Articoli

News #14/2023: SPID (forse) è salvo, ma cosa ne sarà dello sviluppo del digitale in Italia, tra OpenAI e Meta vs. SIAE?

LE PRINCIPALI NEWS DELLA SETTIMANA

  • il Governo pare aver stanziato una somma utile a mantenere attivo e funzionante #SPID, strumento pionere dell’identità digitale in Europa;
  • AGCM pubblica gli impegni di Google in materia di #portabilità dei dati personali, generati dall’impulso di una startup italiana;
  • Meta è nei guai in Italia, con AGCM che vigila sull’affare SIAE, mentre TikTok riceve una sanzione monstre in UK
  • fare il Whistleblower non ti esime, secondo la Cassazione, dalla responsabilità per aver contribuito al reato.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Georg Philip Krog pubblica con frequenza spunti, schemi e mappe di notevole interesse relativamente alle tematiche digitali e privacy.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • So Happy It Hurts – Bryan Adams (2022).
Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

CONTRIBUTO AI GESTORI SPID – E’ stato presentato da parte del Governo un emendamento al “Decreto Pnrr” – in esame alla Commissione Bilancio del Senato – che sembra offrire un sostegno una tantum per garantire continuità alla fornitura del servizio di identità digitale nazionale, sostenendo con 40 milioni i costi a carico dei provider per l’adeguamento delle infrastrutture tecnologiche. L’intenzione del Governo, peraltro già ampiamente nota, è quella di unificare Spid e Cie all’interno di un’unica applicazione, il cui nome dovrebbe essere Idn (“Identità digitale nazionale”), in linea con il progetto elaborato dalla Commissione europea che, nel 2024, mira a rendere operativo un sistema comune europeo di identità elettronica tramite una app unica, prendendo come modello di riferimento quanto fatto in tema di Green Pass. In quella applicazione, immaginata come un wallet per smartphone, saranno disponibili dati personali, tessera sanitarie e tutti i documenti che potranno “viaggiare” in maniera interoperabile in tutta la zona europea.

AGCM – L’Autorità Garante della Concorrenza e del Mercato (‘AGCM’) ha pubblicato, in data 21 marzo 2023, gli impegni scritti assunti da Alphabet Inc., Google LLC, Google Ireland Limited e Google Italy Srl, e il relativo parere, a seguito dell’avvio di un’istruttoria, a luglio 2022, per presunto abuso di posizione dominante nella #portabilità dei dati. In particolare, l’AGCM ha ritenuto che gli impegni presentati non appaiano manifestamente infondati e, pertanto, li ha pubblicati sul proprio sito internet per l’osservazione dei terzi interessati. Tuttavia, l’Autorità ha anche precisato di riservarsi ogni ulteriore valutazione circa l’idoneità degli impegni assunti a rimuovere le restrizioni alla concorrenza, anche alla luce delle osservazioni che potrebbe ricevere da parte di terzi.

SMART WORKING – Numerosi lavoratori godono, dalla fine dell’emergenza Covid, di una maggiore flessibilità sul lavoro, considerando la tecnologia come un fattore di flessibilità, che consente di lavorare da qualsiasi luogo. La flessibilità dell’orario o della sede di lavoro è sempre più considerato un requisito fondamentale, e addirittura la flessibilità viene considerata come la priorità assoluta nel momento in cui ci si trovasse nella condizione di voler cercare una nuova occupazione. Sono i principali dati che riguardano l’Italia che emergono dal report “Future of Work Life”, realizzato dalla Ericsson Consumer & IndustryLab per fare luce su come i dipendenti e i datori di lavoro stiano affrontando l’attuale situazione e per far emergere le loro opinioni sul futuro del lavoro dopo l’impatto di pandemia, digitalizzazione e flessibilità del mercato. La ricerca è stata condotta in 30 mercati a livello globale, tra cui l’Italia, attraverso 38mila sondaggi online tra i dipendenti, 3.600 tra i decision maker e 11 interviste approfondite con i decision maker in settori selezionati in tre mercati: Cina, Spagna e Stati Uniti.

META VS ANTITRUST (a causa di SIAE) –  L’Antitrust ha avviato un’istruttoria nei confronti di Meta Platform, Meta Platforms Ireland, Meta Platforms Technologies UK Limited e Facebook Italy per accertare un presunto abuso di dipendenza economica nella negoziazione con #SIAE della stipula della licenza d’uso, sulle proprie piattaforme, dei diritti musicali. Secondo l’Autorità, la società di Mark Zuckerberg potrebbe aver indebitamente interrotto le trattative per la stipula della licenza d’uso, sulle proprie piattaforme, dei diritti musicali abusando della dipendenza economica di SIAE, così eliminando i contenuti musicali tutelati dalle proprie piattaforme social, senza fornire alla società le informazioni necessarie per svolgere le negoziazioni nel pieno rispetto del principio di trasparenza ed equità. L’Antitrust indaga sull’ipotesi che Meta potrebbe avere abusato dello squilibrio contrattuale, chiedendo a SIAE di accettare un’offerta economica inadeguata, senza però fornire le opportune informazioni per valutarne l’effettiva congruità.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

