizzi e-mail e altri dati degli utenti, ma non – a quanto è stato comunicato – dati di pagamento o password.

GERMANIA – Che i cookie paywall siano (in qualche misura) ammissibili? Le Autorità tedesche omologhe del nostro Garante sembrano – con diversi caveat – pensarla così, a quanto riporta questo post.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Clark Young grazie a Unsplash.

News #12/2023: anche OpenAI subisce un databreach e ChatGPT va offline senza preavviso

LE PRINCIPALI NEWS DELLA SETTIMANA

  • per un errore di configurazione, ChatGPT è stato messo offline a seguito di un data breach con invio di e-mail automatiche all’utente sbagliato;
  • intanto, il Parlamento UE raccoglie i paper sull’IA e prova a spingere per l’adozione dell’AI Act;
  • in Norvegia, far subire un databreach a un dipendente costa oltre 200 mila euro;
  • una task force per il Digital Markets Act in vigore da maggio 2023.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • se siete in cerca di una checklist, una linea guida o una chart esplicativa in materia di dati personali, ISO o cybertech, dovete assolutamente seguire ed esplorare il profilo di Andrey Prozorov, che possiede anche un canale Patreon in cui ha pubblicato tantissimo materiale molto interessante.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • In The Wee Small Hours Of The Morning – Frank Sinatra (1955 – late night jazz version by Webster & Peterson)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DATA BREACH SU UN DIPENDENTE, 220 MILA EURO DI SANZIONE – L’Autorità garante norvegese, Datatilsynet, ha di recente emesso una sanzione di 2,5 milioni di NOK (pari a poco più di 220 mila euro) la società Argon Medical Devices, avente sede legale negli Stati Uniti, a seguito di una violazione di dati personali relativa ai dati personali di un unico suo dipendente tra quelli in Europa, residente in Norvegia. Alla base della decisione ci sarebbero (i) il mancato rispetto delle tempistiche fissate in materia di notifica al Garante (67 giorni a fronte delle 72 ore imposte dal GDPR), seppure a fronte di verifiche approfondite da cui non sarebbero emersi, in una prima fase, rischi per l’interessato), e più in generale (ii) la inadeguatezza delle misure di sicurezza implementate dalla società.

ANCHE OPENAI (CHATGPT) ALLE PRESE CON UN DATA BREACH – Lo scorso 20 marzo è andato offline, per qualche ora, il servizio di ChatGPT: si è appreso in seguito, attraverso un comunicato della stessa OpenAI, che il disservizio era legato a una errata configurazione del sistema automatico di invio e-mail collegato all’iscrizione degli utenti “Plus” (a pagamento). A causa del problema, è possibile – si legge – che un utente abbia ricevuto e/o letto informazioni (anche di pagamento) di un altro utente, come pure le prime righe della conversazione con l’Intelligenza Artificiale che sta rivoluzionando il mondo e internet. Al momento, da quanto risulta, nessuna notifica ai sensi del GDPR sarebbe stata inviata.

PARLAMENTO EUROPEO & AI – Mentre le istituzioni europee si interrogano su come regolare l’Intelligenza Artificiale, con un “AI Act” in discussione dal 2021, il Parlamento ha pensato bene di pubblicare una nota che presenta i link alle recenti pubblicazioni e ai commenti pubblicati sull’intelligenza artificiale. Grazie a data TENET® per la segnalazione.

OSSERVATORIO FEDERPRIVACY SULLA COMPLIANCE – A cinque anni dall’introduzione del GDPR sono ancora molti i casi in cui le prescrizioni del Regolamento vengono applicate in modo teorico o approssimativo, e anche migliaia di imprese, che hanno investito risorse per adeguarsi alla normativa europea, si trovano, loro malgrado, esposte a sanzioni da parte delle autorità di controllo. E’ quanto emerge da un sondaggio condotto dall’Osservatorio di Federprivacy a cui hanno partecipato numerosi addetti ai lavori: il 78% delle imprese considera ancora la privacy come un mero adempimento burocratico, e a dimostrarlo sono anche alcuni casi emblematici come quello della multa da mezzo milione di euro ad una società di eCommerce che aveva nominato un DPO in conflitto d’interessi.

COME PROTEGGERSI DAL VISHING – Con un comunicato stampa dello scorso 22 marzo il Garante per la protezione dei dati personali ha fornito ai cittadini una serie di informazioni e suggerimenti utili per proteggersi dal #vishing, ossia quella particolare forma di phishing (cioè truffa) che utilizza il telefono come mezzo di appropriazione dei dati personali delle vittime. 

STATISTICHE EUROPEE E DATA PROTECTION – Nell’ambito della nuova proposta di Regolamento europeo in materia di statistiche sulla popolazione e sulle abitazioni, l’EDPS (European Data Protection Supervisor, il Garante delle istituzioni europee) ha ricordato ai legislatori l’importanza di non interferire con la normativa in materia di protezione dei dati. Più in particolare, pur accogliendo con favore l’obiettivo della nuova proposta – che riunirà tutti i dati demografici, migratori e censuari attualmente raccolti a livello di singolo Stato Membro – l’EDPS ha fornito una serie di raccomandazioni finalizzate a mitigare le eccessive interferenze con le disposizioni europee in materia di privacy, sottolineando in particolare l’importanza di rendere anonimi (o per lo meno pseudonimi) i dati raccolti.

REPORT PRIVACY E FIDUCIA DEI CONSUMATORI – Il recente report di IAPP (di cui trovate qui un estratto) sulla privacy e la fiducia dei consumatori si occupa di delineare il pensiero delle persone e la loro consapevolezza rispetto alla privacy, rispondendo a domande quali quando siano preoccupate le persone per la privacy online, come influiscono sui comportamenti, anche economici e commerciali, l’uso del telefono e la navigazione sul Web. L’obiettivo del report è cercare di definire cosa pensa la maggior parte dei consumatori riguardo alle leggi sulla privacy e sulla protezione dei dati,e come rispondono quando i loro dati vengono persi o coinvolti in una violazione, a fronte del cambiamento globale, culturale e tecnologico che si sta verificando nel modo in cui gli individui apprezzano la loro privacy e le misure che intraprenderanno per proteggerla.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CONTROLLO GIUDIZIARIO E MOGC – Con sentenza n. 11326 dello scorso 16 marzo la Suprema Corte di Cassazione ha stabilito che l’adozione ex post di un Modello di organizzazione, gestione e controllo previsto dal Decreto 231 e di misure self cleaning finalizzate a evitare future infiltrazioni mafiose non sono sufficienti ai fini dell’ammissione di una società – già destinataria di una interdittiva antimafia – al controllo giudiziario, così respingendo la richiesta. In particolare, secondo gli Ermellini, “il ravvisato rapporto di stabile agevolazione che la società (…) ha intessuto con le cosche mafiose (…) non permette di formulare (…) una prognosi favorevole di bonifica e radicale risanamento” (estratto dalla nota di Aodv231).

AUTONOMIA RESPONSABILITÀ DELL’ENTE – La Suprema Corte di Cassazione si è recentemente pronunciata circa la possibilità che un ente possa richiedere e ottenere una revisione della sentenza di patteggiamento emessa a suo carico, nel caso particolare la persona fisica imputata sia stata assolta dal reato-presupposto. Con la sentenza n.10143 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) i Giudici hanno stabilito che una revisione della sentenza avente ad oggetto la responsabilità dell’ente connessa all’assoluzione della persona fisica imputata può discendere solo dalla “negazione del fatto storico, e non anche dalla mancata individuazione del suo autore”. Più in particolare, gli Ermellini hanno chiaramente sottolineato che “la responsabilità dell’ente sussiste anche quando l’autore del reato non è stato identificato”.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TASK FORCE DMA – La Commissione europea ha istituito il gruppo di lavoro che fornirà consulenza per garantire una corretta applicazione del Digital Markets Act (“DMA”), il regolamento sui mercati digitali entrato in vigore il 1 novembre 2022 a cui gli Stati membri dovranno adeguarsi a partire dal 2 maggio 2023. Il gruppo fornirà alla Commissione europea consulenza e competenze tecniche per garantire che Il DMA e altri regolamenti applicabili ai gatekeeper siano attuati in modo coerente. Il gruppo di lavoro potrà anche fornire supporto nelle indagini di mercato su servizi e pratiche emergenti, per contribuire a garantire che le regole siano applicate in modo armonico e che possano resistere nel tempo. Il gruppo di lavoro avrà un mandato di due anni e si riunirà almeno una volta all’anno.

CYBERSECURITY – L’ENISA (Agenzia per la Cybersicurezza dell’UE) ha annunciato lo scorso 19 marzo il lancio di una nuova piattaforma il cui obiettivo è promuovere e diffondere informazioni sui sistemi di certificazione UE in materia di cybersicurezza. Più in particolare, la piattaforma consentirà agli utenti di condividere informazioni sugli schemi di certificazioni attualmente in fase di sviluppo, tra cui anche l’EUCS (Cybersecurity Certification Scheme for Cloud Servies). 

AGGIORNAMENTO LINEE GUIDA – Il Consiglio europeo per i pagamenti (EPC) ha recentemente annunciato di aver pubblicato un aggiornamento delle sue “Guidelines on Cryptographic Algorithms Usage and Key Management”. La Commissione ha specificato che all’interno della nuova versione di Linee guida sono disponibili, tra le altre cose, anche aggiornamenti relativi al calcolo quantistico e alle tecnologie di registro distribuito.

PROPOSTA DI RIPARAZIONE DEI PRODOTTI OLTRE LA GARANZIA – Riparazioni più facili ed economiche, anche oltre il periodo legale di garanzia per smartphone, tablet, pc ed elettrodomestici, per ridurre l’impatto ambientale, sostenere il Green Deal e contrastare l’obsolescenza programmata: è la proposta lanciata dalla Commissione europea nel suo nuovo disegno di legge sul diritto alla riparazione. Con le norme presentate, l’istituzione europea punta a dare ai cittadini la possibilità di rivolgersi a servizi di riparazione quando la garanzia legale dei prodotti – solitamente di due anni – sia scaduta. Saranno poi introdotti standard comuni di trasparenza su condizioni e prezzi delle riparazioni. Secondo le proposte, i produttori dovranno riparare i beni ancora in garanzia se costano lo stesso o meno di una sostituzione. I consumatori avranno anche il diritto di chiedere alle aziende di riparare i loro prodotti, se possono ancora essere riparati, entro 10 anni dall’acquisto, anche se non sono più in garanzia. La proposta dovrà ora essere negoziata fra Parlamento europeo e Stati membri, per ricevere l’approvazione.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SPAGNA – Anche la Spagna adotta una sua normativa in materia di whistleblowing. Lo scorso 13 marzo è infatti entrata in vigore la Ley 2/2023, di recepimento della Direttiva UE 2019/1937. Ai fini di una maggiore tutela del segnalante, la Spagna ha provveduto ad istituire una Autorità indipendente alla quale è stato assegnato il compito di (i) gestire i canali di segnalazione esterni e (ii) irrogare sanzioni in caso di violazioni della disciplina. 

SPAGNA/2 – L’AEPD, garante spagnolo, ha di recente sanzionato CaixaBank per trattamento illecito di dati personali. Il procedimento scaturiva dalla denuncia presentata da un cliente, il quale lamentava che CaixaBank avesse richiesto, attraverso una società di recupero crediti, il pagamento di un debito che era stato già annullato con sentenza. In particolare, dalle indagini dell’Autorità è emerso che nonostante il contratto tra le parti fosse ormai concluso, CaixaBank continuava a trattare i relativi dati del cliente, che continuava ad essere destinatario di sms che richiedevano il pagamento del debito. Per tale ragione, all’esito della propria attività ispettiva l’AEPD ha sanzionato CaixaBank con una multa di per 70 mila euro.

AUSTRIA – NOYB, l’organizzazione no profit sempre in prima linea nella lotta per la protezione dei dati personali dei cittadini europei, ha di recente reso noto che il Tribunale amministrativo federale austriaco (BVwG) ha confermato la decisione del Garante locale (DBS) in materia di accesso ai dati relativi al traffico e all’ubicazione. In particolare, è stata confermata la posizione secondo la quale la compagnia di telefonia A1 Telekom Austria avrebbe agito in maniera corretta non fornendo al reclamante i dati richiesti in quanto – anche alla luce del fatto che all’interno del contratto stipulato non era presente alcuna clausola che impedisca la cessione, anche temporanea, del dispositivo stesso – il richiedente non poteva validamente dimostrare di essere lui l’unico utilizzatore (e dunque il titolare dei dati). Non condividendo tale impostazione, che si tradurrebbe nell’impossibilità per gli interessati di accedere ai propri dati, NOYB ha già fatto sapere nel medesimo comunicato la sua intenzione di proporre reclamo avverso la decisione.

AUSTRIA/2 – L’Autorità austriaca per la protezione dei dati personali ha sanzionato il Ministero delle Finanze locale che, agendo su richiesta di una commissione parlamentare, ha divulgato al pubblico e ai media notizie riguardanti i procedimenti penali a carico di un membro del Parlamento austriaco. L’interessato si è rivolto all’Autorità garante, che ha ravvisato la mancanza di una base giuridica adeguata, avendo, infatti, la divulgazione, come unico scopo quello di danneggiare l’immagine politica dell’esponente parlamentare.

BRASILE – L’ANPD, Autorità garante brasiliana, ha annunciato di aver emesso una nota tecnica in cui ha precisato i confini di applicabilità della legge nazionale in materia di protezione dei dati (LGPD). In particolare, partendo dall’assunto che per il Codice Civile l’esistenza di una persona fisica termina con la morte, l’Autorità ha chiarito che la LGPD si applica verosimilmente al solo trattamento di dati personali riferibili a persone fisiche viventi, rimanendo esclusi dall’ambito di tutela della normativa i dati delle persone decedute.

CINA – La Cyberspace Administration of China (“CAC”) ha pubblicato, il 23 marzo 2023, le procedure per il controllo amministrativo delle azioni esecutive per le violazioni della normativa applicabile in materia di protezione dei dati e sicurezza. Le procedure stabiliscono i passaggi per le indagini e la raccolta delle prove da parte dei dipartimenti di sicurezza informatica e informazione, e le diverse situazioni per la gestione delle violazioni delle norme sulla protezione dei dati e sulla sicurezza. Inoltre, le disposizioni ricordano che, prima dell’irrogazione di sanzioni amministrative, i servizi di sicurezza informatica e informatica devono comunicare agli interessati il loro diritto di chiedere un’audizione, e che devono effettuare tale richiesta entro cinque giorni dal ricevimento della notifica. 

UNGHERIA – Il 21 marzo 2023 l’Assemblea nazionale ungherese ha annunciato l’introduzione di un disegno di legge sulla certificazione e la supervisione della sicurezza informatica. In particolare, il disegno di legge fornisce definizioni per il servizio di cloud computing, il sistema informativo elettronico e per i test di vulnerabilità remoti. Inoltre, il progetto stabilisce norme specifiche per i fornitori di servizi operanti in settori a rischio, nonché per i sistemi informativi elettronici dei fornitori di servizi e delle organizzazioni operanti in settori a rischio in determinate circostanze, specificate negli allegati. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Kym Ellis grazie a Unsplash.

Il risarcimento del danno da violazione dei dati personali

All’interno del sistema normativo della protezione dei dati personali, un importante incentivo al rispetto delle prescrizioni vigenti sia per il Titolare e per il Responsabile del trattamento è sicuramente rappresentato dalla presenza di un onere di risarcimento del danno derivante dalla violazione del GDPR.

Una previsione di questo tipo stimola e ha stimolato – certamente nei primi cinque anni di applicazione del GDPR – anche la verifica periodica e l’aggiornamento di misure di sicurezza idonee a impedire la violazione dei dati personali.

L’evoluzione delle disposizioni nel tempo

Questo obbligo trovava già fondamento, ancora prima dell’entrata in vigore Regolamento europeo, a partire dall’art. 15 del D. Lgs. 196/2003 (“Codice Privacy”), che collegava espressamente un trattamento illecito di dati personali alla responsabilità civile di cui all’art. 2050 del Codice civile, considerandola come un’attività pericolosa e sancendo anche la risarcibilità del danno non patrimoniale.

Con l’entrata in vigore del Regolamento europeo, e il relativo recepimento in Italia ad opera del D. Lgs. 101/2018, oggi è l’art. 82 del GDPR che costituisce la norma centrale sulla responsabilità civile nel trattamento di dati personali, e sul conseguente diritto al risarcimento.

