News #13/2023: in Italia chiude d’urgenza ChatGPT, mentre arriva un codice di condotta per i call-center (e le altre news della settimana)
LE PRINCIPALI NEWS DELLA SETTIMANA
- provvedimento d’urgenza del Garante italiano che, di fatto, disabilita la fruizione di ChatGPT (OpenAI) in Italia, almeno temporaneamente;
- intanto, viene pubblicato un Codice di Condotta che dovrebbe limitare la “piaga” del telemarketing selvaggio, dopo che il Registro delle Opposizioni ha evidentemente fallito;
- Meta passa al “legittimo interesse” come base giuridica per l’advertising su Facebook e Instagram, aggiungendo un altro tassello alla battaglia in corso tra Europa, Irlanda e il colosso di Menlo Park;
- pubblicato in G.U. il “nuovo codice degli appalti”, che modifica la disciplina con forti impatti sul mondo 231.
IL PROFILO DA SEGUIRE:
- questa settimana segnaliamo il profilo LinkedIn dell’EDPS e, in particolare, la pagina web dedicata ai #podcast. Coerentemente con lo scopo dell’Autorità di divulgazione delle buone pratiche in UE, sono due i #format resi attualmente disponibili: (i) Newsletter Digest, un podcast mensile che raccoglie gli ultimi pareri emessi, i commenti formali, pubblicazioni ed eventi; e (ii) EDPS on Air, singoli podcast o brevi serie attraverso le quali l’Autorità affronta di volta in volta diversi e rilevanti argomenti, come la tecnologia e l’intelligenza artificiale.
QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..
- The World Is Not Enough – Garbage (1999 – James Bond Theme)
PRIVACY
CHAT GPT – Con un comunicato dello scorso 31 marzo il Garante per la protezione dei dati personali ha reso noto di aver adottato un provvedimento che dispone il blocco di #ChatGPT. Secondo l’Autorità, infatti, #OpenAI – la società statunitense che ha sviluppato e che gestisce la piattaforma – non rispetta la normativa europea in materia di protezione dei dati personali. In particolare, l’Autorità ha riscontrato: (i) l’assenza di una adeguata informativa agli utenti; (ii) la mancata selezione di una base giuridica idonea a giustificare la raccolta e la conservazione dei dati degli utenti; (iii) l’inesistenza di un filtro capace di verificare l’età degli utenti, nonostante la piattaforma dichiari di indirizzarsi esclusivamente ad utenti di almeno 13 anni di età. OpenAI – nei cui confronti è ora in corso un’istruttoria – dispone ora di 20 giorni per comunicare le misure adottate per ottemperare alle richieste del Garante. Nel frattempo, nella giornata di ieri ha disabilitato il servizio per gli utenti con IP italiano.
CODICE DI CONDOTTA TELEMARKETING – È stato approvato dal Garante per la protezione dei dati personali il Codice di condotta per le attività di telemarketing e teleselling promosso da un gruppo eterogeneo di soggetti, tra cui call center, teleseller e associazioni di consumatori. Il codice diverrà efficace una volta conclusa la fase di accreditamento dell’Organismo di monitoraggio e la successiva pubblicazione in Gazzetta Ufficiale.
ADV META – Lo scorso 30 marzo l’organizzazione NOYB (None of your business) ha reso noto attraverso un comunicato sul proprio sito web la notizia – riportata già dal Wall Street Journal – secondo cui #Meta starebbe operando il passaggio alla base giuridica del #legittimo #interesse per quanto riguarda le attività di trattamento relative alla pubblicità. Il caso di Meta è particolare: mentre la gran parte delle società tratta i dati a fini pubblicitari sulla base del consenso degli utenti (cd. opt-in), il colosso di Menlo Park già allo stato attuale si trova in una posizione di sostanziale illiceità, avendo fin ora optato per il contratto quale base giuridica del trattamento ai fini dell’ #adv. Per NOYB – che ha già annunciato una imminente azione legale – si tratterebbe, in buona sostanza, di una pratica illegale in sostituzione di altra pratica illegale.
PLENARIA EDPB – Il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato l’ordine del giorno della sua prossima riunione plenaria, il 28 marzo 2023. L’EDPB discuterà, tra le altre cose: (i) le linee guida 01/2022 sui diritti degli interessati e in particolare sul diritto di accesso; (ii) l’aggiornamento delle linee guida 8/2022 sull’identificazione dell’autorità di controllo capofila del titolare o del responsabile del trattamento; (iii) l’aggiornamento delle linee guida 9/2022 sulla notifica di violazione dei dati personali ai sensi del GDPR. Inoltre, l’ordine del giorno specifica che l’EDPB esaminerà una richiesta di mandato per la creazione di una task force sull’interazione tra protezione dei dati, concorrenza e tutela dei consumatori.