ISPEZIONI GIURIDICO CONTABILI – I negozi giuridici predisposti da alcuni professionisti giuridico-contabili sono finiti nel mirino della Guardia di finanza negli accertamenti ispettivi pianificati per il 2023. La bassa propensione della categoria a compiere le comunicazioni antiriciclaggio, unitamente a un aumento di atti opachi connessi agli eventi straordinari del PNRR e della “bonus economy”, hanno attivato un allarme. Sulla base di questi presupposti, la Guardia di finanza per il 2023 stabilisce un’adeguata presenza ispettiva, da svolgere sui professionisti giuridico-contabili. In particolare, la Guardia di finanza ha ritenuto di calibrare il numero delle ispezioni in modo uniforme su tutti i vari professionisti obbligati alle comunicazioni antiriciclaggio: avvocati, commercialisti, notai, contabili ed esperti giuridico-contabili. Stando all’ordine del Comando generale delle Fiamme gialle, le ispezioni sono necessarie alla luce del ruolo che i professionisti assumono nella gestione contabile e nel perfezionamento di negozi giuridici di varia natura, che impattano sulle dinamiche di movimentazione della ricchezza e sugli assetti proprietari del tessuto economico, come ad esempio, la costituzione o la modificazione di veicoli societari o la compravendita di asset patrimoniali.

RESPONSABILITÀ WHISTLEBLOWER – Con sentenza n. 9148 dello scorso 31 marzo (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Sezione Lavoro della Corte di Cassazione si è pronunciata in materia di responsabilità del whistleblower. Chiamati a decidere su un ricorso presentato da un’infermiera – la quale aveva denunciato il comportamento di alcuni colleghi e che, solo per tale ragione, chiedeva di essere esonerata dalla responsabilità derivante dai suoi propri illeciti –  gli Ermellini hanno specificato che la normativa in materia di whistleblowing, se da un lato certamente protegge il segnalante dalle ritorsioni che potrebbero derivargli in conseguenza della denuncia, dall’altro “non istituisce una esimente per gli autonomi illeciti che egli, da solo o in concorso con altri responsabili, abbia commesso, potendosi al più valutare il ravvedimento operoso o la collaborazione al fine di consentire gli opportuni accertamenti nel contesto dell’apprezzamento, sotto il profilo soggettivo, della proporzionalità della sanzione da irrogarsi nei confronti del medesimo”

MESSA ALLA PROVA – Lo scorso 6 aprile sono state depositate le motivazioni della sentenza n.14840 (scaricabile gratuitamente per gli iscritti all’Associazione Aodv231), con la quale le Sezioni Unite della Corte di Cassazione si sono pronunciate in materia di inapplicabilità dell’istituto della messa alla prova, ex art.168-bis c.p., a favore degli enti. Secondo l’interpretazione degli Ermellini, infatti, “le norme relative alla messa alla prova non contengono alcun riferimenti agli enti quali possibili soggetti destinatari di esse e neppure le norme del D. Lgs. 231 del 2001(…). Gli artt. 34 e 35 del D. Lgs. 231 del 2001, infatti, nel dettare le disposizioni generali sul procedimento di accertamento e di applicazione delle sanzioni amministrative dipendenti da reato (…) contengono un richiamo esclusivamente alle disposizioni del codice di procedura penale e alle disposizioni processuali relativa all’imputato, in quanto compatibili”. Concludono le secondo le Sezioni Unite con la seguente considerazione: “se, dunque, la responsabilità amministrativa da reato riguardante gli enti rientra in un genus diverso da quello penale (tertium genus) e la messa alla prova deve ricondursi a un “trattamento sanzionatorio penale (…), deve ritenersi che l’istituto della messa alla prova non può essere applicato agli enti, a ciò ostando, innanzitutto, il principio di riserva di legge, di cui all’art. 25, secondo comma, della Costituzione”.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

LINEE GUIDA DATA BREACH – Il Comitato europeo per la protezione dei dati personali (EDPB) ha pubblicato lo scorso 4 aprile la versione 2.0 delle sue Linee guida sulla notifica di violazione di dati personali (Linee guida 9/22). In particolare, le Linee guida – che costituiscono un aggiornamento di quelle rilasciate dal Working Party 29 ai sensi del GDPR, poi approvate dall’EDPB nella sua primissima riunione plenaria – si concentrano sui requisiti di notifica di violazioni di dati personali relative a titolari del trattamento stabiliti al di fuori dell’UE.

GARANTE E OPENAI – In seguito al blocco imposto a ChatGPT alla fine di marzo, lo scorso 5 aprile si è tenuto l’incontro tra l’Autorità garante per la protezione dei dati personali e OpenAI, seguito da un comunicato stampa dell’8 aprile in cui il Garante ha confermato l’inizio dell’esame delle misure proposte da OpenAI per andare in contro alle richieste ricevute. Seppur convinta di rispettare la normativa europea in materia di privacy, la società si è mostrata disponibile a collaborare con l’Autorità al fine di trovare una soluzione positiva alle criticità sollevate in merito al software ChatGPT. Dal canto suo, il Garante ha specificato che la propria posizione non va letta in termini di “chiusura” verso l’innovazione tecnologica – e in particolare verso l’intelligenza artificiale – ma, più semplicemente, come un atteggiamento premuroso nei confronti delle disposizioni dettate dalla normativa europea e italiana in materia.

NUOVO RANSOMWARE CONTRO GRANDI AZIENDE  – Il nuovo gruppo ransomware Money Message è apparso nella scena cyber con un blog nel quale pubblica le vittime rivendicate negli attacchi ed emette richieste di riscatto da milioni di dollari, prendendo di mira grandi aziende. Gli attori della minaccia chiedono riscatti di milioni di dollari per non divulgare i dati interni rubati durante l’attacco e rilasciare un decryptor per ripristinare i sistemi danneggiati. Tra le vittime già colpite c’è una compagnia aerea asiatica con un reddito annuo di 1 miliardo di dollari. Gli attori della minaccia hanno annunciato di aver esfiltrato informazioni da questa azienda, pubblicando uno screenshot dei file come prova di attacco avvenuto con successo.