Analisi normativa

L’ambito soggettivo

L’art. 82 del GDPR chiarisce, innanzitutto, l’ambito soggettivo del diritto al risarcimento, stabilendo che chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile del trattamento.

Tale disposizione non è da leggersi nell’ottica di escludere dal novero dei danni risarcibili quelli derivanti da una violazione di disposizioni diverse da quelle del GDPR: in tal senso, il Considerando 146 del Regolamento europeo prevede che le azioni risarcitorie derivanti da violazioni di altre norme del diritto europeo o degli Stati membri non sono pregiudicate, interpretando in modo estensivo la disposizione e considerando tutte le norme relative al trattamento di dati personali.

L’esonero dalla responsabilità

L’art. 82 del GDPR, poi, prevede e disciplina le condizioni per cui il Titolare o il Responsabile del trattamento sono esonerati dalla responsabilità: ciò avviene quando essi dimostrano che l’evento dannoso non è loro in alcun modo imputabile.

Su questo tema, sono numerosi gli indicatori utili a dimostrare che il fatto da cui ha avuto origine il danno non possa essere ricondotto al controllo del Titolare o del Responsabile del trattamento: tutti ruotano però intorno al concetto di responsabilizzazione (“accountability”) che percorre tutto il GDPR.

Ad esempio, la adesione a codici di condotta approvati, o il ricorso a misure tecniche e organizzative efficaci.

Appare importante precisare, in ogni caso, che sarà onere del Titolare o del Responsabile in questione provare che questi indicatori fossero proporzionati al grado di rischio che, in concreto, il trattamento di dati personali presentava.

Il danno risarcibile

Il soggetto interessato che abbia subito un danno dalla violazione dei dati personali può richiedere un risarcimento sia dei danni materiali che di quelli in materiali, e, sul punto, è il Considerando 85 del GDPR a proporre una serie di possibili esempi.Fra di essi:

  • la perdita di controllo sui dati personali,
  • la limitazione dei propri diritti,
  • la discriminazione
  • il furto di identità,
  • perdite finanziarie,
  • pregiudizi alla reputazione.

La responsabilità solidale

Infine, per quanto attiene alle modalità di risarcimento del danno da parte del Titolare o del Responsabile del trattamento, lo spirito della norma è quello di assicurare la maggiore possibilità di risarcimento al soggetto interessato, e pertanto l’art, 82(4) del GDPR prevede la regola della solidarietà passiva dei soggetti obbligati al risarcimento, qualora essi siano coinvolti nello stesso trattamento e abbiano partecipato con condotte attive od omissive all’evento dannoso che ha recato pregiudizio al soggetto interessato.

In altre parole, il soggetto interessato, tenendo a mente (in Italia) anche l’art. 1292 del Codice civile, potrà chiedere il risarcimento del danno per intero a ciascuno dei soggetti obbligati, aumentando la propria possibilità di vedere soddisfatta la propria pretesa risarcitoria.

Dopodiché, saranno i soggetti obbligati a poter esercitare fra di loro un diritto di rivalsa per regolare il pagamento delle quote del debito suddiviso fra di loro.

Conclusioni

La normativa brevemente analizzata in questo articolo permette di fare qualche considerazione sull’effettività della tutela dei soggetti interessati, che vengono lesi qualora sia stato realizzato dal Titolare o dal Responsabile un trattamento dei loro dati non conforme al GDPR.

In particolare, il trattamento illecito dei dati deve aver determinato la lesione di un diritto fondamentale dell’interessato, e da tale operazione illecita deve discendere un danno, che rappresenti quindi la conseguenza diretta della violazione in materia di dati personali.

Oltre ad essere un incentivo alla responsabilizzazione del Titolare e del Responsabile del trattamento, quindi, sembra legittimo affermare che il diritto al risarcimento del danno previsto dall’art. 82 del GDPR sia un ulteriore presidio e una tutela dei diritti dei soggetti interessati.

Infine, si ricorda che il Considerando 146 del GDPR afferma che il concetto di danno dovrebbe essere interpretato alla luce della giurisprudenza della Corte di giustizia dell’Unione europea (“CGUE”), ma, a fronte dell’assenza, ad oggi, di una definizione generale di danno, applicabile indistintamente in qualsiasi ambito è evidente che sarà spesso rimesso alle corti nazionali il delicato compito di delimitare, nella prassi, il confine tra i danni non risarcibili e quelli che invece possono rientrare nell’applicazione delle disposizioni esaminate.

____________________________

Foto di Patrick Perkins su Unsplash

News #11/2023: in Europa si discute di AI, Facebook Pixel e DPO, mentre in Iowa arriva la privacy

LE PRINCIPALI NEWS DELLA SETTIMANA

  • l’EDPB avvia una “task force” sul ruolo dei DPO
  • il Pixel di Facebook (Meta) è “illegale” come Google Analytics
  • l’AI ACT avanza insieme al Data Act: altre leggi in arrivo
  • META contro SIAE: una battaglia dolorosa
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Continuando con il filone degli esperti stranieri che si occupano di data protection, questa settimana consigliamo il follow ad un profilo “misterioso”, Mr. George M, che propone sempre spunti molto interessanti soprattutto in materia di compliance organizzativa.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Heard It Through The Grapevine – Marvin Gaye (1967)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

EDPB – Il 15 marzo, il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato la propria azione coordinata con la quale, al fine di valutare se i Data Protection Officer (“DPO”) detengono effettivamente, all’interno delle rispettive organizzazioni, una posizione con le caratteristiche richieste dagli articoli 37-39 del GDPR e le risorse necessarie per svolgere i propri compiti, inviterà le Autorità europee per la protezione dei dati a (i) inviare questionari ai DPO per un esercizio di accertamento dei fatti o per identificare se è giustificata un’indagine formale e (ii) avviare indagini formali. Inoltre, l’EDPB ha sottolineato che i risultati dell’iniziativa saranno analizzati in modo coordinato, e che le Autorità di protezione dei dati decideranno in merito a possibili ulteriori azioni locali di vigilanza e applicazione della normativa sulla protezione dei dati.

PIXEL META – L’Autorità austriaca per la protezione dei dati personali (DBS) ha di recente stabilito che il #pixel di tracciamento di Meta Platforms Inc viola non solo il GDPR ma anche quanto stabilito dalla Corte di Giustizia dell’Unione europea (CGUE) nella storica sentenza Schrems II. La decisione della DBS – resa pubblica proprio da NOYB, l’associazione di Max Schrems – scaturisce infatti dalle 101 denunce presentate dall’associazione contro Google Analytics, reggendosi sui medesimi presupposti: l’inevitabile trasferimento internazionale dei dati extra SEE, in particolare verso gli Stati Uniti.

NEWSLETTER GARANTE –  Pubblicata il 15 marzo l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata una società di servizi di messaggistica per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti; (ii) la sanzione ad un’azienda che, dopo l’interruzione della collaborazione con il dipendente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società; (iii) la firma di nuovi protocolli di intesa per contrastare revenge porn e cyberbullismo, con l’attenzione ad organizzare eventi che coinvolgano esperti di settore in materia di fenomeni sul web che riguardano i minori.

DATA ACT e AI ACT – Lo scorso 14 marzo nel corso di una votazione plenaria al Parlamento europeo è stata adottata la versione definitiva del #DataAct, la proposta legislativa che – come più volte specificato –  mira a (i) rimuovere tutti gli ostacoli alla libera circolazione dei dati industriali e (ii) regolare i diritti e gli obblighi delle parti coinvolte nella condivisione dei dati prodotti dal cd. Internet of Things (IoT). L’adozione di tale versione, che apre ai negoziati con la Commissione e il Consiglio,  rappresenta un passo molto importante in vista di una sua approvazione. Nella stessa giornata, Dragos Tudorache e Brando Benifei – i correlatori del Parlamento europeo – hanno condiviso una prima bozza di AI Act, nella quale vengono proposti alcuni obblighi specifici per i fornitori di cd. #GPAI, ossia sistemi di intelligenza artificiale per l’uso generale, come – ad esempio – ChatGPT). Per spunti di riflessione sul tema dell’Intelligenza Artificiale, segnaliamo anche questo interessantissimo articolo di Paolo Benanti.

BILANCIAMENTO NEL DIRITTO ALL’OBLIO – Con la sentenza n. 6806 la Suprema Corte di Cassazione si è recentemente pronunciata in materia di diritto all’oblio. I Giudici hanno in particolare stabilito che il gestore di un sito web non è tenuto a provvedere alla deindicizzazione e/o alla cancellazione di informazioni non più dotate dei caratteri di “ verità, continenza e attualità”  in assenza di una legittima ed esplicita richiesta da parte dell’interessato. Concordando con la ricostruzione del giudice di prime cure – secondo cui “la tutela del diritto all’oblio non comporta automaticamente in capo ad una testata giornalistica l’obbligo di rimozione o deindicizzazione della notizia, dal momento che il diritto del soggetto a non vedere rappresentata una versione di sé non più corrispondente alla realtà presuppone una valutazione di non attualità della notizia che non è possibile compiere se non dopo un’espressa richiesta dell’interessato” –  gli Ermellini hanno specificato che sarebbe in ogni caso oltremodo gravoso per il gestore di un archivio digitale l’onere di controllare periodicamente il superamento o la inattualità dei contenuti pubblicati. Grazie ad Agostino Imperatore per la segnalazione: nel suo post trovate il testo della sentenza.

Non è stato fornito nessun testo alternativo per questa immagine

231

DECRETO WHISTLEBLOWING – Lo scorso 9 marzo è stato approvato dal Consiglio dei Ministri il Decreto Legislativo di recepimento della Direttiva 2019/1937 (cd. Direttiva #Whistleblowing). Il Decreto – che entrerà in vigore il prossimo 15 luglio – andrà a disciplinare la protezione dei cd. “whistleblowers”, ossia i soggetti che segnalano la violazione di norme interne o europee di cui siano venuti a conoscenza in ragione della loro posizione lavorativa, pubblica o privata. Sul punto è intervenuta anche l’ANAC (Autorità Nazionale Anticorruzione, investita dal Decreto del ruolo di valutare le segnalazioni e le eventuali sanzioni amministrative da irrogare), attraverso un comunicato stampa dello scorso 10 marzo che illustra le principali novità introdotte.

SICUREZZA SUL LAVORO – Con la sentenza n. 8476 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha affrontato la questione del rapporto tra delega in materia di sicurezza sul lavoro prevista dall’art. 16 del D. Lgs. 81/08 e la delega gestoria affidata dal Consiglio di Amministrazione, di cui all’art. 2381 c.c. Chiamati a decidere sulla responsabilità di un amministratore delegato in relazione ad un incidente occorso ad un lavoratore – responsabilità, più in particolare, basata sull’assunto che la delega alla sicurezza sul lavoro conferita ad altro membro del CdA non fosse accompagnata dal potere di spesa e che, pertanto, non fosse “liberatoria” –  gli Ermellini hanno precisato che “la delega di funzioni prevista dall’art. 16 del D. Lgs. n. 81/08 presuppone un trasferimento di poteri e correlati obblighi dal datore di lavoro verso altre figure non qualificabili come tali e che non lo diventano per effetto della delega. La delega di gestione, anche quando non abbia ad oggetto la sicurezza sul lavoro, invece, in caso di strutture complesse, consente di concentrare i poteri decisionali e di spesa connessi alla funzione datoriale, che fa capo ad una pluralità di soggetti (ovvero i membri del CdA) su alcuni di essi”. I Supremi Giudici di legittimità hanno pertanto accolto il ricorso della difesa, imponendo al giudice di rinvio un approfondimento circa contenuto della delega conferita.  https://www.aodv231.it/novita/sicurezza-sul-lavoro-e-deleghe/

RIFORMA CARTABIA E COORDINAMENTO CON LA 231 – Con una recente ordinanza (consultabile gratuitamente per gli iscritti all’Associazione Aodv231), il Giudice per le indagini preliminari (GUP) di Milano ha stabilito che la nuova regola di giudizio introdotta dalla Riforma Cartabia non si applica ai processi a carico degli enti. Secondo il GUP, infatti, a fronte della modifica dell’art. 425, comma 3, per cui il giudice pronuncia sentenza di non luogo a procedere anche quando gli elementi acquisiti non consentono di formulare una ragionevole previsione di #condanna,  “il disposto dell’art. 61 D. Lgs. 231/2001 non ha subito alcuna modificazione, sicchè statuisce ancora che il giudice pronuncia sentenza di non luogo a procedere (oltre che in ipotesi specificamente enucleate con riferimento alle peculiarità del processo nei confronti dell’ente), quando gli elementi acquisiti risultano insufficienti, contraddittori o comunque non idonei a sostenere in giudizio la responsabilità dell’ente”.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

META E SIAE –  Meta ha comunicato tramite un proprio portavoce di non aver raggiunto un accordo con la Siae (“Società Italiana Autori ed Editori”) per il rinnovo della licenza sul diritto d’autore, scaduto l’anno scorso. Di conseguenza, nelle prossime 48 ore un team dedicato della piattaforma provvederà a rimuovere tutti i contenuti, video e reels recanti tracce del repertorio Siae – che rappresentano una grandissima quantità. Più che ad una questione di soldi, il mancato raggiungimento dell’accordo è stato dovuto a una sensibile differenza nell’approccio tra le due parti in causa. Dal punto di vista della Siae, infatti, non c’è stata sufficiente trasparenza nella trattativa da parte della piattaforma di Zuckerberg: Siae avrebbe infatti chiesto a Meta di quantificare i ricavi provenienti dai contenuti con «colonna sonora» tutelata da Siae, per meglio stabilire la somma necessaria a compensare autori ed editori italiani. Meta, però, non fornisce verticalizzazioni nazionali sul proprio giro d’affari. Da qui uno scontro frontale che ha portato la multinazionale alla decisione di far saltare il dialogo.

OCSE – L’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) ha recentemente pubblicato un rapporto dal titolo “Advancing accountability in AI – Governing and management risk throughout the lifecycle for trustworthy AI”. Il documento illustra come gli approcci di gestione del rischio possono permettere l’attuazione dei principi dettati dall’OCSE in materia di intelligenza artificiale, e ciò durante l’intero ciclo di vita del sistema di AI. All’interno del rapporto l’Organizzazione presenta inoltre importanti ricerche e risultati in merito alle responsabilità e ai rischi connessi ai sistemi di intelligenza artificiale, provvedendo a fornire altresì una panoramica di come i quadri di gestione del rischio e dei cicli di vita del sistema di intelligenza artificiale possono essere integrati al fine di promuovere una AI affidabile.  

REPORT ENISA – L’Agenzia dell’Unione europea per la sicurezza informatica (“ENISA”) ha annunciato la pubblicazione di due rapporti su eSIM ed Edge computing in 5G. In particolare, il primo mira a fornire una panoramica della tecnologia utilizzata, valutare le sfide per la sicurezza e proporre misure di mitigazione del rischio. Le sfide alla sicurezza includono lo scambio di eSIM, l’esaurimento della memoria, gli attacchi di memoria sottodimensionati e l’accesso illegale a informazioni sensibili da parte dei criminali informatici. Inoltre, per quanto riguarda il fog e l’edge computing nel 5G, l’ENISA ha spiegato che la tecnologia fornisce servizi di elaborazione, dati di archiviazione e applicazioni agli utenti finali, pur essendo ospitata all’edge della rete. Il report fornisce una panoramica delle tecnologie fog and edge in termini di 5G, in relazione alla loro architettura, attributi e aspetti di sicurezza.

PIRATERIA DIGITALE – Le commissioni parlamentari Cultura e Trasporti e Telecomunicazioni hanno deliberato favorevolmente sull’esame, da parte dell’assemblea legislativa, della proposta di legge contro la pirateria digitale, che sarà esaminata in Aula il 20 marzo. Saranno previste #sanzioni per oltre 15mila euro per chi detiene abusivamente opere coperte dal diritto d’autore. Più poteri saranno conferiti ad #Agcom, con l’obiettivo di fermare la riproduzione di contenuti illeciti entro poco tempo dalla notifica. Agcom che potrà intervenire con urgenza per ordinare ai prestatori di servizi, compresi i prestatori di accesso alla rete, di disabilitare l’accesso a contenuti illeciti. Lo stesso ordine potrà essere dato anche ai motori di ricerca e ai fornitori di servizi della società dell’informazione, coinvolti a qualsiasi titolo nell’accessibilità del sito web o dei servizi illegali.