ENISA – L’Agenzia dell’Unione europea per la cybersicurezza (“ENISA”) ha annunciato, il 28 marzo 2023, di aver rilasciato uno strumento per aiutare le piccole e medie imprese (“PMI”) a valutare il livello di maturità della loro sicurezza informatica. In particolare, l’ENISA ha evidenziato che lo strumento include le seguenti funzionalità: (i) valutazione della sicurezza informatica in una scala che va da “base” ad “avanzato o esperto”, ed è parametrata alle dimensioni dell’impresa, al budget disponibile, al settore di attività, all’identificazione degli asset generici, ed altro.
D. LGS. 231
CODICE DEGLI APPALTI – Con una approvazione dell’ultim’ora, è stato pubblicato in Gazzetta Ufficiale (serie generale n. 77 del 31 marzo, supplemento ordinario n. 12) il “Nuovo Codice Appalti”, ovvero il D. Lgs. 36/2023, mentre il precedente D. Lgs. 50/2016 andrà in pensione tra circa tre mesi. Un “mostro” di 556 pagine – allegati inclusi – che andrà studiato dagli operatori del settore, avendo forte impatto anche sulle attività di compliance aziendale, e che in questo post viene proposto con collegamenti ipertestuali e l’indicazione delle parti modificate e aggiornate.
RIFORMA FISCALE – È stato recentemente approvato dal Consiglio dei Ministri il Disegno di Legge delega sulla riforma fiscale con il quale il Governo è stato incaricato di introdurre, tra i reati-presupposto del Decreto 231/2001, gli illeciti tributari connessi alle accise. In particolare, l’art. 18 prescrive di estendere la punibilità degli enti anche alle ipotesi previste dal D. Lgs. 504/95 “Testo unico delle disposizioni legislative concernenti le imposte sulla produzione e sui consumi e relative sanzioni penali e amministrative”. Inoltre, in materia di #contrabbando, viene conferita la delega per consentire l’applicabilità delle sanzioni interdittive di cui all’art. 9, comma 2 lett. a) e b) in caso di commissione degli illeciti previsti dall’art. 25-sexiesdecies del Decreto 231. L’esecutivo dispone ora di 24 mesi per adottare i decreti legislativi.
WHISTLEBLOWING – Nel corso dell’ottava assemblea del “Network of European Integrity and Whistleblowing Authorities” (cd. Neiwa, organismo composto da 34 autorità rappresentative di 25 stati membri dell’Unione) – tenutasi a Roma lo scorso 24 marzo – è stata sottoscritta una dichiarazione finalizzata a “coordinare gli sforzi per il rafforzamento della protezione dei whistleblowers attraverso lo scambio di conoscenze pratiche; unire le forze e, quando necessario, parlare con una sola voce; collaborare come interlocutore chiave con istituzioni pubbliche e organizzazioni private europee e internazionali”. In particolare, nel corso dell’incontro il Naiwa ha concentrato la propria attenzione allo stato di attuazione della Direttiva 2019/1937 (cd. Direttiva Whistleblowing) e sulle leggi nazionali attualmente approvate in materia.
MERCATI DIGITALI
IDENTITA’ DIGITALE – Il Parlamento europeo ha avviato i colloqui con il Consiglio dell’Unione europea in merito alla proposta di regolamento sull’identità europea digitale, emanata dalla Commissione europea nel giugno 2021. In particolare, il Parlamento ha precisato che la proposta di regolamento consentirà ai cittadini identificarsi e autenticarsi online tramite un portafoglio di identità digitale europeo, senza dover ricorrere a fornitori commerciali, dando così agli utenti il pieno controllo dei propri dati. Per quanto riguarda i prossimi passi, il Parlamento ha precisato che, dopo l’approvazione della sua plenaria, le discussioni con il Consiglio sulla forma finale del regolamento possono iniziare immediatamente, chiarendo che la sua posizione durante i negoziati si baserà sugli emendamenti adottati dalla commissione Industria, ricerca ed energia a febbraio 2023.
DATA ACT – I rappresentanti degli Stati membri dell’Unione europea hanno raggiunto una posizione comune (“mandato negoziale”) riguardo al Data Act, che consente al Consiglio di avviare i negoziati con il Parlamento europeo sulla proposta legislativa riguardante le norme armonizzate sull’accesso equo ai dati e sul loro utilizzo. L’accordo ha l’obiettivo di facilitare la trasformazione digitale delle società ed economie, dato che la normativa sui dati sfrutterà le potenzialità economiche e sociali dei dati e delle tecnologie in linea con le norme e i principi fondamentali dell’Unione europea. Contribuirà inoltre alla creazione di un mercato unico per consentire la libera circolazione dei dati all’interno dell’Unione e tra i vari settori, a beneficio delle imprese, dei ricercatori, delle pubbliche amministrazioni e della società in generale.
RACCOMANDAZIONI CONSUMATORI – L’Organizzazione europea dei consumatori ha pubblicato, il 24 marzo 2023, alcune raccomandazioni in relazione all’iniziativa della Commissione europea volta a specificare le norme procedurali relative all’applicazione del GDPR. In particolare, l’ente ha accolto con favore l’iniziativa, e ha osservato che l’armonizzazione procedurale è un aspetto essenziale dell’applicazione e dell’esecuzione del GDPR. A questo proposito, l’ente ha sottolineato che l’iniziativa dovrebbe garantire che tutte le procedure, le politiche e le pratiche relative alla protezione dei dati siano coerenti, omogenee e standardizzate nella massima misura possibile.