ICO vs TIK TOK  – L’Information Commissioner’s Office (“ICO”) ha annunciato, il 4 aprile 2023, di aver inflitto una multa di 12,7 milioni di sterline a TikTok Information Technologies UK Limited e TikTok Inc. (collettivamente, “TikTok”), per violazioni del UK GDPR, anche in relazione all’utilizzo dei dati personali dei bambini, a seguito dell’emissione di un avviso di intenti nel settembre 2023. In particolare, TikTok ha trattato i dati di bambini di età inferiore ai 13 anni senza il consenso dei genitori, senza fornire informazioni adeguate ai propri utenti in modo conciso, trasparente e facilmente comprensibile e ha elaborato dati di categorie particolari senza un’adeguata base giuridica.

PRIVACY BROWSER – Due organizzazioni che si occupano della privacy degli utenti hanno rilasciato un nuovo browser Web incentrato sulla privacy, chiamato “Mullvad Browser”, che può essere scaricato gratuitamente e funziona su Windows, MacOS e Linux. Il browser Mullvad si occupa di fornire più alternative di privacy per raggiungere quante più persone possibile e rendere la vita più difficile a coloro che raccolgono dati sugli utenti. Il browser è stato sviluppato per ridurre al minimo il tracciamento dei dati, facendo apparire tutti gli utenti come uno solo. Quindi, più persone lo utilizzano, maggiore è la protezione degli utenti. Il sistema ha l’obiettivo di fornire alle persone più opzioni di privacy per la navigazione quotidiana e sfidare l’attuale modello di business di sfruttamento dei dati comportamentali delle persone. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA – Il 30 marzo 2023 il Center for Artificial Intelligence and Digital Policy (“CAIDP”) americano ha presentato un reclamo alla Federal Trade Commission (“FTC”) sollecitando un’indagine su ChatGPT. In particolare, il reclamo afferma che ChatGPT è parziale, ingannevole e rappresenta un rischio per la privacy e la sicurezza pubblica, notando che, tra le altre cose, i suoi risultati non possono essere provati o replicati e che non è stata effettuata alcuna valutazione indipendente prima della sua diffusione. Inoltre, la denuncia ricorda che la FTC ha dichiarato che l’uso dell’IA dovrebbe essere trasparente, spiegabile, equo ed empiricamente valido, promuovendo al contempo la responsabilità, e sostiene che il prodotto di OpenAI, GPT4, non soddisfa nessuno di questi requisiti. 

USA (PENNSYLVANIA)  Il House Bill 708, recante norme sulla protezione dei dati personali dei consumatori e sugli obblighi dei Titolari e Responsabili del trattamento dei dati personali dei consumatori, è stato presentato alla Camera dei rappresentanti della Pennsylvania, e successivamente deferita, nella stessa data, al Comitato per il commercio. In particolare, il disegno di legge si applicherebbe alle persone che conducono affari in Pennsylvania o producono beni, prodotti o servizi che vengono venduti o offerti in vendita ai residenti della Pennsylvania.

SVIZZERA – Dopo il Garante italiano – con il quale ha dichiarato di essere in contatto – anche l’Incaricato federale della protezione dei dati e dell’informazione (IFPDT) si è recentemente pronunciato in relazione all’utilizzo di app supportate dalla tecnologia dell’Intelligenza Artificiale (e in particolare ChatGPT). Pur riconoscendo le innegabili opportunità di tali strumenti, l’Incaricato ha tuttavia sottolineato i rischi che potrebbero derivare tanto per la vita privata quanto per l’informazione, e dunque l’autodeterminazione, dei suoi utenti. È pertanto necessario garantire a tutti gli utenti una chiara e precisa informazione su tutti gli aspetti rilevanti del trattamento, rimanendo comunque consigliabile che lo stesso utente operi una verifica delle finalità del trattamento prima di inserire informazioni personali su tali app.

ARABIA SAUDITA – Sono state pubblicate in Gazzetta Ufficiale le modifiche alla Legge sulla protezione dei dati personali (“PDPL”), attuate con Regio Decreto M/19 del 17 settembre 2021. Secondo il preambolo della PDPL, gli enti avranno un periodo di transizione di un anno da tale data per adeguare le loro operazioni. La PDPL ora consente il trasferimento o la divulgazione di dati personali al di fuori dell’Arabia Saudita, ma solo per il raggiungimento di determinate finalità e a condizione che siano soddisfatte alcune condizioni previste dall’articolo 29: (i) il trasferimento o la divulgazione non pregiudica la sicurezza nazionale o gli interessi vitali dell’Arabia Saudita; (ii) il paese in cui i dati personali sono trasferiti protegge i dati personali almeno allo stesso livello dell’Arabia Saudita, secondo i risultati di una valutazione condotta dall’autorità competente in materia in coordinamento con gli interessati; (iii) il trasferimento o la divulgazione siano limitati alla quantità minima di dati personali richiesta.

GIAPPONE – La Commissione europea ha annunciato, il 4 aprile 2023, che l’Unione europea e il Giappone hanno completato con successo il primo riesame dell’accordo di adeguatezza reciproca Giappone-UE. In particolare, la Commissione ha sottolineato che il riesame ha dimostrato che la convergenza tra il quadro di protezione dei dati dell’Unione e del Giappone si è ulteriormente perfezionato negli ultimi anni, e che l’accordo sull’adeguatezza reciproca funziona bene, consentendo ai dati di circolare con fiducia e apportando vantaggi significativi ai cittadini e imprese.