GAZZETTA UFFICIALE – Pubblicato nell’edizione dello scorso 18 marzo il Decreto Legislativo di attuazione e recepimento della Direttiva 2019/2161 che prevede una migliore armonizzazione delle norme a protezione dei #diritti dei #consumatori, di cui avevamo già dato conto nelle edizioni precedenti. Nella medesima edizione è stato pubblicato anche un Decreto Legge (d’urgenza) in materia di strumenti finanziari digitali, che riguarda l’emissione e la loro circolazione, oltre che alcune norme di organizzazione.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA / IOWA – Dopo l’ok del Senato locale, è stato definitivamente approvato dalla Camera (con voto unanime!) il disegno di legge in materia di protezione dei dati dei consumatori dello Stato dell’Iowa. In caso di approvazione finale da parte del Governo dello Stato, il documento andrebbe a costituire la sesta normativa completa in materia di privacy degli Stati Uniti. Da una comparazione con le altre normative US si evince tuttavia che la bozza, oltre a fissare in 90 giorni il termine per fornire un feedback alle richieste degli interessati, non contiene (i) una definizione di dati sensibili, (ii) la previsione del diritto del consumatore alla correzione dei propri dati, nè (iii) la previsione di valutazioni d’impatto sui diritti e le libertà dei consumatori (DPIA). 

COSTA RICA – il disegno di legge n. 23097 sulla protezione dei dati personali è stato presentato all’assemblea legislativa del Costa Rica. La proposta mira a vietare il trattamento di dati personali (“particolari”, come definiti dalla normativa europea) che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche e l’appartenenza sindacale, nonché il trattamento di dati genetici, biometrici, relativi alla salute o alla vita sessuale. Vengono introdotti i principali diritti degli interessati, quali il diritto di accesso, rettifica, cancellazione e portabilità dei dati, nonché il diritto di rinunciare al trattamento. Sono anche definiti i principi del trattamento dei dati, tra i quali, accuratezza, legittimità, equità, trasparenza, proporzionalità, responsabilità, sicurezza e riservatezza. 

AUSTRALIA – L’Ufficio dell’Australian Information Commissioner (“OAIC”) ha pubblicato un comunicato stampa in cui ha accolto con favore la decisione dell’Alta Corte australiana di revocare il permesso speciale di Facebook Inc. di appellarsi all’Alta Corte, consentendo il rinvio del procedimento al Tribunale federale. In particolare, l’OAIC ha evidenziato che il procedimento in questione mira ad irrogare sanzioni civili nei confronti di Facebook Ireland e Facebook Inc. per lo scandalo Cambridge Analytica, che ora proseguirà davanti alla Corte Federale. A questo proposito, l’OAIC ha osservato di aver avviato un procedimento contro Facebook, con sede negli Stati Uniti, il 9 marzo 2020, sostenendo che la piattaforma di social media abbia commesso gravi e ripetute interferenze in violazione della legge australiana sulla privacy.

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) ha annunciato la pubblicazione di una nuova guida (“Privacy in the product design lifecycle”) per aiutare i progettisti, i product manager e gli ingegneri dei software a integrare la protezione dei dati nei loro prodotti e servizi fin dall’inizio. Inoltre, la guida affronta le principali considerazioni sulla privacy per ogni fase della progettazione del prodotto. L’ICO ha osservato che la guida, scritta insieme a diversi tecnici di lavoro, offre maggiore certezza su ciò che le organizzazioni potrebbero fare per affrontare i problemi di privacy nel ciclo di vita del prodotto.

REGNO UNITO/2 – L’Information Commissioner’s Office (“ICO”) ha pubblicato un comunicato stampa per annunciare un aggiornamento della propria guida su AI e Data Protection, a seguito dei rilievi e commenti ricevuti dall’industria del settore e dagli esperti in materia privacy.

NORVEGIA – L’autorità norvegese per la protezione dei dati (“Datatilsynet”) ha pubblicato un post sul proprio sito contenente un estratto del discorso tenuto al Parlamento europeo e incentrato sull’intelligenza artificiale. In particolare, il post sul blog sottolinea che, sebbene molte delle tecnologie di intelligenza artificiale abbiano un impatto positivo, dovrebbero essere gestite con cura, poiché a volte possono avere conseguenze negative di vasta portata, in particolare per i diritti e le libertà fondamentali delle persone. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Austin Goode grazie a Unsplash.

News #10/2023: l’anno peggiore di sempre per la cybersecurity, mentre arriva l’AI per tutti


LE PRINCIPALI NEWS DELLA SETTIMANA

  • il Consiglio d’Europa approva le “sue” Clausole Contrattuali Tipo, collegate alla #Convenzione 108+
  • il Parlamento UE si muove sulla #Identità #Digitale del futuro
  • Novità in materia di AI e “AI Act” a livello europeo: scelta la #definizione
  • approvato (finalmente) dal CdM il Decreto #Whistleblowing
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • non solo esperto privacy, non solo iper-certificato IAPP, Jamal Ahmed opera soprattutto come mentore di professionisti nel settore della data protection, oltre a essere host di un podcast di grande successo, offrendo quotidianamente indicazioni su novità e sfide da affrontare nel lavoro.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Rosanna – Toto (1982)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

CLAUSOLE CONTRATTUALI TIPO E CONVENZIONE 108+ – Il Consiglio d’Europa ha pubblicato una versione rivista di Clausole contrattuali tipo (“SCC”) per il trasferimento di dati personali da Titolare a Titolare, ai sensi del Protocollo di modifica della Convenzione per la protezione delle persone fisiche con riguardo al trattamento dei dati personali (“Convenzione 108+”). In particolare, la bozza riveduta di SCC include nuove definizioni, anche per i termini “violazione dei dati”, “esportatore di dati” e “importatore di dati”, e modifica alcune clausole esistenti relative a (i) due diligence e cooperazione tra l’importatore e l’esportatore di dati, (ii) sicurezza dei dati, (iii) trasferimenti successivi e (iv) ricorsi per gli interessati.

RAPPORTO CLUSIT – Il 2022 è stato l’anno peggiore da sempre per la cybersecurity, stando ai dati che emergono dal Rapporto Clusit 2023 illustrato in anteprima da Clusit – Associazione italiana per la sicurezza informatica –  in vista della presentazione ufficiale in programma all’apertura di Security Summit, a Milano dal 14 al 16 marzo. Secondo i ricercatori di Clusit, il processo di rapida adozione e messa in campo di strumenti cyber-offensivi sofisticati sarà difficilmente reversibile, e in prospettiva potrebbe causare gravi conseguenze in un mondo già fortemente digitalizzato ma sostanzialmente impreparato ad affrontare minacce di questa natura. Dal rapporto emerge la necessità di una ulteriore evoluzione nell’approccio alla cybersecurity: occorre un aggiornamento normativo, e che si mettano in atto a tutti i livelli i processi di valutazione e gestione del rischio per il business, atti a calibrare adeguatamente gli investimenti sulla base delle reali necessità.

AI – Un gruppo di rappresentanti europei del settore industriale ha rilasciato una dichiarazione congiunta sulla proposta di Regolamento sull’intelligenza artificiale. La dichiarazione esorta il Parlamento europeo a garantire che eventuali nuovi requisiti e modifiche alla legge sull’IA siano introdotti tenendo conto della loro fattibilità tecnica, dell’impatto sulla certezza del diritto e della capacità degli sviluppatori di intelligenza artificiale, degli utilizzatori e gli utenti a conformarsi allo stesso: tutto questo mentre impazza la “corsa all’AI” da parte delle Big Tech di matrice USA, e si discute persino di quale esatta definizione attribuire all’Intelligenza Artificiale (soluzione breve: quella dell’OECD).

IDENTITÀ DIGITALE – Il 9 marzo 2023 il Parlamento europeo ha emesso un comunicato stampa in cui conferma che adotterà una posizione favorevole sulla proposta di regolamento per quanto riguarda l’istituzione di un quadro per un’identità digitale europea durante la sessione plenaria prevista di marzo, a seguito dell’adozione dell’orientamento generale da parte del Consiglio dell’Unione europea nel dicembre 2022. In particolare , il Parlamento ha osservato che la posizione adottata dalla Commissione per l’industria, la ricerca e l’energia ha evidenziato l’importanza di garantire che i sistemi nazionali funzionino tra loro, siano semplici da usare e che le persone abbiano il controllo sui propri dati personali.

ISO 27001 – Lo scorso 6 marzo Accredia ha rilasciato (come segnala Cesare Gallotti in un suo post) le regole di transizione delle certificazioni ISO/IEC 27001:2013 alla versione aggiornata dell’ottobre 2022. Interessante sottolineare che il periodo di transizione, della durata di tre anni, farà si che ogni soggetto certificato debba trasferire il proprio certificato entro il 25 novembre 2022, alternativamente durante un audit programmato o con un audit di transizione speciale.

SISTEMA DI INFORMAZIONE SCHENGEN – Il Comitato europeo per la protezione dei dati personali (“EDPB”) ha pubblicato una comunicazione per ricordare l’entrata in funzione, in data 7 marzo, del nuovo Sistema d’informazione Schengen (“SIS”). L’EDPB ha osservato che il SIS è un sistema informatico su larga scala che supporta la sicurezza interna e lo scambio di informazioni su persone e oggetti tra polizia nazionale, controllo delle frontiere, dogane, visti e, a questo proposito, l’EDPB ha spiegato che, al fine di affrontare meglio la lotta al terrorismo e alla migrazione irregolare, i regolamenti SIS esistenti sono stati modificati per includere, tra l’altro, un uso più ampio dei dati biometrici e la creazione di nuove categorie di segnalazioni. Il controllo e il monitoraggio del SIS sarà di competenza del Comitato di controllo coordinato (“CSC”), che riunisce le autorità nazionali europee per la protezione dei dati e il Garante europeo della protezione dei dati, per garantire il controllo coordinato di grandi sistemi IT su larga scala e di organi, uffici e agenzie dell’UE.

ADEGUATEZZA USA-UE – Come riporta Luiz Alberto Montezuma, è stato pubblicato un testo del Parlamento UE contenente le proposte di modifica dell’accordo noto come EU-US Data Protection Framework, che è in corso di valutazione per una “nuova” decisione di adeguatezza per il trasferimento di dati tra Europa e Stati Uniti: 92 emendamenti per renderlo più solido. Ora la palla passa alla Commissione UE che dovrà valutare i pareri (certo non molto positivi) proprio del Parlamento e dell’EDPB.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

APPROVATO IL DECRETO WHISLEBLOWING – Il Consiglio dei Ministri ha approvato il 9 marzo scorso il Decreto di attuazione della Direttiva 2019/1937 in materia di “whistleblowing”. Al momento è circolato un testo non ufficiale, mentre si attende la pubblicazione in Gazzetta per l’entrata in vigore. Da quanto si legge sul sito di ANAC, le disposizioni dovrebbero divenire efficaci dal 15 luglio 2023.

REATI AMBIENTALI – Con la sentenza n. 5576 dello scorso 9 febbraio – consultabile gratuitamente per gli iscritti all’Associazione Aodv231 – la Suprema Corte di Cassazione ha stabilito che è sufficiente la realizzazione di nuovi punti di immissione per fondare il rischio di aumento delle emissioni prodotte dall’azienda e, di conseguenza, il relativo danno e/o pericolo ambientale.

NUOVO REATO PRESUPPOSTO – Con il D. Lgs. n.19 dello scorso 3 marzo 2023 – pubblicato in Gazzetta Ufficiale il 7 marzo e recante disposizioni in materia di attuazione della Direttiva UE 2019/2121 in materia di trasformazioni, fusioni e scissioni transfrontaliere – è stato aggiunto un nuovo #reatopresupposto nel catalogo dei reati previsto dal D. Lgs. 231/2001. L’art. 55 del nuovo Decreto, infatti, interviene sull’art.25-ter in materia di #reatisocietari estendendo la punibilità dell’ente non solo in relazione agli illeciti previsti dal codice civile, ma anche a quelli previsti da “altre leggi speciali”. Con la novella è stata inoltre aggiunta una nuova lettera “s-ter” che prevede l’applicazione di sanzioni pecuniarie – da 150 a 300 quote – per il delitto di false o omesse dichiarazioni per il rilascio del certificato preliminare previsto dalla normativa attuativa della Direttiva UE 2019/2021, e cioè del documento accompagnatorio di operazioni straordinarie transfrontaliere.

QUADERNI ANTIRICICLAGGIO – È stata di recente pubblicata ad opera della Unità di Informazione Finanziaria istituita presso la Banca d’Italia la ventesima edizione dei “Quaderni dell’antiriciclaggio” dal titolo “Analisi e studi – La normativa in tema di prevenzione del riciclaggio: autorità, regole e controlli”. Il documento analizzare in maniera dettagliata le regole e le prassi operative caratterizzanti il sistema di #antiriciclaggio italiano in vista della prossima riforma della disciplina europea volta a (i) armonizzare le normative nazionali dei Paesi Membri e (ii) modificare l’apparato istituzionale europeo per la prevenzione del riciclaggio e del finanziamento al terrorismo.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TWITTER/1 – Lo scorso 6 marzo l’Autorità anticorruzione turca ha annunciato di aver multato Twitter per non aver richiesto la preventiva autorizzazione all’acquisizione da parte di Elon Musk, contravvenendo in tal modo alle regole di concorrenza locali. L’importo della sanzione è rappresentato dallo 0,1% del fatturato lordo conseguito in Turchia nell 2022. Twitter dispone ora di 60 giorni per impugnare tale decisione dinanzi al Tribunale amministrativo di Ankara.

TWITTER/2 – La bufera causata dagli ennesimi licenziamenti attuati in casa Twitter ha recentemente un danno d’immagine collaterale per il patron di Tesla, Elon Musk. Haraldur “Halli” Thorleiffson ha infatti reso pubblico sui social che, all’indomani della notizia dei licenziamenti, per ben 9 giorni non è stato in grado di comprendere se fosse ancora o meno un dipendente del social. Attraverso il suo account Halli, seguito da oltre 130mila persone, ha allora chiesto spiegazioni direttamente a Musk. La risposta e il successivo thread, naturalmente a colpi di tweet, si sono rivelati a dir poco agghiaccianti: Musk ha deriso infatti il suo ex dipendente affermando di non avere particolare rispetto per lui, e che lo stesso “non lavorava davvero”, a detta di Musk, a causa di una finta disabilità. Di fronte ad una tale insensibilità, Thorleiffson ha pertanto deciso di sbugiardare pubblicamente il suo ex capo, rendendo pubblica la propria condizione di salute, caratterizzata da oltre venti anni da distrofia muscolare – malattia degenerativa che lo ha costretto alla sedia a rotelle e che certamente gli impone alcune pause – ma che non gli impedisce in ogni caso di adempiere alle proprie prestazioni.

8 MARZO DIGITALE – In occasione della giornata internazionale per i diritti delle donne, vengono richiamate dalla Commissione le decisioni che l’Unione europea ha preso per garantire alle donne le stesse opportunità degli uomini, tra le quali, ad esempio, le nuove norme Unione europea sull’equilibrio di genere nei consigli di amministrazione delle società o sulla trasparenza delle retribuzioni, si evidenzia la Commissione europea. Attraverso la Strategia digitale e Crescita sostenibile, l’Unione europea punta a garantire alle donne un accesso paritario al potenziale non sfruttato delle tecnologie digitali. La Presidente della Commissione europea ha dichiarato che nel 2023 gli investimenti nell’istruzione e nella formazione delle donne e delle ragazze dovranno avere un ruolo fondamentale per migliorare la posizione delle donne in tutti i campi e per colmare il divario retributivo di genere. 