PROPOSTA DI DIRETTIVA SULL’EUROPA DIGITALE – Gli obiettivi della proposta di direttiva adottata dalla Commissione europea nel quadro di un progetto di facilitazione, da parte delle aziende, dell’uso di strumenti e processi digitali nel diritto societario sono quelli di (i) facilitare le operazioni delle società transfrontaliere e ad aumentare la trasparenza e la fiducia delle imprese, (ii) rendere pubbliche a livello dell’Unione europea maggiori informazioni sulle società, (iii) ridurre la burocrazia per le imprese che operano con l’estero, risparmiando notevoli capitali attualmente impiegati in oneri amministrativi all’anno. La proposta contribuirà anche a favorire un’ulteriore digitalizzazione del mercato unico e aiuterà le imprese, in particolare quelle di piccole e medie dimensioni, a fare affari nel quadro dell’Unione. La proposta si applicherà a circa 16 milioni di società a responsabilità limitata e a 2 milioni di imprese nell’Unione europea.
ALTRE NEWS DAL MONDO
FRANCIA – L’Autorità garante francese (CNIL) ha pubblicato lo scorso 23 marzo un dossier tematico in materia di identità digitale che definisce il concetto di #identità #digitale e le altre questioni relative all’uso di tale strumento da parte delle organizzazioni.
FRANCIA/2 – Sanzione di 125.000 euro a Cityscoot (noleggio breve motorini) per illecita conservazione dei dati di geolocalizzazione relativi all’uso dei propri servizi: in particolare, la App geolocalizzava l’utente “attivo” ogni 30 secondi; il procedimento è stato condotto in cooperazione con le autorità di Spagna e Italia, dove Cityscoot opera con lo stesso modello di business.
GIAPPONE – Il Ministero dell’Economia, del Commercio e dell’Industria giapponese (METI) ha di recente annunciato di aver rivisto le proprie Linee guida in materia di cybersicurezza.
SVEZIA – Lo scorso 23 marzo il Parlamento svedese (Riksdag) ha annunciato di aver approvato la proposta di modifica della legge sui dati dei pazienti avanzata dal Governo (la “Proposition 2022/23:31 Processing of personal data when calculating numbers for clinical research”). In particolare, dalla relazione della Commissione per gli affari sociali si evince che dati personali dei clienti potranno essere trattati per calcolare il numero di soggetti che soddisfano i requisiti stabiliti per essere ammessi alla ricerca clinica. Le nuove disposizioni entreranno in vigore il prossimo 1 maggio.
REGNO UNITO – L’ICO, Autorità UK in ambito privacy, ha annunciato la pubblicazione di una nuova linea guida in materia di marketing diretto e comunicazioni in ambito regolatorio, particolarmente interessante dato che aiuta le aziende a capire quando e come utilizzare la messaggistica verso i propri consumatori e utenti in caso di necessità di comunicare loro, ad esempio, il cambiamento di termini e condizioni.
SPAGNA – L’AEPD, Garante spagnolo, ha di recente reso pubbliche le sue nuove Linee guida in materia di gestione del rischio di violazione di dati personali per tutte quelle operazioni di trattamento che comportano la comunicazione di dati tra enti pubblici.
LUSSEMBURGO – In vista dell’attuazione del Regolamento UE 2022/1925 (il cd. DMA, Digital Markets Act), lo scorso 23 marzo è stato approvato dalla Camera dei Deputati del Lussemburgo il disegno di legge di modifica delle legge 30 novembre 2022 sui mercati digitali. Il disegno di legge istituisce l’Autorità lussemburghese garante della concorrenza quale autorità competente ai fini del DMA, affidandole inoltre il compito di assistere la Commissione europea nelle questioni inerenti i mercati digitali.
DANIMARCA – Datatilsynet, Autorità garante danese, ha di recente aggiornato le proprie Linee guida in materia di protezione dei dati personali nel contesto dei rapporti di lavoro. In particolare, (i) ha aggiornato la guida alle sue ultime pratiche, tra cui quella relativa ai dati dei casellari giudiziari e alle referenze, (ii) ha fornito chiarimenti su alcuni paragrafi e (iii) ha rivisto la struttura del documento in modo tale da renderlo più fruibile e comprensibile.
OLANDA – Circa 780.000 passeggeri delle ferrovie nazionali sono stati coinvolti in un importante data breach, causato da una violazione di sicurezza di un fornitore strategico, che ha comportato la potenziale esposizione di numeri di telefono, indirizzi e-mail e altri dati degli utenti, ma non – a quanto è stato comunicato – dati di pagamento o password.
GERMANIA – Che i cookie paywall siano (in qualche misura) ammissibili? Le Autorità tedesche omologhe del nostro Garante sembrano – con diversi caveat – pensarla così, a quanto riporta questo post.
Immagine di copertina di Clark Young grazie a Unsplash.