GERMANIA – La Conferenza tedesca sulla protezione dei dati (“DSK”) ha pubblicato, il 27 marzo 2023, il suo parere sull’uso dei dati sanitari in relazione allo spazio europeo dei dati sanitari. In particolare, la DSK ha affermato che esso non dovrebbe pregiudicare la protezione dei dati prevista dal GDPR, e la Commissione europea ha presentato una proposta di regolamento del Parlamento europeo e del Consiglio sullo spazio europeo dei dati sanitari, che contiene norme sull’uso primario e secondario a livello europeo di dati sanitari elettronici, per poter accedere alle informazioni provenienti dai sistemi di altri Stati membri quando prestano assistenza sanitaria. 

ARGENTINA – Lo scorso 5 aprile l’Autorità garante per la protezione dei dati personali ha argentina ha pubblicato la relazione sulla gestione relativa al 2022, nella quale è stato incluso il nuovo disegno di legge in materia di protezione dei dati personali.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Shubham Dhage grazie a Unsplash.

News #13/2023: in Italia chiude d’urgenza ChatGPT, mentre arriva un codice di condotta per i call-center (e le altre news della settimana)

LE PRINCIPALI NEWS DELLA SETTIMANA

  • provvedimento d’urgenza del Garante italiano che, di fatto, disabilita la fruizione di ChatGPT (OpenAI) in Italia, almeno temporaneamente;
  • intanto, viene pubblicato un Codice di Condotta che dovrebbe limitare la “piaga” del telemarketing selvaggio, dopo che il Registro delle Opposizioni ha evidentemente fallito;
  • Meta passa al “legittimo interesse” come base giuridica per l’advertising su Facebook e Instagram, aggiungendo un altro tassello alla battaglia in corso tra Europa, Irlanda e il colosso di Menlo Park;
  • pubblicato in G.U. il “nuovo codice degli appalti”, che modifica la disciplina con forti impatti sul mondo 231.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana segnaliamo il profilo LinkedIn dell’EDPS e, in particolare, la pagina web dedicata ai #podcast. Coerentemente con lo scopo dell’Autorità di divulgazione delle buone pratiche in UE, sono due i #format resi attualmente disponibili: (i) Newsletter Digest, un podcast mensile che raccoglie gli ultimi pareri emessi, i commenti formali, pubblicazioni ed eventi; e (ii) EDPS on Air, singoli podcast o brevi serie attraverso le quali l’Autorità affronta di volta in volta diversi e rilevanti argomenti, come la tecnologia e l’intelligenza artificiale.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • The World Is Not Enough – Garbage (1999 – James Bond Theme)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

CHAT GPT – Con un comunicato dello scorso 31 marzo il Garante per la protezione dei dati personali ha reso noto di aver adottato un provvedimento che dispone il blocco di #ChatGPT. Secondo l’Autorità, infatti, #OpenAI – la società statunitense che ha sviluppato e che gestisce la piattaforma – non rispetta la normativa europea in materia di protezione dei dati personali. In particolare, l’Autorità ha riscontrato: (i) l’assenza di una adeguata informativa agli utenti; (ii) la mancata selezione di una base giuridica idonea a giustificare la raccolta e la conservazione dei dati degli utenti; (iii) l’inesistenza di un filtro capace di verificare l’età degli utenti, nonostante la piattaforma dichiari di indirizzarsi esclusivamente ad utenti di almeno 13 anni di età. OpenAI – nei cui confronti è ora in corso un’istruttoria – dispone ora di 20 giorni per comunicare le misure adottate per ottemperare alle richieste del Garante. Nel frattempo, nella giornata di ieri ha disabilitato il servizio per gli utenti con IP italiano.

CODICE DI CONDOTTA TELEMARKETING – È stato approvato dal Garante per la protezione dei dati personali il Codice di condotta per le attività di telemarketing e teleselling promosso da un gruppo eterogeneo di soggetti, tra cui call center, teleseller e associazioni di consumatori. Il codice diverrà efficace una volta conclusa la fase di accreditamento dell’Organismo di monitoraggio e la successiva pubblicazione in Gazzetta Ufficiale.

ADV META – Lo scorso 30 marzo l’organizzazione NOYB (None of your business) ha reso noto attraverso un comunicato sul proprio sito web la notizia – riportata già dal Wall Street Journal – secondo cui #Meta starebbe operando il passaggio alla base giuridica del #legittimo #interesse per quanto riguarda le attività di trattamento relative alla pubblicità. Il caso di Meta è particolare: mentre la gran parte delle società tratta i dati a fini pubblicitari sulla base del consenso degli utenti (cd. opt-in), il colosso di Menlo Park già allo stato attuale si trova in una posizione di sostanziale illiceità, avendo fin ora optato per il contratto quale base giuridica del trattamento ai fini dell’ #adv. Per NOYB – che ha già annunciato una imminente azione legale – si tratterebbe, in buona sostanza, di una pratica illegale in sostituzione di altra pratica illegale.

PLENARIA EDPB – Il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato l’ordine del giorno della sua prossima riunione plenaria, il 28 marzo 2023. L’EDPB discuterà, tra le altre cose: (i) le linee guida 01/2022 sui diritti degli interessati e in particolare sul diritto di accesso; (ii) l’aggiornamento delle linee guida 8/2022 sull’identificazione dell’autorità di controllo capofila del titolare o del responsabile del trattamento; (iii) l’aggiornamento delle linee guida 9/2022 sulla notifica di violazione dei dati personali ai sensi del GDPR. Inoltre, l’ordine del giorno specifica che l’EDPB esaminerà una richiesta di mandato per la creazione di una task force sull’interazione tra protezione dei dati, concorrenza e tutela dei consumatori.