TELEMEDICINA – È stato firmato, alla presenza del ministro della Salute, il contratto per implementare una Piattaforma nazionale di telemedicina, avente ad oggetto l’affidamento in concessione della progettazione, realizzazione e gestione dei Servizi abilitanti della Piattaforma, in linea con gli obiettivi strategici del PNRR. Grazie al progetto, i professionisti sanitari potranno disporre di nuovi strumenti per operare efficacemente in ogni situazione individuale e multi-disciplinare, migliorando l’accessibilità dei pazienti alle cure e alle prestazioni sanitarie. La Piattaforma Nazionale di Telemedicina punta a mettere in comunicazione l’Amministrazione sanitaria centrale con le Amministrazioni locali, con l’obiettivo di abilitare la governance e il monitoraggio centralizzato dei processi di telemedicina attuati a livello regionale. La linea guida di fondo è che il valore fondamentale della telemedicina risiede nella capacità di raggiungere la persona, favorendone non solo la cura ma anche il mantenimento in salute attraverso l’organizzazione di servizi inclusivi e sostenibili. In questa prospettiva, la Piattaforma avrà l’obiettivo di favorire l’implementazione omogenea dei percorsi di telemedicina su tutto il territorio nazionale, ottimizzando la deospedalizzazione e potenziando la qualità delle cure di prossimità, tendendo a colmare  il divario e le disparità territoriali in termini di offerta sanitaria e migliorando la qualità clinica e l’accessibilità ai servizi su tutto il territorio nazionale.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SVIZZERA – L’Ufficio federale di giustizia ha pubblicato delle F.A.Q. in materia di protezione dei dati che, in particolare, forniscono maggiori informazioni in merito alla nuova legge federale in materia di privacy (la riveduta LPD, o “nLPD”).

NORVEGIA – Datatilsynet, Autorità garante norvegese, ha recentemente annunciato di aver emesso una decisione preliminare in merito all’utilizzo di Google Analytics da parte di una società locale, il cui sito web rientrava tra quelli denunciati da NOYB.  All’esito dell’attività istruttoria condotta, l’Autorità ha stabilito che l’uso di GA da parte della società era contrastante con le disposizioni dettate dal GDPR in materia di trasferimenti internazionali. L’analisi, in particolare, è stata condotta con riguardo alla versione GA3, ma l’Autorità ha sottolineato che la nuova versione di tale strumento – GA4, appunto – non sempre corregge i problemi individuati col suo predecessore. Le parti interessate dispongono ora di 3 settimane per riferire le proprie osservazioni all’Autorità.

USA – E’ stata presentata al Senato degli Stati Uniti la legge sulla privacy per la difesa dei dati sulla salute e sulla posizione online (“UPHOLD”). Tale legislazione amplierebbe le protezioni per la privacy dei dati sanitari personali degli americani, impedendo alle aziende di trarre profitto dai dati sanitari di identificazione personale per scopi pubblicitari. Inoltre, l’UPHOLD Privacy Act consentirebbe ai consumatori un maggiore accesso alle informazioni sulla salute personale, limitando la capacità delle aziende di raccogliere o utilizzare informazioni sulla salute personale senza il consenso dell’utente e vietando ai broker di dati di vendere dati sulla posizione.

USA (CALIFORNIA) – Presentata il 6 marzo scorso una versione emendata del California Consumer Privacy Act che introduce maggiori tutele e diritti (per i “soli” consumatori) in ambito di dati sensibili – per il GDPR, “particolari” – come riporta DataGuidance. La modifica introduce espressamente i dati relativi alla condizione di cittadino e/o immigrato al catalogo dei dati sensibili protetti dalla normativa californiana, di cui è necessario tenere conto nella gestione dei business che hanno effetto in quello Stato americano.

GERMANIA –  E’ stata pubblicata la decisione della Camera degli Appalti n. VK2-114/22 che ha dichiarato che una società non può essere esclusa da un’offerta di appalto a causa di possibili violazioni del GDPR, relative all’utilizzo di una filiale tedesca di una società statunitense come Responsabile del trattamento dei dati. In particolare, la Camera degli Appalti ha rilevato che il contenzioso tra i soggetti è sorto nell’ambito di una gara per la fornitura di servizi, e che l’aggiudicazione dell’offerta e i documenti contrattuali prevedevano precisi requisiti in relazione alla protezione dei dati. La Camera degli Appalti ha stabilito che l’offerta della società non poteva essere squalificata per possibili violazioni del GDPR, e ha ritenuto che avere una società madre statunitense per un Responsabile del trattamento dei dati tedesco non fosse un motivo valido per presumere trasferimenti illeciti di dati negli Stati Uniti.

REPUBBLICA CECA – L’Ufficio per la protezione dei dati personali (UOOU) ha pubblicato lo scorso 7 marzo delle F.A.Q. in materia di cookie bar e consenso. L’Autorità locale ha, più in particolare, osservato che i cookie rappresentano nella gran parte dei casi un vero e proprio trattamento di dati personali e, di conseguenza, è necessario definire con chiarezza e trasparenza quale sia il loro scopo nonché la base giuridica del relativo trattamento.

GIAPPONE – Il Ministero dell’Economia, del Commercio e dell’Industria giapponese ha pubblicato una Guida in materia di condivisione e divulgazioni delle informazioni relative ai danni causati dagli attacchi informatici. Il documento, tra le altre cose, passa in rassegna le informazioni che possono essere incluse negli annunci relativi agli attacchi e quelle che, invece, dovrebbero rimanere riservate.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina Possessed Photography grazie a Unsplash.

News #9/2023: la strada dei dati tra USA e UE è ancora lunga e complessa 

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • l’EDPB si accoda al Parlamento nel chiedere alla Commissione nuovi approfondimenti prima di dichiarare “adeguati” gli USA per il trasferimento di dati personali ai sensi del GDPR;
  • il Governo approva il recepimento della Direttiva Omnibus, con importanti impatti sulla tutela dei consumatori (anche nell’eCommerce);
  • TikTok bannata dai device dei dipendenti UE, lo faremo anche in Italia?
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • chi si interessa di trasferimenti internazionali di dati non può mancare di seguire il profilo di Luiz Alberto Montezuma, “facilitatore di spazi internazionali di dati personali”, con post quotidiani ricchi di numerosi spunti in materia.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Three O’Clock Blues – Eric Clapton & B.B. King (2000)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

EDPB SUL PROGETTO DI DPF – Lo scorso 28 febbraio l’European Data Protection Board (EDPB) ha pubblicato il parere 5/2023 in merito al progetto di esecuzione della Commissione europea sull’adeguata protezione dei dati nell’ambito del Data Protection Framework UE-USA. Nel documento l’EDPB espone diverse preoccupazioni – già evidenziate in precedenza rispetto al defunto “Privacy Shield” – soprattutto per quel che riguarda la tematica dei diritti degli interessati. Più in particolare, il Comitato si è soffermato (i) sui trattamenti decisionali automatizzati, stabilendo che vanno formulate norma più specifiche al di fornire le “garanzie sufficienti” richieste dal GDPR e (ii) sul meccanismo di ricorso, evidenziando che – nonostante i miglioramenti – rimangono ferme le preoccupazione relative all’applicazione generale della risposta standard della DPCR (Data Protection Review Court). Dopo il Parlamento, quindi, un altro parere critico e che poco aiuta la Commissione nel percorso di approvazione della decisione (eminentemente politica) riguardo all’adeguatezza degli USA per il trasferimento di dati personali.

NOYB – “None Of Your Business” – l’organizzazione no profit di Max Schrems – ha di recente annunciato di aver presentato una serie di reclami contro siti web e broker di dati in materia di diritto di accesso. In particolare, NOYB ha spiegato che alcuni utenti hanno effettuato una serie di richieste di accesso al fine di testare la gestione dell’autenticazione dei cookie, allegando alla richiesta  i cookie installati dai siti web di riferimento quale mezzo di identificazione. Secondo l’organizzazione, molte delle risposte ricevute dagli interessati non erano sufficienti e,  addirittura, in alcuni casi (i) erano stati richiesti dati ulteriori ai fini della identificazione e (ii) la richiesta di accesso era stata completamente ignorata.

CYBERCRIME –  I furti di identità in Italia sono cresciuti in modo esponenziale, ha evidenziato la Relazione sulla politica dell’informazione per la sicurezza relativa al 2022, curata dal Comparto Intelligence nella sezione dedicata alla minaccia cibernetica. La capacità di attribuzione acquisita dall’Intelligence e l’ampio ricorso da parte degli attori statuali a strumenti impiegati anche da gruppi criminali ha consentito di rilevare una sensibile crescita degli attacchi di matrice criminale. Si è confermato anche per il 2022 il ricorso da parte dei principali criminali informatici, alla registrazione di domini malevoli, ossia quelli connotati, per denominazione e caratteristiche, da un’elevata similitudine con quelli di siti istituzionali e governativi, al fine di dirottare inconsapevolmente gli utenti verso siti web compromessi. È continuata anche la ricerca delle vulnerabilità tecniche esposte dai target selezionati, funzionale a tentativi di violazione delle loro reti informatiche, nonché ad attacchi informatici. A tale contrazione ha fatto da contraltare un incremento nell’impiego di malware da parte di attori di matrice criminale.

DSA E TASSA DI VIGILANZA –  La Commissione europea ha stabilito le regole per la riscossione delle tasse sulla vigilanza per le piattaforme e i motori di ricerca online di grandi dimensioni, che verranno applicate per la prima volta nell’autunno 2023. Come previsto dal Digital Services Act (“DSA”), la Commissione può imporre una tassa ai fornitori sottoposti alla sua supervisione, risorse che serviranno a finanziare i costi sostenuti per le attività di controllo della Commissione. Il regolamento specifica infatti le procedure per il calcolo e la riscossione della tassa di vigilanza, fornisce dettagli sui costi complessivi stimati da coprire con le tasse riscosse e sulla determinazione delle singole imposte. Gli obblighi per i fornitori di servizi individuati dal DSA diventeranno applicabili quattro mesi dopo la loro designazione formale.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CRIMINALITÀ ECONOMICA – L’Ufficio Nazionale del Procuratore Finanziario francese (PNF) – operante nel settore del monitoraggio e contrasto dei reati di natura economica e finanziaria – ha emesso di recente un aggiornamento delle Linee Guida del 2019 in materia di accordi di negoziazione sull’esercizio dell’azione penale in materia di criminalità di impresa (cd. CJIP, Convention Judiciaire d’Intérêt Public). Il documento delinea una politica premiale tesa a stimolare la spontanea cooperazione tra gli enti operanti nel settore nell’ambito della quale vengono valorizzate iniziative quali l’auto-segnalazione. In caso di fallimento tali accordi di negoziazione rimangono secretati, ma in caso di esito favorevole le imprese possono ottenere concreti benefici, soprattutto in termini di ridimensionamento delle sanzioni.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

ECOMMERCE – E’ stato approvato dal Consglio dei Ministri il Decreto Legislativo di attuazione della cosiddetta “Direttiva Omnibus”, di grande rilevanza per l’impatto sulla tutela dei consumatori in particolare nell’ambito eCommerce. Come precisato dal Ministero dello Sviluppo Economico, le principali novità riguardano la #trasparenza di informazione, l’aggiornamento dei casi di #praticheingannevoli e l’aumento del regime delle #sanzioni applicabili.

TWITTER – Tornano i licenziamenti in casa Twitter. Ad essere colpiti ben 200 dipendenti, il 10% di quelli “sopravvissuti” all’ondata dello scorso autunno. La ragione di tale ridimensionamento è da ricercarsi nella “necessità” avvertita da Musk di ridurre i costi della società. Qualche stranezza, in effetti, era già nell’aria: già da una settimana il servizio di messaggistica istantanea aziendale  era stato messo offline, rendendo di fatto impossibile la comunicazione tra i dipendenti e la consultazione di dati aziendali. Alcuni dipendenti hanno poi riferito di aver avuto qualche certezza in più circa il loro imminente allontanamento lo scorso sabato, quando hanno scoperto di essere stati disconnessi dal loro account aziendale. 

AGCOM & TIKTOK – Si è espresso anche il commissario Agcom, Antonello Giacomelli, sull’ipotesi di divieto di utilizzo, all’interno della Pubblica Amministrazione, della app di TikTok negli smartphone lavorativi, che impatterebbe circa 3,2 milioni di dipendenti statali. La decisione vorrebbe porsi nel solco di quella adottata dalla Commissione Europea, che ha già imposto il divieto. Dal canto suo, la piattaforma ha ribadito che i dati degli utenti non si troverebbero in Cina, e che il governo cinese non avrebbe mai presentato alcuna richiesta di accesso ai dati.

OPEN BANKING – Uno studio pubblicato dalla Banca d’Italia (“L’open banking nel sistema dei pagamenti: evoluzione infrastrutturale, innovazione e sicurezza, prassi di vigilanza e sorveglianza”) ha rilevato che la diffusione dell’open banking sta determinando una profonda discontinuità nelle modalità di possesso e di utilizzo dei dati personali degli utenti dei servizi finanziari. In particolare, nei pagamenti, l’open banking porta a un parziale ridimensionamento del ruolo, finora esclusivo, degli intermediari presso cui i conti dei clienti sono radicati, consentendo a terze parti di effettuare il pagamento per conto del consumatore, senza la necessità che esse abbiano una relazione contrattuale con la banca. L’open banking genera una maggiore complessità tecnologica e aumenta le interconnessioni all’interno dell’industria dei pagamenti. Per questo, afferma Banca d’Italia, è necessario che le autorità pubbliche definiscano assetti regolamentari e di vigilanza in grado di fare evolvere l’intero sistema finanziario verso una maggiore efficienza e inclusività, garantendo sicurezza e affidabilità.

PREVISIONI DI CRESCITA DELL’ECONOMIA DIGITALE – L’economia digitale rappresenterà più della metà del Pil globale entro la fine del 2023, e la crescita del 5G e l’evoluzione delle tecnologie di connettività aumenteranno i benefici economici globali di circa il 15%. È quanto emerge dallo studio “Driving development: The impact of Ict investments on the digital economy” realizzato da Huawei, in collaborazione con EI Studios e Gsma Intelligence e presentato in occasione del Mobile World Congress di Barcellona. La principale conclusione a cui si giunge è che che informatica e digitalizzazione sono destinati a guidare la quarta rivoluzione industriale. Le telecomunicazioni hanno un ruolo centrale in quanto promotori dell’economia digitale, sono state determinanti nel fornire le necessarie infrastrutture di connettività e finora hanno sostenuto l’onere degli investimenti in linea con il loro ruolo di servizi pubblici. Per mantenere questa crescita sostenibile ed efficace, sarà necessario creare collaborazione e dialogo con il settore privato per creare quadri normativi di supporto e incentivare l’innovazione, entrambi aspetti essenziali per dare impulso all’economia digitale del futuro.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

IRLANDA –  L’Autorità garante irlandese (DPC) ha di recente annunciato di aver sanzionato la società Centric Health Ltd. per violazione del GDPR, in particolare delle disposizioni in materia di misure di sicurezza. Dalle indagini svolte dall’Autorità è infatti emerso che, in conseguenza di attacco hacker, era stato registrato l’accesso non autorizzato e la perdita della disponibilità di dati personali – anche particolari – di 70 mila interessati, nonché la perdita definitiva di dati di oltre 2500 pazienti. Secondo l’Autorità l’incidente di sicurezza non si sarebbe verificato se la Centric Health avesse implementato adeguate misure di sicurezza – tecniche e organizzative – tali da garantire un livello di rischio “adeguato”. Per tale motivo, la società è stata sanzionata per 460 mila euro.

DANIMARCA – L’autorità danese per la protezione dei dati (“Datatilsynet”) ha annunciato che l’agenzia danese per la sicurezza digitale ha attivato una nuova hotline per i cittadini e le imprese che necessitano di consulenza e orientamento per proteggersi da crimine informatico. In particolare, il Datatilsynet ha affermato che la hotline (i) facilita l’accesso alle di prevenzione su come i cittadini dovrebbero proteggersi dai criminali informatici, (ii) fornisce consigli e indicazioni su come proteggere una rete wireless domestica, aggiornare i programmi o proteggere i dispositivi digitali dei bambini; (iii) propone indicazioni su come un’azienda può reagire se esposta a un attacco informatico, compresi i vantaggi e gli svantaggi delle diverse azioni.

USA –  L’Electronic Privacy Information Center (“EPIC”) ha annunciato di aver presentato commenti alla Federal Communications Commission (“FCC”) in merito alla proposta per cui potrebbero essere raccolti dati sulla posizione dei telefoni cellulari per migliorare l’instradamento delle chiamate al 911. In particolare, EPIC ha sottolineato di apprezzare l’obiettivo della FCC di migliorare i tempi di risposta alle emergenze, ma anche che la proposta non tiene conto dell’incapacità dei dispositivi di salvaguardare i dati sulla posizione. 