ENISA – L’Agenzia dell’Unione europea per la cybersicurezza (“ENISA”) ha annunciato, il 28 marzo 2023, di aver rilasciato uno strumento per aiutare le piccole e medie imprese (“PMI”) a valutare il livello di maturità della loro sicurezza informatica. In particolare, l’ENISA ha evidenziato che lo strumento include le seguenti funzionalità: (i) valutazione della sicurezza informatica in una scala che va da “base” ad “avanzato o esperto”, ed è parametrata alle dimensioni dell’impresa, al budget disponibile, al settore di attività, all’identificazione degli asset generici, ed altro.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CODICE DEGLI APPALTI – Con una approvazione dell’ultim’ora, è stato pubblicato in Gazzetta Ufficiale (serie generale n. 77 del 31 marzo, supplemento ordinario n. 12) il “Nuovo Codice Appalti”, ovvero il D. Lgs. 36/2023, mentre il precedente D. Lgs. 50/2016 andrà in pensione tra circa tre mesi. Un “mostro” di 556 pagine – allegati inclusi – che andrà studiato dagli operatori del settore, avendo forte impatto anche sulle attività di compliance aziendale, e che in questo post viene proposto con collegamenti ipertestuali e l’indicazione delle parti modificate e aggiornate.

RIFORMA FISCALE – È stato recentemente approvato dal Consiglio dei Ministri il Disegno di Legge delega sulla riforma fiscale con il quale il Governo è stato incaricato di introdurre, tra i reati-presupposto del Decreto 231/2001, gli illeciti tributari connessi alle accise. In particolare, l’art. 18 prescrive di estendere la punibilità degli enti anche alle ipotesi previste dal D. Lgs. 504/95 “Testo unico delle disposizioni legislative concernenti le imposte sulla produzione e sui consumi e relative sanzioni penali e amministrative”. Inoltre, in materia di #contrabbando, viene conferita la delega per consentire l’applicabilità delle sanzioni interdittive di cui all’art. 9, comma 2 lett. a) e b) in caso di commissione degli illeciti previsti dall’art. 25-sexiesdecies del Decreto 231. L’esecutivo dispone ora di 24 mesi per adottare i decreti legislativi.

WHISTLEBLOWING – Nel corso dell’ottava assemblea del Network of European Integrity and Whistleblowing Authorities” (cd. Neiwa, organismo composto da 34 autorità rappresentative di 25 stati membri dell’Unione) – tenutasi a Roma lo scorso 24 marzo – è stata sottoscritta una dichiarazione finalizzata a “coordinare gli sforzi per il rafforzamento della protezione dei whistleblowers attraverso lo scambio di conoscenze pratiche; unire le forze e, quando necessario, parlare con una sola voce; collaborare come interlocutore chiave con istituzioni pubbliche e organizzazioni private europee e internazionali”. In particolare, nel corso dell’incontro il Naiwa ha concentrato la propria attenzione allo stato di attuazione della Direttiva 2019/1937 (cd. Direttiva Whistleblowing) e sulle leggi nazionali attualmente approvate in materia.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

IDENTITA’ DIGITALE – Il Parlamento europeo ha avviato i colloqui con il Consiglio dell’Unione europea in merito alla proposta di regolamento sull’identità europea digitale, emanata dalla Commissione europea nel giugno 2021. In particolare, il Parlamento ha precisato che la proposta di regolamento consentirà ai cittadini identificarsi e autenticarsi online tramite un portafoglio di identità digitale europeo, senza dover ricorrere a fornitori commerciali, dando così agli utenti il pieno controllo dei propri dati. Per quanto riguarda i prossimi passi, il Parlamento ha precisato che, dopo l’approvazione della sua plenaria, le discussioni con il Consiglio sulla forma finale del regolamento possono iniziare immediatamente, chiarendo che la sua posizione durante i negoziati si baserà sugli emendamenti adottati dalla commissione Industria, ricerca ed energia a febbraio 2023.

DATA ACT – I rappresentanti degli Stati membri dell’Unione europea hanno raggiunto una posizione comune (“mandato negoziale”) riguardo al Data Act, che consente al Consiglio di avviare i negoziati con il Parlamento europeo sulla proposta legislativa riguardante le norme armonizzate sull’accesso equo ai dati e sul loro utilizzo. L’accordo ha l’obiettivo di facilitare la trasformazione digitale delle società ed economie, dato che la normativa sui dati sfrutterà le potenzialità economiche e sociali dei dati e delle tecnologie in linea con le norme e i principi fondamentali dell’Unione europea. Contribuirà inoltre alla creazione di un mercato unico per consentire la libera circolazione dei dati all’interno dell’Unione e tra i vari settori, a beneficio delle imprese, dei ricercatori, delle pubbliche amministrazioni e della società in generale.

RACCOMANDAZIONI CONSUMATORI – L’Organizzazione europea dei consumatori ha pubblicato, il 24 marzo 2023, alcune raccomandazioni in relazione all’iniziativa della Commissione europea volta a specificare le norme procedurali relative all’applicazione del GDPR. In particolare, l’ente ha accolto con favore l’iniziativa, e ha osservato che l’armonizzazione procedurale è un aspetto essenziale dell’applicazione e dell’esecuzione del GDPR. A questo proposito, l’ente ha sottolineato che l’iniziativa dovrebbe garantire che tutte le procedure, le politiche e le pratiche relative alla protezione dei dati siano coerenti, omogenee e standardizzate nella massima misura possibile.

PROPOSTA DI DIRETTIVA SULL’EUROPA DIGITALE – Gli obiettivi della proposta di direttiva adottata dalla Commissione europea nel quadro di un progetto di facilitazione, da parte delle aziende, dell’uso di strumenti e processi digitali nel diritto societario sono quelli di (i) facilitare le operazioni delle società transfrontaliere e ad aumentare la trasparenza e la fiducia delle imprese, (ii) rendere pubbliche a livello dell’Unione europea maggiori informazioni sulle società, (iii) ridurre la burocrazia per le imprese che operano con l’estero, risparmiando notevoli capitali attualmente impiegati in oneri amministrativi all’anno. La proposta contribuirà anche a favorire un’ulteriore digitalizzazione del mercato unico e aiuterà le imprese, in particolare quelle di piccole e medie dimensioni, a fare affari nel quadro dell’Unione. La proposta si applicherà a circa 16 milioni di società a responsabilità limitata e a 2 milioni di imprese nell’Unione europea. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

FRANCIA – L’Autorità garante francese (CNIL) ha pubblicato lo scorso 23 marzo un dossier tematico in materia di identità digitale che definisce il concetto di #identità #digitale e le altre questioni relative all’uso di tale strumento da parte delle organizzazioni.

FRANCIA/2 – Sanzione di 125.000 euro a Cityscoot (noleggio breve motorini) per illecita conservazione dei dati di geolocalizzazione relativi all’uso dei propri servizi: in particolare, la App geolocalizzava l’utente “attivo” ogni 30 secondi; il procedimento è stato condotto in cooperazione con le autorità di Spagna e Italia, dove Cityscoot opera con lo stesso modello di business.

GIAPPONE – Il Ministero dell’Economia, del Commercio e dell’Industria giapponese (METI) ha di recente annunciato di aver rivisto le proprie Linee guida in materia di cybersicurezza.

SVEZIA – Lo scorso 23 marzo il Parlamento svedese (Riksdag) ha annunciato di aver approvato la proposta di modifica della legge sui dati dei pazienti avanzata dal Governo (la “Proposition 2022/23:31 Processing of personal data when calculating numbers for clinical research”). In particolare, dalla relazione della Commissione per gli affari sociali si evince che dati personali dei clienti potranno essere trattati per calcolare il numero di soggetti che soddisfano i requisiti stabiliti per essere ammessi alla ricerca clinica. Le nuove disposizioni entreranno in vigore il prossimo 1 maggio.

REGNO UNITO – L’ICO, Autorità UK in ambito privacy, ha annunciato la pubblicazione di una nuova linea guida in materia di marketing diretto e comunicazioni in ambito regolatorio, particolarmente interessante dato che aiuta le aziende a capire quando e come utilizzare la messaggistica verso i propri consumatori e utenti in caso di necessità di comunicare loro, ad esempio, il cambiamento di termini e condizioni.

SPAGNA – L’AEPD, Garante spagnolo, ha di recente reso pubbliche le sue nuove Linee guida in materia di gestione del rischio di violazione di dati personali per tutte quelle operazioni di trattamento che comportano la comunicazione di dati tra enti pubblici.

LUSSEMBURGO – In vista dell’attuazione del Regolamento UE 2022/1925 (il cd. DMA, Digital Markets Act), lo scorso 23 marzo è stato approvato dalla Camera dei Deputati del Lussemburgo il disegno di legge di modifica delle legge 30 novembre 2022 sui mercati digitali. Il disegno di legge istituisce l’Autorità lussemburghese garante della concorrenza quale autorità competente ai fini del DMA, affidandole inoltre il compito di assistere la Commissione europea nelle questioni inerenti i mercati digitali. 

DANIMARCA – Datatilsynet, Autorità garante danese, ha di recente aggiornato le proprie Linee guida in materia di protezione dei dati personali nel contesto dei rapporti di lavoro. In particolare, (i) ha aggiornato la guida alle sue ultime pratiche, tra cui quella relativa ai dati dei casellari giudiziari e alle referenze, (ii) ha fornito chiarimenti su alcuni paragrafi e (iii) ha rivisto la struttura del documento in modo tale da renderlo più fruibile e comprensibile.

OLANDA – Circa 780.000 passeggeri delle ferrovie nazionali sono stati coinvolti in un importante data breach, causato da una violazione di sicurezza di un fornitore strategico, che ha comportato la potenziale esposizione di numeri di telefono, indirizzi e-mail e altri dati degli utenti, ma non – a quanto è stato comunicato – dati di pagamento o password.

GERMANIA – Che i cookie paywall siano (in qualche misura) ammissibili? Le Autorità tedesche omologhe del nostro Garante sembrano – con diversi caveat – pensarla così, a quanto riporta questo post.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Clark Young grazie a Unsplash.