USA / COLORADO – La bozza rivista del Colorado Privacy Act (“CPA”) è stata depositata presso il Segretario di Stato, dopo la loro pubblicazione da parte del Colorado Attorney General (“AG”) il 27 gennaio 2023. In particolare, l’ultima revisione riguarda diversi elementi del progetto di CPA, tra cui (i) l’aggiornamento di alcune definizioni, (ii) fornire nuovi esempi per i programmi di fidelizzazione, (iii) modifiche alla divulgazione e alle specifiche delle finalità, (iv) modifiche al consenso, (v) requisiti di contenuto minimo per le valutazioni sulla protezione dei dati.

USA / NEW YORK – E’ stato presentato all’Assemblea dello Stato di New York, e successivamente deferito, nella stessa data, al Comitato per la scienza e la tecnologia dell’Assemblea statale, un atto di modifica del diritto commerciale generale in relazione all’emanazione del New York Child Data Privacy and Protection act. In particolare, il disegno di legge sottolinea che ogni entità che offre un prodotto online destinato agli utenti minorenni a New York deve completare una valutazione dell’impatto sulla protezione dei dati (“DPIA”), e delinea un divieto di raccolta di dati e pubblicità digitale, in modo che nessuna entità che offre un prodotto online destinato a utenti minorenni possa raccogliere, conservare, elaborare o vendere dati personali, a meno che non sia necessario fornire tale servizio agli utenti.

SPAGNA – L’autorità catalana per la protezione dei dati (“APDCAT”) ha pubblicato, il 1° marzo 2023, una guida intitolata “Privacy by design e privacy by default: una guida per gli sviluppatori”. In particolare, l’APDCAT ha evidenziato che la guida funge da risorsa per il rispetto degli obblighi di Privacy by Design e Default ai sensi dell’articolo 25 del GDPR. Inoltre, la guida identifica una serie di misure che possono aiutare la protezione dei dati personali nelle diverse fasi del trattamento dei dati personali, tra cui la crittografia, l’anonimizzazione e la pseudonimizzazione, insieme alle tecniche per l’attuazione di tali misure.

BRASILE –  L’autorità brasiliana per la protezione dei dati (“ANPD”) ha pubblicato una risoluzione definitiva sull’applicazione delle sanzioni amministrative a seguito di consultazione pubblica. In particolare, l’ANPD ha evidenziato che la risoluzione mira a disciplinare i criteri e i parametri per le sanzioni pecuniarie e non pecuniarie che possono essere irrogate dall’ANPD. Inoltre, l’autorità ha rilevato che la delibera modificherà alcuni articoli al fine di migliorare il processo sanzionatorio amministrativo e ispettivo per fornire certezza del diritto e trasparenza.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Charles Forerunner grazie a Unsplash.

News #8/2023: linee guida EDPB, indicazioni sul DSA, Spid a rischio

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • potrebbe non rinnovarsi la convenzione di SPID, spegnendo così 33 milioni di identità digitali italiane;
  • nuova newsletter del Garante e linee guida EDPB: molto da leggere;
  • #privacynotincluded è uno studio della Mozilla Foundation su quanto le app dichiarino all’utente (male, poco, in modo opaco) sul trattamento di dati;
  • pubblicato un interessante toolbox di ENISA per armonizzare gli strumenti di risk management;
  • importante decisione della Cassazione in materia di autoriciclaggio.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Anche in onore del libro consigliato qui sotto, un profilo da seguire per la ricchezza di spunti e la personale (e competentissima) visione del mondo dei dati personali è quello di Francesco Pizzetti, professore di Diritto Costituzionale e già Presidente dell’Autorità Garante.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • A Love Supreme (Suite) – John Coltrane (1965)
Non è stato fornito nessun testo alternativo per questa immagine

IL LIBRO DELLA SETTIMANA

“LA PRIVACY NELL’ERA DIGITALE” – Il nuovo volume dal titolo “La privacy nell’era digitale”  racconta la storia dell’evoluzione di diritti e tecnologie dal 1997 al 2022, e apre una prospettiva sugli scenari futuri. Il libro ricostruisce la storia dell’Autorità Garante attraverso i discorsi dei suoi #Presidenti, dalla sua istituzione nel 1997, e ripercorre l’evoluzione di un’Autorità indipendente che, nelle parole del presidente Stanzione, “ha saputo adeguare la propria azione alle esigenze sociali emergenti e alle istanze di tutela manifestate dai cittadini”. Il libro sottolinea anche le sfide poste all’Autorità nel mondo digitale di oggi: innanzitutto quella di distinguere in rete l’interlocutore umano dall’interlocutore-macchina e la necessità di una rapida risposta della normative alla rapidissima evoluzione della tecnologia.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

IDENTITA’ DIGITALE – Il Governo ha annunciato di voler unificare i servizi di CiE e SPID in un #nuovo sistema pubblico di #identitàdigitale. Giovedì 23 febbraio, presso il Dipartimento della Trasformazione digitale, si è così svolto il primo incontro tra il sottosegretario all’Innovazione e gli esperti del tavolo tecnico nominato per valutare la fattibilità del progetto. L’intenzione del Governo è quello di #unificare i servizi esistenti di identità del cittadino in un’unica applicazione, in linea con il progetto elaborato dalla Commissione europea che mira a rendere operativo un sistema comune europeo di identità elettronica. Tuttavia, come spiega in dettaglio questo articolo di Wired, il Governo ha parallelamente deciso di non rinnovare (per ora) le #convenzioni ai gestori Spid, in scadenza il prossimo #23aprile. Problemi di costi, ma (potenzialmente) grandi problemi per tutti noi cittadini, che potremmo ritrovarci senza uno strumento molto importante per l’accesso al digitale, davvero tra pochi giorni.

COMMENTI PUBBLICI DSA – Lo scorso 17 febbraio la Commissione europea ha annunciato di aver avviato una consultazione pubblica sulle procedure di applicazione del Digital Service Act (#DSA). In particolare, il regolamento di esecuzione del DSA stabilisce che la Commissione ha il potere di ordinare ai fornitori di piattaforme o motori di ricerca molto grandi – quelli cioè che raggiungo il 10% della popolazione dell’UE o 45 milioni di utenti mensili – di (i) fornirle l’accesso a banche dati  e algoritmi e (ii) identificare le informazioni coperte dal segreto aziendale o comunque riservate. Il termine ultimo entro il quale inviare commenti è fissato al 16 marzo 2023. I commenti possono essere inviati a questo link. Ricordiamo, inoltre, che dallo scorso 17 febbraio è ufficialmente in vigore per piattaforme online e motori di ricerca l’obbligo di comunicare con cadenza semestrale un #report relativo al numero di utenti raggiunti.

TWITTER – Attraverso un post sul suo blog ufficiale Twitter ha annunciato una importantissima novità: dal prossimo 20 marzo l’autenticazione a due fattori (cd. #2FA) tramite SMS potrà essere attivata esclusivamente dagli utenti aderenti al piano #TwitterBlue, e cioè quello a pagamento. La notizia è chiaramente allarmante, dal momento che comporterà per milioni di utenti possibili rischi dal punto di vista della #sicurezza #informatica del proprio account. L’autenticazione a due fattori è infatti un livello di protezione ulteriore che si aggiunge alla password e che, attraverso un codice che solo l’utente può avere, ne rafforza l’autenticazione. Alla luce di questo imminente cambiamento il consiglio è quindi quello di affrettarsi ad attivare la doppia identificazione via app prima che sia troppo tardi. 

EVASIONE IVA DI META, FORSE – Il Nucleo di polizia economico finanziaria della Guardia di Finanza di Milano ha #contestato come omesso versamento dell’Iva un importo di 870 milioni, per gli anni che vanno dal 2015 al 2021, alla piattaforma Meta. L’indagine, attraverso un calcolo specifico sulla permuta di beni differenti, ha permesso di rilevare l’Iva non versata, che riguarda l’iscrizione degli utenti sulle diverse #piattaforme social. Tali Iscrizioni, infatti, avvengono #gratuitamente, ma con l’utente che in realtà paga una sorta di tassa, perché mette a disposizione i propri dati personali e si sottopone a una potenziale profilazione. Attraverso questo scambio, formalmente gratuito, Meta può trarre un profitto, che, in base a valutazioni giuridiche e fiscali, deve essere #tassato, secondo gli inquirenti, con l’applicazione dell’imposta sul valore aggiunto, che Meta, invece, negli anni non ha mai versato.

ARTIFACT – I creatori di Instagram hanno lanciato una nuova App, ci racconta TechCrunch: si chiama Artifact ed è un #newsfeed personalizzato che promette grande controllo su ciò che si legge e, al contempo, un supporto importante a contrastare la ormai dilagante FOMO (Fear Of Missing Out) per quanto riguarda le informazioni che circolano in rete e nel mondo iperconnesso di oggi.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

NEWSLETTER GARANTE – Pubblicata lo scorso 22 febbraio l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata Edison Energia S.p.A. per condotte illecite nei confronti degli utenti in materia di telemarketing –;(ii) fornito al Ministero della Salute un parere su uno schema di decreto in materia di accesso ai medicinali in caso di ricette transfrontaliere; (iii) adottata dall’EDPB una relazione – frutto dell’attività di 22 Autorità garanti dell’area SEE – sui risultati della sua prima azione di applicazione coordinata in materia di #cloud nelle amministrazioni pubbliche. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9857857

LINEE GUIDA EDPB – Il 24 febbraio 2023 il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato di aver adottato tre serie di linee guida nella loro versione finale, a seguito della sua 75° riunione plenaria. In particolare, le linee guida adottate dall’EDPB riguardano (i) l’interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali di cui al capo V del GDPR (Linee guida 05/2021); (ii) la Certificazione come strumento per i Trasferimenti (Linee guida 07/2022); (iii) i dark patterns nelle interfacce delle piattaforme di social media (Linee guida 03/2022). L’EDPB ha sottolineato che, a seguito di consultazione pubblica, le linee guida sono state aggiornate e sono stati aggiunti ulteriori chiarimenti, in particolare, in merito alle responsabilità del Titolare del trattamento quando l’esportatore dei dati è un Responsabile del trattamento. Nel frattempo, sempre l’EDPB ha annunciato la pubblicazione del suo programma di lavoro 2023-2024, in cui delinea priorità e strategia per il prossimo biennio, con particolare focus sulla armonizzazione del GDPR nei vari paesi UE.

ONE-STOP-SHOP – L’European Data Protection Board (EDPB) ha di recente pubblicato un documento tematico in materia di diritto di opposizione al trattamento e di cancellazione dei dati persona dal titolo “One-Stop-Shop case digest on right to object and right to erasure”. Il documento, datato 9 dicembre 2022, esamina una serie di decisioni finali prese dal registro pubblico dell’EDPB (cd. One-Stop-Shop) tra l’agosto e il novembre dello scorso anno, rendendo evidente – e anzi, sottolineando – il pregevole lavoro di collaborazione svolto dalle diverse Autorità garanti nazionali ai fini di una corretta applicazione del GDPR

UTENTI META DEL REGNO UNITO – La piattaforma Meta modificherà i propri termini di servizio e le condizioni sulla privacy per gli utenti del Regno Unito. Gli utenti britannici di Facebook, Instagram e WhatsApp manterranno i diritti sui dati ai sensi del UK GDPR, mentre l’azienda #sposterà i dati degli utenti fuori dalla giurisdizione del Regolamento. Un portavoce di Meta ha dichiarato che gli aggiornamenti, pianificati in seguito all’accordo Brexit 2020 del Regno Unito, non cambiano il modo in cui la piattaforma tratta i dati degli utenti britannici. La dichiarazione arriva proprio nel momento in cui Meta si trova ad affrontare un potenziale blackout dei servizi dell’Unione europea, in attesa di una decisione sul trasferimento dei dati da parte dell’European Data Protection Board (“EDPB”).

PRIVACYNOTINCLUDED – Uno studio dei ricercatori di Mozilla Foundation ha evidenziato come vi sia una sostanziale (e dilagante) #inconsistenza tra le “etichette” presenti ormai da tempo sul Google Play Store e quello che in realtà le App fanno con i dati personali, per almeno l’80% dei casi analizzati. Principale imputato di ciò è il Data Safety Form di Google che permette di nascondere e/o rendere opaco il trattamento di dati personali effettivamente svolto con una app.

COOPERAZIONE TRA AUTORITA’ GARANTI – La Commissione europea ha pubblicato un’iniziativa che specifica nel dettaglio le norme procedurali relative all’applicazione del GDPR da parte delle Autorità garanti. In particolare, l’iniziativa, ancora in fase di preparazione, mira a semplificare la #cooperazione tra le Autorità garanti nell’applicazione del GDPR nei casi #transfrontalieri. A tal fine, la Commissione punta ad armonizzare alcuni aspetti della procedura amministrativa che le Autorità garanti applicano nei casi transfrontalieri, con l’obiettivo di favorire il buon funzionamento dei meccanismi di cooperazione e di risoluzione delle controversie del GDPR.

TOOLBOX ENISA – E’ stato presentato dall’Agenzia ENISA il EU-Risk Management toolbox, ovvero una soluzione proposta dall’agenzia europea per affrontare i problemi di interoperabilità legati all’uso dei metodi di Risk Management per la sicurezza delle informazioni. Il #toolbox mira a facilitare l’integrazione dei vari metodi di Risk Management nell’ambiente di un’organizzazione, o tra organizzazioni diverse, e a colmare le lacune associate ai diversi approcci dei metodi. L’obiettivo è rendere gli operatori delle società e degli enti in grado di comprendere in modo allineato e omogeneo i #rischi, e di riferire alla comunità e alle autorità competenti i risultati di valutazione del rischio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

AUTORICICLAGGIO – Con sentenza n. 4855 dello scorso 3 febbraio (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che nel delitto di #autoriciclaggio non può applicarsi la causa di esclusione di punibilità di cui all’art. 648-ter.1 comma 4 – e cioè quella relativa alla mera utilizzazione o al godimento personale del denaro, dei beni o delle altre utilità provenienti da delitto – nel caso in cui “(…) per la pluralità degli acquisti effettuati e dei trasferimenti verso altri conti correnti si manifesti una evidente attività di trasformazione del denaro in altri impieghi e beni con chiaro intento speculativo effetto decettivo”.

DOLO EVENTUALE E DICHIARAZIONI INTEGRATIVE – Con la sentenza n.49427 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Cassazione si è pronunciata in materia di delitti tributari, stabilendo in particolare che (i) anche con riferimento ai delitti di cui al D. Lgs. 74/2000 il dolo specifico di evasione è compatibile con il #dolo #eventuale; (ii) ai fini della sussistenza del delitto di #dichiarazione #fraudolenta mediante uso di fatture o altri documenti per operazioni inesistenti è necessario che le fatture false siano già esistenti al momento della dichiarazione fraudolentemente presentata; (iii) la natura giuridica di tali delitti è quella di #delitti #istantanei, e che pertanto il momento del loro perfezionamento è quello della presentazione della dichiarazione annuale. 

CONTROLLO GIUDIZIARIO VOLONTARIO –  La Suprema Corte di Cassazione ha stabilito, con la sentenza n. 2156 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) che ai fini dell’ammissibilità al #controllo #giudiziario di un’impresa a rischio di infiltrazione mafiosa, sono da considerarsi presupposti equivalenti (i) l’interdittiva antimafia e (ii) il rifiuto di iscrizione alla cd. white list. Secondo i Giudici di piazza Cavour, infatti, entrambi i provvedimenti si fondano sulla “sussistenza di un pericolo di infiltrazione e/o attività agevolativa dell’impresa nei confronti della criminalità organizzata”.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

NORVEGIA – Datatilsynet, Autorità garante norvegese, ha di recente inflitto una sanzione di 10 milioni di NOK (pari a quasi 100mila euro) alla società SATS ASA per violazione delle disposizioni del GDPR, in particolare a quelle relative ai diritti degli interessati. Dei quattro reclami ricevuti, l’Autorità ha infatti constatato che la società sanzionata (i) in tre casi non aveva fornito alcun feedback alle richieste di riscontro presentate e (ii) in un caso aveva operato trasferimenti illeciti di dati personali. 

USA – La Federal Communication Commission (FCC) ha annunciato di aver sottoscritto, insieme al Procuratore Generale dello stato dell’Illinois,  un memorandum d’intesa che istituisce strutture di cooperazione e condivisione di informazioni critiche al fine di indagare su spoofing e robocall di truffa. 