News #12/2023: anche OpenAI subisce un databreach e ChatGPT va offline senza preavviso

LE PRINCIPALI NEWS DELLA SETTIMANA

  • per un errore di configurazione, ChatGPT è stato messo offline a seguito di un data breach con invio di e-mail automatiche all’utente sbagliato;
  • intanto, il Parlamento UE raccoglie i paper sull’IA e prova a spingere per l’adozione dell’AI Act;
  • in Norvegia, far subire un databreach a un dipendente costa oltre 200 mila euro;
  • una task force per il Digital Markets Act in vigore da maggio 2023.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • se siete in cerca di una checklist, una linea guida o una chart esplicativa in materia di dati personali, ISO o cybertech, dovete assolutamente seguire ed esplorare il profilo di Andrey Prozorov, che possiede anche un canale Patreon in cui ha pubblicato tantissimo materiale molto interessante.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • In The Wee Small Hours Of The Morning – Frank Sinatra (1955 – late night jazz version by Webster & Peterson)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DATA BREACH SU UN DIPENDENTE, 220 MILA EURO DI SANZIONE – L’Autorità garante norvegese, Datatilsynet, ha di recente emesso una sanzione di 2,5 milioni di NOK (pari a poco più di 220 mila euro) la società Argon Medical Devices, avente sede legale negli Stati Uniti, a seguito di una violazione di dati personali relativa ai dati personali di un unico suo dipendente tra quelli in Europa, residente in Norvegia. Alla base della decisione ci sarebbero (i) il mancato rispetto delle tempistiche fissate in materia di notifica al Garante (67 giorni a fronte delle 72 ore imposte dal GDPR), seppure a fronte di verifiche approfondite da cui non sarebbero emersi, in una prima fase, rischi per l’interessato), e più in generale (ii) la inadeguatezza delle misure di sicurezza implementate dalla società.

ANCHE OPENAI (CHATGPT) ALLE PRESE CON UN DATA BREACH – Lo scorso 20 marzo è andato offline, per qualche ora, il servizio di ChatGPT: si è appreso in seguito, attraverso un comunicato della stessa OpenAI, che il disservizio era legato a una errata configurazione del sistema automatico di invio e-mail collegato all’iscrizione degli utenti “Plus” (a pagamento). A causa del problema, è possibile – si legge – che un utente abbia ricevuto e/o letto informazioni (anche di pagamento) di un altro utente, come pure le prime righe della conversazione con l’Intelligenza Artificiale che sta rivoluzionando il mondo e internet. Al momento, da quanto risulta, nessuna notifica ai sensi del GDPR sarebbe stata inviata.

PARLAMENTO EUROPEO & AI – Mentre le istituzioni europee si interrogano su come regolare l’Intelligenza Artificiale, con un “AI Act” in discussione dal 2021, il Parlamento ha pensato bene di pubblicare una nota che presenta i link alle recenti pubblicazioni e ai commenti pubblicati sull’intelligenza artificiale. Grazie a data TENET® per la segnalazione.

OSSERVATORIO FEDERPRIVACY SULLA COMPLIANCE – A cinque anni dall’introduzione del GDPR sono ancora molti i casi in cui le prescrizioni del Regolamento vengono applicate in modo teorico o approssimativo, e anche migliaia di imprese, che hanno investito risorse per adeguarsi alla normativa europea, si trovano, loro malgrado, esposte a sanzioni da parte delle autorità di controllo. E’ quanto emerge da un sondaggio condotto dall’Osservatorio di Federprivacy a cui hanno partecipato numerosi addetti ai lavori: il 78% delle imprese considera ancora la privacy come un mero adempimento burocratico, e a dimostrarlo sono anche alcuni casi emblematici come quello della multa da mezzo milione di euro ad una società di eCommerce che aveva nominato un DPO in conflitto d’interessi.

COME PROTEGGERSI DAL VISHING – Con un comunicato stampa dello scorso 22 marzo il Garante per la protezione dei dati personali ha fornito ai cittadini una serie di informazioni e suggerimenti utili per proteggersi dal #vishing, ossia quella particolare forma di phishing (cioè truffa) che utilizza il telefono come mezzo di appropriazione dei dati personali delle vittime. 

STATISTICHE EUROPEE E DATA PROTECTION – Nell’ambito della nuova proposta di Regolamento europeo in materia di statistiche sulla popolazione e sulle abitazioni, l’EDPS (European Data Protection Supervisor, il Garante delle istituzioni europee) ha ricordato ai legislatori l’importanza di non interferire con la normativa in materia di protezione dei dati. Più in particolare, pur accogliendo con favore l’obiettivo della nuova proposta – che riunirà tutti i dati demografici, migratori e censuari attualmente raccolti a livello di singolo Stato Membro – l’EDPS ha fornito una serie di raccomandazioni finalizzate a mitigare le eccessive interferenze con le disposizioni europee in materia di privacy, sottolineando in particolare l’importanza di rendere anonimi (o per lo meno pseudonimi) i dati raccolti.

REPORT PRIVACY E FIDUCIA DEI CONSUMATORI – Il recente report di IAPP (di cui trovate qui un estratto) sulla privacy e la fiducia dei consumatori si occupa di delineare il pensiero delle persone e la loro consapevolezza rispetto alla privacy, rispondendo a domande quali quando siano preoccupate le persone per la privacy online, come influiscono sui comportamenti, anche economici e commerciali, l’uso del telefono e la navigazione sul Web. L’obiettivo del report è cercare di definire cosa pensa la maggior parte dei consumatori riguardo alle leggi sulla privacy e sulla protezione dei dati,e come rispondono quando i loro dati vengono persi o coinvolti in una violazione, a fronte del cambiamento globale, culturale e tecnologico che si sta verificando nel modo in cui gli individui apprezzano la loro privacy e le misure che intraprenderanno per proteggerla.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CONTROLLO GIUDIZIARIO E MOGC – Con sentenza n. 11326 dello scorso 16 marzo la Suprema Corte di Cassazione ha stabilito che l’adozione ex post di un Modello di organizzazione, gestione e controllo previsto dal Decreto 231 e di misure self cleaning finalizzate a evitare future infiltrazioni mafiose non sono sufficienti ai fini dell’ammissione di una società – già destinataria di una interdittiva antimafia – al controllo giudiziario, così respingendo la richiesta. In particolare, secondo gli Ermellini, “il ravvisato rapporto di stabile agevolazione che la società (…) ha intessuto con le cosche mafiose (…) non permette di formulare (…) una prognosi favorevole di bonifica e radicale risanamento” (estratto dalla nota di Aodv231).