REGNO UNITO – Il First-Tier Tribunal inglese si è pronunciato il 20 febbraio 2023 sull’azione dell’Information Commissioner’s Office (“ICO”), che ha ingiunto a una società locale di modificare il modo in cui gestisce i dati personali dei soggetti interessati. In particolare, l’ICO ha affermato che la sentenza del Tribunale ha supportato alcuni aspetti della decisione, pur consentendo l’appello della società in altre aree. L’ICO ha dichiarato che farà il punto sulla sentenza del Tribunale e valuterà attentamente i prossimi passi, inclusa l’opportunità di presentare ricorso.

BELGIO – La Corte d’appello di Bruxelles ha annullato la decisione dell’Autorità di protezione dei dati belga, che aveva sanzionato un Titolare del trattamento per 7.500 euro, per aver ripristinato i dati personali sul laptop di lavoro di un ex dipendente. La decisione è stata annullata perché l’Autorità di protezione dei dati non aveva sufficientemente motivato e specificato le presunte violazioni del GDPR da parte del Titolare del trattamento.

GERMANIA – Il Tribunale regionale superiore di Hamm ha respinto un ricorso e ha confermato che un centro di vaccinazione sia tenuto a pagare i danni morali per aver inviato accidentalmente i dati personali di un soggetto interessato a numerosi destinatari non autorizzati.

GERMANIA/2 – Il Commissario Federale per la Protezione dei Dati ha proibito al Governo Federale di gestire la propria pagina di Facebook in Germania. Secondo le conclusioni dell’autorità, l’Ufficio stampa federale ha violato l’obbligo di rendicontazione di cui all’articolo 5, paragrafo 2, del GDPR, gestendo la propria pagina su Facebook senza essere in grado di dimostrare la conformità ai principi per il trattamento dei dati personali di cui all’articolo 5, paragrafo 1, del GDPR.

SPAGNA – La legge n. 2/2023, del 20 febbraio, che disciplina la protezione delle persone che segnalano violazioni della normativa e la lotta alla corruzione (“Whistleblowing”) e che recepisce la direttiva sulla protezione delle persone che segnalano violazioni del diritto dell’Unione (Direttiva (UE) 2019/1937) (“la Direttiva Whistleblowing”), è stata pubblicata sulla Gazzetta Ufficiale dello Stato, a seguito della sua approvazione da parte del Senato. La legge ha lo scopo di tutelare coloro che, in ambito lavorativo o professionale, rilevano reati penali o amministrativi gravi o gravissimi e li segnalano attraverso i meccanismi ivi disciplinati. Oltre a tutelare chi segnala violazioni della Direttiva Whistleblowing, la Legge Whistleblower copre i reati penali e gli illeciti amministrativi gravi e gravissimi.

SPAGNA/2 – L’AEPD, garante spagnolo, ha recentemente pubblicato sul proprio blog un post in materia di anonimizzazione e rischio di re-identificazione. In particolare, secondo l’Autorità, i titolari del trattamento dovrebbero sempre valutare il rischio degli interessati di essere re-identificati e, se necessario, adottare misure al fine di abbattere tale rischio.

DANIMARCA – L’autorità danese per la protezione dei dati (“Datatilsynet”) ha annunciato, il 20 febbraio 2023, dopo aver emesso due decisioni in relazione all’uso dei cookie wall da parte dei siti web, la pubblicazione di linee guida sull’uso dei cookie wall. In particolare, l’Autorità garante ha affermato che le linee guida includono quattro criteri, che saranno il punto di partenza per la valutazione rispetto all’uso conforme di un cookie wall.

FRANCIA – L’autorità francese per la protezione dei dati personali (“CNIL”) ha pubblicato, il 22 febbraio 2023, un comunicato stampa in cui si affrontano gli usi e le considerazioni sulla privacy della proposta di tessera sanitaria elettronica facoltativa (“E-Carte Vitale”), che dovrebbe essere proposta a tutti fornitori di assicurazioni sanitarie entro la fine del 2025. In particolare, CNIL ha sottolineato che la E-Carte Vitale è una versione virtuale della tradizionale tessera sanitaria e sarà disponibile tramite un’app mobile. La CNIL ha precisato che la E-Carte Vitale conterrà tutte le informazioni amministrative richieste all’interno della tessera sanitaria fisica, comprese quelle relative ai rimborsi delle cure, alla copertura per i ricoveri e all’autenticazione del titolare della tessera, rilevando che nessun dato medico sarà raccolto tramite la E-Carta Vitale.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Steven Kamenar grazie a Unsplash.

News #7/2023: trasferimento di dati tra UE e USA, si riparte da zero?

Un nuovo appuntamento con la nostra #Newsletter in edizione #2023, che raccoglie le più interessanti novità degli ultimi sette giorni in ambito Privacy, 231 e Mercati Digitali, oltre a uno sguardo sulle news dal mondo.

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • il Parlamento UE “boccia” la proposta di decisione di adeguatezza della Commissione riguardo agli Stati Uniti d’America;
  • e intanto si discute della bozza di “Data Act” per i consumatori;
  • mentre l’EDPB annuncia a breve una decisione vincolante sul trasferimento dati UE-USA effettuato da Meta in base alle Clausole Contrattuali Tipo;
  • molte novità in materia di 231 e Whistleblowing;
  • la SEC USA aggiorna i propri regolamenti sul Privacy Act.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana il consiglio è di seguire Luisa Jarovsky, founder di Implement Privacy e di “The Privacy Whisperer”, che è anche una interessante newsletter su LinkedIn a tema privacy e diritti civili.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Have A Nice Day – Stereophonics (2013)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DECISIONE DI ADEGUATEZZA USA – La Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento UE ha presentato, lo scorso 14 febbraio, una bozza di mozione che invita chiaramente la Commissione UE a non proseguire con la decisione di adeguatezza nei confronti degli Stati Uniti, ritornando invece al tavolo delle trattative per far sì che l’amministrazione Biden si impegni a migliorare la situazione legislativa interna. Un duro colpo – seppur non vincolante, e che sarà votato non prima di marzo – al percorso disegnato dalla Commissione per tornare a un flusso transfrontaliero di dati personali conforme al GDPR, in attesa del parere (sempre non vincolante) che sarà emanato dal EDPB tra la primavera e l’estate.

DRAFT DATA ACT – Lo scorso 9 febbraio il Parlamento europeo ha annunciato l’adozione – da parte della commissione per l’industria, la ricerca e l’energia – della bozza di #DataAct, cioè il regolamento recante norme armonizzate in materia di accesso e uso equo dei dati personali, soprattutto da parte di consumatori. Nel suo comunicato il Parlamento ha specificato che la bozza di regolamento dovrà ora essere sottoposta al voto dell’intero Parlamento in occasione della sessione plenaria del prossimo 13-16 marzo.

PLENARIA EDPB – Nelle giornate del 14 e 15 febbraio si è tenuta la 75esima riunione plenaria del Comitato europeo per la protezione dei dati (“EDPB”). Tra gli argomenti discussi, le linee guida (i) sull’interazione tra applicazione dell’articolo 3 e le disposizioni sui trasferimenti interazioni di cui al capo V del GDPR,(ii) sulla Certificazione come strumento per i trasferimenti, (iii) sui Dark Patterns nelle interfacce delle piattaforme dei social media. Nella stessa seduta l’EDPB ha inoltre dato seguito alla sua decisione vincolante del 5 dicembre 2022 sulla questione promossa dalla Data Protection Commission in relazione a WhatsApp Ireland Limited, annunciando una decisione finale entro il 14 aprile (che potrebbe bloccare l’uso di Facebook, Instagram e WhatsApp).

FAKE NEWS E BUONE PRATICHE IN UE – I firmatari del Codice di buone pratiche sulla disinformazione del 2022, comprese tutte le principali piattaforme online (Google, Meta, Microsoft, TikTok, Twitter), hanno pubblicato per la prima volta le relazioni di riferimento sul modo in cui mettono in pratica gli impegni derivanti dal codice. Il Centro per la trasparenza garantirà la visibilità e la responsabilità degli sforzi compiuti dai firmatari per combattere la disinformazione e l’attuazione degli impegni assunti a norma del codice. Con queste relazioni di riferimento, le piattaforme forniscono informazioni e dati completi, tra i quali (i) quante entrate pubblicitarie che affluiscono agli attori della disinformazione sono state evitate; (ii) il numero o il valore degli annunci politici accettati ed etichettati o respinti; (iii) i casi di comportamenti manipolativi rilevati (ossia creazione e utilizzo di account falsi).

TOOLBOX PER IDENTITA’ DIGITALE EUROPEA –  La guida pratica (“toolbox”) pubblicata dalla Commissione europea ed elaborata dagli Stati membri rappresenta una base per progettare un pacchetto di strumenti che integrerà la proposta legislativa sull’identità digitale europea. Si tratta di un primo passo che consentirà la creazione di un quadro per l’identificazione e l’autenticazione digitale basato su standard comuni in tutta l’Unione europea. L’adozione dell’identità digitale europea ha l’obiettivo di fornire un modo sicuro e conveniente per i cittadini e le imprese europee di identificarsi, ove necessario, per accedere ai servizi digitali, in modo rapido e immediato. Gli utenti saranno in grado di archiviare e utilizzare in modo sicuro i dati per tutti i tipi di servizi, come il check-in in aeroporto, il noleggio di un’auto, l’apertura di un conto bancario o l’accesso al proprio account su grandi piattaforme online. Inoltre, l’identità digitale europea consentirà ai cittadini di archiviare credenziali, come patente di guida mobile, patenti professionali, eHealth o credenziali educative.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

WHISTLEBLOWING/1 – Lo scorso 14 febbraio le Commissioni Giustizia e Lavoro pubblico e privato della Camera dei Deputati hanno espresso – con un documento scaricabile gratuitamente per gli iscritti all’Associazione Aodv231 – il loro parere favorevole sullo schema di decreto legislativo in materia di #whistleblowing. All’interno del documento sono inoltre presenti un’osservazione di carattere generale – consistente in un invito a restringere l’ambito di operatività della bozza di decreto alle sole violazioni del diritto europeo – e nove osservazioni di carattere “particolare”, tra cui (i) il suggerimento di prevedere un esonero all’obbligo di istituire un canale interno di segnalazione per le realtà con meno di 50 dipendenti e (ii) istituire sanzioni per i soggetti che effettuano volontariamente segnalazioni false.

WHISTLEBLOWING/2 –  La Commissione europea ha aperto, lo scorso 15 febbraio, la procedura di infrazione per mancato recepimento della direttiva UE 2019/193 (cd. #Whistleblowing) nei confronti di otto Stati membri, tra cui l’Italia. Ciascun Paese membro, infatti, avrebbe dovuto recepire la direttiva entro il 17 dicembre 2021. In particolare, la decisione si fonda sulle risposte – a parere della Commissione “non soddisfacenti” – fornite da tali stati dopo la messa in mora disposta nel gennaio 2022.

WHISTLEBLOWING E LIBERTÀ DI ESPRESSIONE – La Corte Europea per i Diritti dell’Uomo si è recentemente pronunciata, con sentenza dello scorso 14 febbraio, sul tema del regime di tutela del segnalante. In particolare, secondo la Corte, il criterio per valutare il regime di tutela applicabile al whistleblower è la verifica dell’interesse pubblico rivestito dalla informazione diffusa. Quando, cioè, l’informazione è tale da attirare l’attenzione o preoccupare la comunità, la necessità di una sua divulgazione prevale sulla tutela della riservatezza proprio in quanto funzionale alla creazione di un dibattito su questioni di interesse pubblico.

CASSAZIONE SU REQUISITI PER RESPONSABILITA’ 231 –  Non sussiste alcuna responsabilità a carico dell’impresa, imputata di illeciti 231, per i reati commessi dai propri collaboratori, perché il coinvolgimento dell’azienda deve essere puntualmente provato dall’accusa. Anche se l’Ente non ha preventivamente adottato o efficacemente attuato il noto Modello previsto dal Decreto 231, è necessaria la prova di una precisa colpa di organizzazione per potersi configurare la responsabilità amministrativa da reato dell’Ente. Con la recente sentenza 11 gennaio 2023 n. 570 la Corte di Cassazione è tornata su uno dei punti nodali della disciplina sulla responsabilità disciplinata dal Decreto 231, effettuando da un lato la precisa ricognizione dei suoi elementi indispensabili e, dall’altro, sottolineando come essi debbano essere tutti positivamente provati in sede giudiziaria.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TWITTER/ MUSK – Elon Musk ritorna a far parlare di sè. Deluso dai risultati ottenuti nell’ultimo periodo dai suoi tweet, il CEO di Twitter ha modificato il codice dell’app in modo tale da risolvere i suoi problemi di “visibilità”. Il risultato? Migliaia e migliaia di utenti hanno segnalato di aver ricevuto nella sezione “Per te” – quella cioè gestita da un algoritmo – moltissimi tweet e risposte provenienti proprio dall’account di Musk. 

FONDO “ETCI” PER IMPRESE INNOVATIVE – La Banca europea per gli investimenti, il Fondo europeo per gli investimenti e cinque Stati membri dell’Ue, tra i quali l’Italia, hanno inaugurato la European Tech Champions Initiative (“ETCI”), un fondo da 3,75 miliardi di euro che destinerà a imprese innovative europee il capitale di crescita necessario nelle fasi avanzate del loro sviluppo. Il fondo ha l’obiettivo di consolidare i mercati del capitale di rischio per le imprese innovative in Europa, e di appianare divari esistenti nell’accesso ai finanziamenti. I leader del progetto hanno dichiarato che l’Europa può contare su solide imprese innovatrici, ma deve migliorare il contesto che consente alle imprese di fare il passaggio dallo status di start-up a quello di concorrente credibile e leader di mercato.

FURTO DI DATI – Il “Threat Intelligence Report” pubblicato il 14 febbraio dall’Osservatorio Exprivia e relativo all’ultimo quadrimestre del 2022 ha registrato un picco molto alto di minacce informatiche in Italia, con un numero di incidenti informatici e attacchi andati a buon fine pari al doppio del 2021 e oltre al quadruplo del 2020 Secondo gli esperti, ciò è stato possibile proprio per via del crescente lasso di tempo tra il momento dell’attacco e l’incidente, oltre che per le tecniche sempre più sofisticate usate dagli hacker e dalla poca consapevolezza sui rischi legati alla rete da parte di imprese e cittadini. Il settore Finance risulta tra i più colpiti dagli attacchi, dato che le aziende finanziarie, gli istituti bancari, le piattaforme di criptovalute, gestendo importanti quantità di denaro, rappresentano un obiettivo promettente per gli attaccanti.

STANDARD CERTIFICAZIONE AI NATO – Il Data and Artificial Intelligence Review Board (“DARB”) della NATO ha annunciato di aver avviato lo sviluppo di uno standard di certificazione dell’intelligenza artificiale (“AI”) di facile utilizzo. In particolare, il DARB ha sottolineato che lo standard aiuterebbe le industrie e le istituzioni di tutti i membri della NATO a garantire che i nuovi progetti di intelligenza artificiale e dati siano in linea con il diritto internazionale, nonché con le norme e i valori della NATO. Inoltre, il DARB ha precisato che lo standard dovrebbe essere completato entro la fine del 2023 e che il suo scopo è tradurre i Principi di uso responsabile della NATO, approvati nell’ottobre 2021 come parte della prima strategia di intelligenza artificiale della NATO, in controlli ed equilibri concreti in termini di governabilità, tracciabilità e affidabilità, contribuendo così a creare fiducia tra la comunità dell’innovazione, gli utenti finali operativi e il pubblico in generale.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SLOVENIA – Il Commissario per l’informazione sloveno ha recentemente annunciato la pubblicazione di linee guida in materia di organizzazione di eventi. L’organizzazione di tali iniziative, infatti, comporta inevitabilmente il trattamento di dati personali dei soggetti partecipanti partecipanti: per tale ragione è, tra le altre cose, indispensabile garantire la corretta informazione dei partecipanti in merito (i) alle categorie di dati da trattare, (ii) ai motivi per cui tale trattamento risulta necessario e (iii) ai diritti che i partecipanti possono esercitare.

PAESI BASSI – La AP, Autorità garante olandese, ha emesso lo scorso 13 febbraio un parere in materia di utilizzo dei dati personali per finalità di ricerca scientifica. Interrogata dalla Camera dei rappresentanti circa la possibilità di riutilizzo dati di vaccinazione al fine di condurre una ricerca sull’eccesso di mortalità durante la pandemia, l’Autorità ha stabilito – in via generale – che la fornitura di dati sanitari ai ricercatori è possibile e lecita  sia alla luce del GDPR che del CBS (Centraal Bureau voor de Statistiek, organizzazione ufficiale olandese responsabile per il coordinamento dei servizi statistici). L’Autorità ha tuttavia chiarito che il GDPR non si applica al trattamento dei dati sanitari delle persone decedute: per tale motivo, una volta che il soggetto titolare dei dati di vaccinazione sia morto,i dati dovranno tornare ad essere  soggetti al segreto professionale e alla riservatezza. 

GERMANIA – Il 10 febbraio 2023 il Consiglio federale (“Bundesrat”) ha annunciato la decisione di respingere il progetto di legge sulla protezione contro le denunce (“HinSchG”), a seguito della sua adozione da parte del parlamento tedesco (“Bundestag”), il 16 dicembre 2022. In particolare, il Bundesrat ha osservato che il governo federale e il Bundestag potranno convocare un comitato di mediazione per discutere un accordo con gli Stati federali.

BAVIERA – L’Autorità bavarese per la protezione dei dati (BayLfD) ha emesso una guida contenente indicazioni utili al fine di evitare violazioni di dati durante l’utilizzo di Microsoft Excel. L’Autorità, tra le altre cose, ha sottolineato l’importanza di (i) una corretta configurazione dell’applicazione, (ii) l’adozione di particolari precauzioni che riducano al minimo il rischio di divulgazione involontaria di dati personali e (iii) l’utilizzo dello strumento di revisione prima di condividere una cartella di lavoro.

AMBURGO – Interessante decisione di incostituzionalità della Corte territoriale in merito a una legge locale che consentiva l’utilizzo di un software (Palantir “Gotham”, di origine CIA) che permetteva alle forze di polizia di monitorare la “rete” di contatti di un determinato di soggetto, di fatto ponendolo sotto controllo senza necessità di imputargli un effettivo reato.

OMAN – Lo scorso 13 febbraio è entrato in vigore il Regio Decreto n.6/2022, di promulgazione del “Codice in materia di protezione dei dati personali”. Con i suoi 32 articoli, il Codice  allinea il sistema legislativo nazionale con le altre normative globali in materia di privacy. 

USA – La Securities and Exchange Commission (“SEC”) ha annunciato, il 14 febbraio 2023, di aver proposto una norma finalizzata a rivedere i regolamenti della SEC ai sensi del Privacy Act del 1974, dato che le norme attuali prevedono procedure per la presentazione delle richieste ai sensi della legge sulla privacy, comprese le richieste di accesso e modifica dei registri relativi alla persona che effettua la richiesta, e che le revisioni chiariranno, aggiorneranno e semplificheranno il linguaggio di diverse disposizioni procedurali.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Cristofer Maximilian grazie a Unsplash.

News #6/2023: il chatbot Replika bloccato dal Garante italiano per gravi rischi verso i minori

Settimana n. 6/2023 – dal 6 al 12 febbraio 2023 

Ecco a voi la nostra #Newsletter in edizione #2023 che raccoglie le più interessanti novità degli ultimi sette giorni in ambito Privacy, 231 e Mercati Digitali, oltre a uno sguardo sulle news dal mondo.

Grazie Not Boring Privacy!

Non è stato fornito nessun testo alternativo per questa immagine

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • il Garante italiano sospende il funzionamento di un chatbot (Replika) che aveva, tra le altre cose, assunto atteggiamenti aggressivi e pericolosi in diversi casi, mettendo a rischio i minori;
  • la Corte di Giustizia UE ha precisato ulteriormente la propria posizione in merito all’indipendenza del DPO;
  • interessanti spunti sul Modello 231 dalla GdF;
  • è iniziata la battaglia sull’Intelligenza Artificiale, tra Google e Microsoft.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana il consiglio è di seguire Odia Kagan, Chair of GDPR Compliance di Fox Rotschild LLP e grande comunicatrice con un occhio di attenzione sulla legislazione privacy di tutto il mondo, e fonte in particolare di numerosi spunti sulla situazione USA dal punto di vista interno, con importanti norme in discussione sia a livello statale che federale.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Skyfall (James Bond Theme) – Adele (2012)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

REPLIKA – Il Garante per la protezione dei dati personali ha recentemente deciso di bloccare #Replika, la chatbox in grado di creare un “amico virtuale” mediante l’uso della #intelligenzaartificiale. Alla base della decisione si trovano le concrete preoccupazioni del Garante circa i rischi che l’uso di tale strumento presenta, soprattutto per gli utenti minori d’età. Tra le criticità evidenziate, la mancata predisposizione di un meccanismo in grado di verificare l’età dell’utente e  l’assenza di qualsiasi tipo di garanzia in ordine alla protezione dei soggetti fragili – evidenziata anche in diverse recensioni degli utenti sui principali “app store” – di fronte a risposte inopportune. Alla luce di tali evidenze, i trattamenti effettuati da Replika sono risultati non conformi al GDPR, e pertanto illeciti. Alla società sviluppatrice dell’app è stato dunque imposto di #interrompere ogni trattamento relativo ai dati personali degli utenti italiani, nonché di comunicare nel termine di 20 giorni le misure intraprese per attuare le prescrizioni del Garante. Il rischio è quello di vedersi sanzionata per un massimo di 20 milioni di euro o fino al 4% del fatturato globale annuo.

SENTENZA CGUE – La Corte di giustizia dell’Unione europea ha emesso una sentenza (Caso C-453/21) relativa alla figura del #DPO, incentrata sull’articolo 38 del GDPR, nella quale ha stabilito che chi ricopre il ruolo dev’essere in grado di svolgere i propri compiti e mansioni in modo #indipendente, e non può essere incaricati di funzioni che porterebbero a determinare gli obiettivi e i metodi di trattamento dei dati personali da parte del Titolare del trattamento o di Responsabili. Non è insomma escluso che il DPO possa svolgere anche un altro ruolo, oltre a quello di supporto e verifica della #compliance aziendale, ma tale diversa attività non può in nessun caso confliggere con la prima.

PARLAMENTO EUROPEO SU DSA E DMA – Il Parlamento europeo ha accolto con favore una proposta di norme complementari alla Legge sui servizi digitali (“DSA”) e alla Legge sui mercati digitali (“DMA”) che riguarda la pubblicità politica online. Nel comunicato stampa l’istituzione sostiene che il trattamento di dati particolari per pratiche pubblicitarie come il microtargeting può danneggiare i diritti democratici degli individui. Le norme tradizionali possono essere inefficaci, poiché spesso sono difficili da applicare quando vengono applicate online, dove le nuove tecnologie e i nuovi strumenti creano opportunità per influenzare e indirizzare gli elettori. Le istituzioni mirano a raggiungere un accordo sulla proposta con i Paesi dell’Unione europea prima delle elezioni europee del 2024.

CYBER ATTACCO? – Lo scorso 5 febbraio migliaia di server in tutto il mondo sembrano essere stati interessati da un attacco #hacker di tipo #ransomware tra cui anche alcuni italiani. Secondo le informazioni attualmente in circolazione pare che l’attacco non abbia intaccato la sicurezza del nostro Paese, benché l’Agenzia per la Cybersicurezza Nazionale (ACN) lo avesse classificato ad “alto rischio”. In ogni caso il Governo, anche alla luce del vasto numero di attacchi subiti nel corso dello scorso anno, sembra stia lavorando su un Dpcm per agevolare la collaborazione tra le Regioni e l’ACN per lo sviluppo di attività di prevenzione.

GESTIONE DEL RISCHIO AI – L’International Standards Organization (“ISO”) ha pubblicato, il 6 febbraio 2023, la guida ISO/IEC 23894:2023 sulla gestione del rischio di intelligenza artificiale (“AI”). In particolare, la guida assiste gli enti che sviluppano, implementano o utilizzano sistemi di intelligenza artificiale per gestire i rischi correlati a tali sistemi. La guida, corredata anche di tre allegati, è suddivisa in tre parti: la prima che descrive i principi alla base della gestione del rischio, la seconda relativa a un quadro di gestione del rischio; e la terza, sui processi di gestione del rischio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

ESCLUSIONE DAGLI APPALTI – Lo scorso 5 gennaio è stato trasmesso al Senato dal  Consiglio dei Ministri il testo il testo dello schema di decreto legislativo di modifica del “Codice dei contratti pubblici”. Tra le novità proposte dal decreto – attualmente oggetto di analisi da parte delle commissioni parlamentari – gli articoli 95 e 98 prevedono la possibilità che un ente venga #escluso dalla partecipazione ad una gara pubblica anche in caso di mera contestazione contestazione di uno dei reati presupposto previsti dal Decreto 231 idonei a legittimarne l’esclusione, e ciò a prescindere dalla effettiva applicazione di una specifica sanzione interdittiva. Lo schema di decreto prevede, tuttavia, anche un #meccanismo per evitare l’esclusione dell’ente, e cioè l’adozione e l’attuazione di un Modello di organizzazione, gestione e controllo idoneo a prevenire la commissione di reati o illeciti. Con un documento di commento alla bozza di decreto – scaricabile gratuitamente per gli iscritti all’Associazione Aodv231 – l’Unione delle Camere Penali Italiane e la stessa Associazione Aodv231 si sono espresse in maniera critica su alcuni passaggi del testo normativo. In particolare, sottolineando la presenza di rinvii alla Riforma Cartabia (ormai superata) e alla previsione di esclusione dalla gara anche in caso di mera contestazione di un illecito amministrativo, gli autori chiedono una revisione dell’intera disciplina.

EFFICACIA MODELLO – La Guardia di finanza, nell’edizione 2023 di “Telefisco”, ha fornito utili indicazioni al fine di stabilire quali sono i criteri che, in sede di controllo, permettono di accertare la effettiva idoneità del Modello di organizzazione, gestione e controllo adottato da una società. Tra i criteri citati rilevano, in particolare, (i) una corretta regolamentazione della formazione del personale, (ii) la puntuale mappatura delle aree aziendali maggiormente esposte ai rischi di commissione dei reati 231 e (iii) la costituzione di un effettivo Organismo di Vigilanza.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

VOTO ELETTRONICO – È stata resa pubblica oggi alle ore 12 la nuova versione di Eligo, “Eligo Next”, l’innovativa piattaforma del #voto elettronico (e-voting) e online (i-voting). La nuova versione offre maggiore sicurezza e riservatezza dei dati. Eligo Next supporta infatti la crittografia end to end, e qualunque informazione che transita dai browser degli utenti è cifrata con crittografia asimmetrica, rendendo pressoché impossibile intercettare e decifrare le preferenze di voto espresse. Il sistema memorizza tutti i dati di voto e di scrutinio, applicando un ulteriore livello di sicurezza che rende i dati accessibili solo all’utente e a nessun altro. La nuova versione, Eligo Next, è stata sviluppata dopo numerose ricerche volte ad affrontare le sfide della democrazia digitale. Tra i vantaggi: (i) creare e gestire qualsiasi tipo di assemblea deliberativa ed elettiva online, in presenza o in forma ibrida, nel totale rispetto della sicurezza e legalità del voto; (ii) Incoraggiare la partecipazione e l’inclusività, grazie alla flessibilità delle modalità di voto; (iii) minimizzare l’errore umano con scrutini automatici, impedendo la possibilità di schede nulle o contestabili. (iv) attivare un’iniziativa sostenibile grazie all’azzeramento del cartaceo.

L’AI SECONDO GOOGLE… – Dopo il clamoroso successo mediatico ottenuto da #ChatGPT anche Google ha provato sviluppare la sua propria chatbot basata sull’intelligenza artificiale: #Bard. Il risultato, tuttavia, non è stato quello sperato. Durante la presentazione della “creatura”i dirigenti di Google non sono infatti riusciti a convincere gli investitori, che hanno di conseguenza bocciato il progetto, tra l’altro alla luce di alcuni disguidi – anche piuttosto divertenti – durante la presentazione. Come conseguenza del sostanziale fallimento dell’evento, Alphabet – holding del gruppo di cui Google è parte – ha perso valore a Wall Street per oltre l’8%. 

.. E l’AI SECONDO MICROSOFT – La società di Seattle ha annunciato il rilascio per la prossima settimana di una nuova versione del motore di ricerca #Bing che integra l’Intelligenza Artificiale di OpenAI; anche una versione “speciale” di Teams, che include una IA a supporto delle call per appunti e memo, è in corso di testing. Il CEO Satya Nadella ha affermato, in proposito, di voler “sfidare” proprio Google su questo terreno, in cui Microsoft ha investito moltissimo di recente, unendosi in “matrimonio digitale” con OpenAI.

DICHIARAZIONE EUROPEA SUI DIRITTI E PRINCIPI DIGITALI – Il 15 dicembre 2022, il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione europea hanno adottato la Dichiarazione europea sui diritti e i principi digitali, la cui bozza è stata presentata dalla Commissione europea alla fine di gennaio. La dichiarazione esprime e rappresenta l’impegno dell’Unione europea per una trasformazione digitale sicura e sostenibile, che metta al centro le persone, in linea con i valori e i diritti fondamentali dell’Unione europea. Essa promuove la solidarietà e l’inclusione, la libertà di scelta, la partecipazione allo spazio pubblico digitale, la sicurezza, la protezione e l’empowerment digitale, nonché la sostenibilità. Il suo obiettivo è anche quello di sottolineare che i diritti e le libertà devono essere rispettati sia online che offline. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA

  • SEC – La Securities and Exchange Commission ha di recente reso noto di aver inflitto una sanzione di ben 35 milioni di dollari alla società Activision Blizzard Inc per violazione delle norme dettate dall’Exchange Act. La società, più in particolare, è stata sanzionata per non aver mantenuto adeguati controlli sulla divulgazione relativi a denunce di cattiva condotta sul posto di lavoro e per violazione della regola di protezione degli informatori.
  • MINNESOTA – E’ stato presentato un disegno di legge relativo alla privacy dei dati dei consumatori, che stabilisce obblighi per gli enti che trattano dati personali dei consumatori e impone che i dati personali relativi ai consumatori non possano essere venduti o diffusi, a meno che il consumatore non ne abbia ricevuto comunicazione espressa e gli sia stata data la possibilità di esercitare il diritto di recesso.
  • TEXAS – anche nello stato della stella solitaria è stato introdotto un atto legislativo, ancora in discussione, a protezione dei diritti dei cittadini consumatori con imposizioni similari a quelli di altri stati (tra cui: privacy notice, diritti di accesso e rettifica, conduzione di DPIA e cancellazione dei dati non più necessari).

SPAGNA – Lo scorso 8 febbraio l’AEPD, Autorità garante spagnola, ha pubblicato un post relativo alla frequenza con cui i titolari del trattamento dovrebbero aggiornare le misure di sicurezza implementate a protezione dei dati personali. Nel suo post l’Autorità ha spiegato che, tra le altre cose, ogni modifica relativa alle categorie di dati trattati, alle finalità del trattamento o all’incidenza del trattamento sui diritti e le libertà degli interessati impone una revisione delle misure di sicurezza adottate.

BELGIO – L’autorità di protezione dei dati personali del Belgio ha ordinato a un Titolare del trattamento di ottemperare a una richiesta di accesso ai dati da parte di un interessato, ai sensi dell’art. 58(2) del GDPR. L’intervento dell’autorità si è reso necessario a causa del mancato adempimento da parte del Titolare, che ha affermato di non aver ricevuto l’istanza dell’interessato a causa di problemi tecnici con la sua casella e-mail.

FINLANDIA – Una scuola dell’infanzia è stata sanzionata dall’autorità garante finlandese per violazione degli articoli 5, 12 e 13 del GDPR, dopo aver diffuso alcune istruzioni ai genitori sulle modifiche all’apprendimento e all’insegnamento in seguito alla pandemia. L’autorità garante ha rilevato che non era stato chiarito se la restituzione del modulo fosse obbligatoria, e non erano state fornite informazioni che specificassero la base giuridica per il trattamento dei dati personali. 

GERMANIA – La Corte Suprema tedesca ha confermato le decisioni dei precedenti gradi di giudizio, e ha stabilito che un medico – soggetto interessato del trattamento – non avesse il diritto di cancellazione nei confronti di un sito web di comparazione e recensione che aveva pubblicato un profilo su di lui. Il trattamento era legittimo ai sensi dell’articolo 6(1)(f) del GDPR, in quanto il diritto commerciale del Titolare del trattamento e la libertà di espressione del pubblico erano di maggiore rilevanza rispetto al diritto dell’interessato alla protezione dei dati.  

ROMANIA – L’autorità garante rumena ha multato uno studio dentistico che aveva pubblicato i dati personali di un paziente in un blog medico senza il relativo consenso. Lo studio dentistico, inoltre, non ha informato l’autorità per la protezione dei dati personali entro 72 ore dal momento in cui era stato informato della violazione dei dati, in violazione di quanto previsto dall’articolo 33 del GDPR.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di nikko grazie a Unsplash.

News #5/2023: enforcement privacy in UE, Metaverso e DSA nelle news di questa settimana

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • la Slovenia è l’ultimo stato UE (dopo quasi 5 anni) a implementare il GDPR;
  • arriveranno report su come va l’enforcement privacy in UE;
  • il Metaverso secondo il Garante italiano;
  • in ascesa (seppur di poco) l’Italia nel Corruption Index pubblicato online.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • un gruppo di professionisti che ci informano di aspetti molto interessanti e li approfondiscono è Italian Privacy & Cybersecurity Think Tank, che consigliamo di seguire anche iscrivendosi alla newsletter settimanale, oltre al canale Telegram con cui restare sempre aggiornati.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Superman (It’s Not Easy) – Five For Fighting (2000)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

SLOVENIA & GDPR – Dopo numerosi solleciti da parte della Commissione UE, finalmente la Slovenia ha adottato (il 27 dicembre 2022) la legge di implementazione del Regolamento Europeo 2016/679, che è ora entrata in vigore. Sono stati ora fatti alcuni lievi cambiamenti, tramite la legge nota come ZVOP-2, in particolare con riferimento a dati biometrici, regime del DPO e requisiti specifici per l’esecuzione della DPIA. Con questo passo, ora tutti gli Stati membri hanno implementato il Regolamento (come doveva avvenire nel 2018).

ENFORCEMENT IN UE – Come sta andando l’enforcement in materia privacy nell’Unione Europea? Se lo sta chiedendo la Commissione UE, e la risposta sembra essere “non benissimo, e non in modo uniforme”. Per ovviare alle divergenze di opinioni e approcci, che in alcuni casi (vedi Irlanda) portano a veri e propri scontri pubblici, la Commissione – in risposta all’Ombudsman UE a seguito di una segnalazione dell’ICCL – ha confermato che richiederà a ciascuna Autorità nazionale di fornire un report bimestrale. All’interno di esso – strettamente confidenziale, quindi purtroppo non li vedremo probabilmente mai – saranno indicate una serie di informazioni utili a tenere monitorata la situazione in Europa. Non ci resta che attendere il secondo report della Commissione UE sull’applicazione del GDPR per avere maggiori informazioni: ma già questa notizia fa ben sperare per un maggiore coordinamento tra Autorità nazionali – sia in ambito di sanzioni che di linee guida.

GARANTE PRIVACY SU METAVERSO – Nella 17° giornata europea della protezione dei dati personali, il Garante italiano ha messo in luce i rischi e le opportunità della nuova tecnologia. In linea con l’obiettivo dell’evento, l’intervento del Garante italiano ha approfondito le problematiche legate all’impatto che il Metaverso, definito un nuovo “habitat” digitale, avrà sulle relazioni sociali e sui comportamenti dei singoli, sulle loro libertà e diritti, così come sui processi decisionali della società.

GUIDA SUL DSA PER LE PIATTAFORME ONLINE – la Commissione europea ha annunciato di aver pubblicato una guida per aiutare le piattaforme online e i motori di ricerca che rientrano nell’ambito di applicazione della legge sui servizi digitali (“DSA”) a conformarsi all’obbligo di comunicare il numero di utenti nell’Unione europea, da ottemperare al più tardi entro il 17 febbraio 2023 e successivamente almeno ogni sei mesi.

INFOGRAFICA EDPB –  Il garante europeo della protezione dei dati (“EDPB”) ha pubblicato un’infografica sui principali tipi di reclami e di consultazioni trattati nel 2022. In particolare, l’infografica del GEPD evidenzia che le più frequenti #consultazioni hanno riguardato (i) il concetto di titolare del trattamento, contitolare e responsabile; (ii) i trasferimenti internazionali di dati; (iii) norme interne sulla protezione dei dati. Inoltre, l’infografica dell’EDPB ha illustrato che i #reclami ricevuti nel 2022 hanno riguardato principalmente (i) il diritto di accesso dei soggetti interessati; (ii) il diritto alla cancellazione e (iii) la raccolta adeguata e proporzionata di dati personali.

Non è stato fornito nessun testo alternativo per questa immagine
Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CORRUPTION PERCEPTION INDEX – Transparency International – l’associazione non governativa che si occupa di corruzione a livello internazionale – ha pubblicato lo scorso 31 gennaio il Corruption Perception Index relativo all’anno 2022.  Il documento  classifica ogni anno i Paesi in base al loro livello di corruzione percepito nel settore pubblico su una scala di punteggio da 0 (massimo livello di corruzione percepita) a 100 (minimo livello). Danimarca, Nuova Zelanda e Finlandia si confermano i Paesi in cui la percezione della corruzione è minore a livello globale; in fondo alla classifica, Sud Sudan, Siria e Somalia. In ascesa l’Italia, che pur confermando il punteggio dell’anno precedente (56/100) scala in positivo di una posizione la classifica mondiale.

ODV – La Corte d’Appello di Venezia è intervenuta (con sentenza n. 3348, disponibile gratuitamente per gli iscritti all’Associazione Aodv231) in materia di effettività e autonomia dell’Organismo di Vigilanza. La vicenda, in particolare, è quella di un istituto di credito chiamato a rispondere dei reati di aggiotaggio, ostacolo all’esercizio delle funzioni delle Autorità di vigilanza e falso in prospetto. Nel confermare la condanna per l’ente (con riduzione, però, dell’ammontare della pena inflitta dalla decisione di primo grado) i giudici hanno specificato che il Modello organizzativo adottato dall’istituto di credito introduceva un OdV talmente privo di autonomia, da non costituire in concreto un vero e proprio ostacolo alla commissione dei reati-presupposto previsti dal Decreto 231.

BANCA D’ITALIA E ANTIRICICLAGGIO –  La Banca d’Italia ha rafforzato l’attività di vigilanza in materia di antiriciclaggio, e ha pubblicato sul proprio sito internet una nuova sezione dedicata (sezione “Supervisione e Normativa Antiriciclaggio”), che fornisce agli utenti  linee guida sulla normativa antiriciclaggio a livello internazionale, europeo e nazionale. Inoltre, nella sezione è presente un questionario che le banche e gli intermediari finanziari, soggetti ai poteri regolamentari e di vigilanza della Banca d’Italia, dovranno compilare per permettere la raccolta di dati a fini di statistiche e osservazioni sull’antiriciclaggio.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

CICLO DI VITA DEI PRODOTTI – L’Unione europea sta recentemente valutando la possibilità di adeguare la definizione del ciclo di vita di ciascun prodotto alle sue specifiche peculiarità e spostare le segnalazioni delle vulnerabilità a livello nazionale. Tali valutazioni sono attualmente contenute all’interno di un nuovo compromesso sul #CyberResilienceAct (la proposta legislativa dell’UE finalizzata a introdurre requisiti minimi di sicurezza informatica per l’ “Internet of Things”). Se in principio Cyber Resilience Act imponeva ad ogni produttore di garantire i prodotti immessi sul mercato per tutto il ciclo di vita del singolo prodotto o per un massimo di cinque anni, la nuova proposta – riconoscendo che ogni prodotto è diverso dall’altro e che, di conseguenza, non è possibile fissare indistintamente un ciclo di vita unico per tutti i prodotti – stabilisce che i produttori devono garantire i loro prodotti con elementi digitali “per un periodo di tempo adeguato al tipo di prodotto e alla sua durata prevista”. Per quanto riguarda le segnalazioni delle vulnerabilità, il vecchio testo individuava nell’ENISA il soggetto competente alla loro ricezione. Tuttavia, a fronte dei dubbi circa le concrete capacità dell’Agenzia europea per cybersicurezza di gestire migliaia di notifiche, è stato proposto di dirottare le segnalazioni al Computer Security Incident Response Team (CSIRT) di ciascuno stato membro. La proposta sarà ora discussa a livello tecnico, per comprenderne la fattibilità.

ARTIFACT – Dalle menti di Kevin Systrom e Mike Krieger (co-founder di Instagram) è di recente nata Artifact, una nuova app di notizie personalizzate che utilizza tecnologie di apprendimento automatico per comprendere i gusti dei suoi utenti. La logica di funzionamento di Artifact pare essere la stessa di TikTok: basterà cliccare su un articolo di proprio gradimento per vedere in futuro contenuti simili. Al momento Artifact non è ancora aperta al grande pubblico, ma esiste già una lista d’attesa che consente ai suoi iscritti di vedere il feed centrale. Intanto, nell’attesa, gli utenti beta stanno testando altre due funzionalità dell’app. 

CONSUMATORI E TARGETING POLITICO – La Commissione per il Mercato Interno e la Protezione dei Consumatori del Parlamento europeo (“IMCO”) potrebbe inasprire le norme sulla pubblicità politica per ridurre le interferenze elettorali e migliorare la trasparenza. La proposta dell’IMCO consente agli inserzionisti di utilizzare solo i dati personali espressamente forniti a fini di pubblicità politica. Ciò vieterebbe il “micro-targeting” degli elettori “sulla base del sesso, della razza, dell’orientamento sessuale o di altre caratteristiche individuali”, così come l’uso dei dati dei bambini. La proposta include anche regole per rendere più trasparenti i finanziatori dei candidati.

INVESTIMENTI PNRR PER IL DIGITALE – Il report dell’Istituto per la Competitività (“I-Com”) realizzato dalla Commissione del Parlamento europeo sullo stato d’attuazione dei Piani di ripresa e resilienza (“PNRR”) degli Stati membri in ambito digitale, mostra che l’Italia si colloca al primo posto in Europa per entità degli investimenti nel digitale legati al Pnrr. In generale, l’Italia ha impegnato una quota del 26,7% in cybersecurity, nelle reti e nelle competenze digitali delle imprese. Si rileva anche, però, che manca una visione comune dello sviluppo delle tecnologie avanzate, a partire dall’intelligenza artificiale, coerente con gli obiettivi di autonomia strategica e di competitività che l’Unione europea si sta dando.

CONTACT CENTER AS A SERVICE (“CCaaS”) – Un customer journey efficiente oggi deve essere in grado di attraversare qualsiasi canale e qualsiasi dispositivo, mantenendo costantemente il contatto con il brand e offrendo una esperienza consistente tra i diversi canali. Un’esigenza che trova risposta, grazie al cloud computing, in una nuova generazione di Contact Center as a Service, mercato che ha visto una forte accelerazione nel periodo della pandemia, perché ha permesso, in modo agile e veloce, di abilitare canali di contatto con i clienti o i cittadini. Un recente studio illustra nel dettaglio i benefici che le aziende possono ottenere con un Contact Center as a Service, tra i quali (i) la flessibilità e la scalabilità del contact center in cloud, (ii) la capacità di organizzazione per migliorare la qualità del servizio, (iii) il modello della Total Experience, (iv) la flessibilità nella pianificazione degli investimenti in CCaaS, (v) il ruolo dell’Intelligenza Artificiale nel Contact Center as a Service. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

FRANCIA – L’Autorità francese per la protezione dei dati (CNIL) ha recentemente reso noto di aver pubblicato una guida per fornire indicazioni ai recruiter in materia di trattamento dei dati personali dei candidati. La guida si compone di due sezioni: la prima contiene un richiamo ai principi generali fissati dal GDPR in materia di assunzioni, mentre la seconda contiene una serie di domande e risposte in materia di utilizzo di nuove tecnologie durante il processo di selezione dei candidati.

REPUBBLICA CECA – L’Agenzia nazionale per la sicurezza informatica e dell’informazione ceca (NÚKIB) ha di recente dichiarato di avere preparato un progetto di legge sulla sicurezza informatica in vista del recepimento della direttiva cd. NIS 2. Attualmente la bozza di legge è aperta alla consultazione pubblica fino al prossimo 26 febbraio. 

ANDORRA – L’Autorità garante di Andorra (“APDA”) ha recentemente pubblicato una linea guida in materia di valutazione di impatto (cd. DPIA) ai sensi della legge nazionale sulla protezione dei dati personali. Con tale linea guida l’APDA propone un modello di DPIA sostanzialmente equivalente allo standard europeo.

COREA DEL SUD – La Commissione per la protezione delle informazioni personali coreana (PIPC) ha annunciato di aver rilasciato la versione aggiornata delle linee guida in materia di protezione dei dati personali in materia di lavoro e occupazione. Scopo delle linee guida è migliorare il livello di protezione delle informazioni personali nel contesto lavorativo.

SINGAPORE – Lo scorso 1 febbraio è entrato in vigore l’Online Safety Bill, il disegno di legge in materia di sicurezza online. La nuova legge prevede, in particolare, che i servizi di comunicazione online devono, tra le altre cose, (i) fornire un ambiente online sicuro, (ii) dare prioritaria protezione a quelle categorie di utenti finali che, come i minori, sono maggiormente esposte al rischio di esposizione a contenuti dannosi. 

GIAPPONE – La nota società automobilistica Kitakanto Mazda Co. Ltd ha di recente reso noto di essere stata colpita da una violazione di dati personali. Secondo quanto affermato da Mazda, a causare il data breach (che ha coinvolto i dati di circa 50 mila clienti) sarebbe stato l’accesso non autorizzato da parte di terzi nei propri sistemi. La società – che ha già provveduto a segnalare la violazione alle autorità competenti – è ora impegnata a migliorare i propri sistemi di sicurezza.

USA:

  • il National Institute of Standards and Technology (“NIST”) ha pubblicato l’Artificial Intelligence Risk Management Framework (“AI RMF”), un documento di orientamento rivolto alle organizzazioni che progettano, sviluppano, distribuiscono o utilizzano sistemi di intelligenza artificiale (“AI”) per contribuire a gestire efficacemente i rischi delle tecnologie AI. In particolare, il NIST ha sottolineato che l’AI RMF è destinato ad adattarsi al panorama dell’AI insieme allo sviluppo delle tecnologie, e ad essere utilizzato dalle organizzazioni in modo che la società possa trarre vantaggio dalle tecnologie dell’IA e allo stesso tempo essere protetta dai suoi potenziali danni.
  • la Federal Trade Commission ha di recente annunciato la sua proposta di multare la GoodRx Holdings Inc per 1,5 milioni di dollari in conseguenza della divulgazione di informazioni personali sanitarie a terzi e della mancata notifica ai consumatori. Dalle indagini dell’Autorità è infatti emerso che GoodRx – società che gestisce una piattaforma sanitaria digitale che offre sconti per diversi servizi sanitari – ha condiviso le informazioni sanitarie dei suoi utenti con piattaforme come Google e Facebook (e, in quest’ultimo caso, ha anche sfruttato le informazioni condivise per indirizzare gli utenti verso campagne pubblicitarie mirate). 
  • CALIFORNIA – Rob Bonta, Procuratore generale della California, ha annunciato di aver avviato una indagine nei confronti delle aziende con app mobili che non rispettano il CCPA (California Consumer Privacy Act 2018). In particolare, l’indagine governativa si concentra su tutte le app “popolari” che (i) presumibilmente non soddisfano le richieste degli utenti di rinuncia o (ii) non prevedono alcun meccanismo che consenta ai consumatori di interrompere la vendita dei propri dati personali.
  • NEW YORK –  è stato presentato al Senato dello Stato di New York il disegno di legge nr. 2998 per un atto di modifica del diritto commerciale generale, in relazione all’istituzione della legge sulla protezione dei consumatori online. La proposta normativa prevede, tra le altre cose, che le reti pubblicitarie debbano pubblicare un avviso chiaro e ben visibile sulla home page del loro sito Web relativamente alla loro politica sulla privacy e sulle pratiche di raccolta e utilizzo dei dati. Inoltre, la bozza di testo legislativo prevede che gli editori di una pagina web dovranno, in ogni contratto con una rete pubblicitaria, pubblicare un avviso chiaro e ben visibile che descriva la raccolta e l’uso delle informazioni da parte della rete pubblicitaria.
Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Denys Nevozhai grazie a Unsplash.