AUTONOMIA RESPONSABILITÀ DELL’ENTE – La Suprema Corte di Cassazione si è recentemente pronunciata circa la possibilità che un ente possa richiedere e ottenere una revisione della sentenza di patteggiamento emessa a suo carico, nel caso particolare la persona fisica imputata sia stata assolta dal reato-presupposto. Con la sentenza n.10143 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) i Giudici hanno stabilito che una revisione della sentenza avente ad oggetto la responsabilità dell’ente connessa all’assoluzione della persona fisica imputata può discendere solo dalla “negazione del fatto storico, e non anche dalla mancata individuazione del suo autore”. Più in particolare, gli Ermellini hanno chiaramente sottolineato che “la responsabilità dell’ente sussiste anche quando l’autore del reato non è stato identificato”.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TASK FORCE DMA – La Commissione europea ha istituito il gruppo di lavoro che fornirà consulenza per garantire una corretta applicazione del Digital Markets Act (“DMA”), il regolamento sui mercati digitali entrato in vigore il 1 novembre 2022 a cui gli Stati membri dovranno adeguarsi a partire dal 2 maggio 2023. Il gruppo fornirà alla Commissione europea consulenza e competenze tecniche per garantire che Il DMA e altri regolamenti applicabili ai gatekeeper siano attuati in modo coerente. Il gruppo di lavoro potrà anche fornire supporto nelle indagini di mercato su servizi e pratiche emergenti, per contribuire a garantire che le regole siano applicate in modo armonico e che possano resistere nel tempo. Il gruppo di lavoro avrà un mandato di due anni e si riunirà almeno una volta all’anno.

CYBERSECURITY – L’ENISA (Agenzia per la Cybersicurezza dell’UE) ha annunciato lo scorso 19 marzo il lancio di una nuova piattaforma il cui obiettivo è promuovere e diffondere informazioni sui sistemi di certificazione UE in materia di cybersicurezza. Più in particolare, la piattaforma consentirà agli utenti di condividere informazioni sugli schemi di certificazioni attualmente in fase di sviluppo, tra cui anche l’EUCS (Cybersecurity Certification Scheme for Cloud Servies). 

AGGIORNAMENTO LINEE GUIDA – Il Consiglio europeo per i pagamenti (EPC) ha recentemente annunciato di aver pubblicato un aggiornamento delle sue “Guidelines on Cryptographic Algorithms Usage and Key Management”. La Commissione ha specificato che all’interno della nuova versione di Linee guida sono disponibili, tra le altre cose, anche aggiornamenti relativi al calcolo quantistico e alle tecnologie di registro distribuito.

PROPOSTA DI RIPARAZIONE DEI PRODOTTI OLTRE LA GARANZIA – Riparazioni più facili ed economiche, anche oltre il periodo legale di garanzia per smartphone, tablet, pc ed elettrodomestici, per ridurre l’impatto ambientale, sostenere il Green Deal e contrastare l’obsolescenza programmata: è la proposta lanciata dalla Commissione europea nel suo nuovo disegno di legge sul diritto alla riparazione. Con le norme presentate, l’istituzione europea punta a dare ai cittadini la possibilità di rivolgersi a servizi di riparazione quando la garanzia legale dei prodotti – solitamente di due anni – sia scaduta. Saranno poi introdotti standard comuni di trasparenza su condizioni e prezzi delle riparazioni. Secondo le proposte, i produttori dovranno riparare i beni ancora in garanzia se costano lo stesso o meno di una sostituzione. I consumatori avranno anche il diritto di chiedere alle aziende di riparare i loro prodotti, se possono ancora essere riparati, entro 10 anni dall’acquisto, anche se non sono più in garanzia. La proposta dovrà ora essere negoziata fra Parlamento europeo e Stati membri, per ricevere l’approvazione.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SPAGNA – Anche la Spagna adotta una sua normativa in materia di whistleblowing. Lo scorso 13 marzo è infatti entrata in vigore la Ley 2/2023, di recepimento della Direttiva UE 2019/1937. Ai fini di una maggiore tutela del segnalante, la Spagna ha provveduto ad istituire una Autorità indipendente alla quale è stato assegnato il compito di (i) gestire i canali di segnalazione esterni e (ii) irrogare sanzioni in caso di violazioni della disciplina. 

SPAGNA/2 – L’AEPD, garante spagnolo, ha di recente sanzionato CaixaBank per trattamento illecito di dati personali. Il procedimento scaturiva dalla denuncia presentata da un cliente, il quale lamentava che CaixaBank avesse richiesto, attraverso una società di recupero crediti, il pagamento di un debito che era stato già annullato con sentenza. In particolare, dalle indagini dell’Autorità è emerso che nonostante il contratto tra le parti fosse ormai concluso, CaixaBank continuava a trattare i relativi dati del cliente, che continuava ad essere destinatario di sms che richiedevano il pagamento del debito. Per tale ragione, all’esito della propria attività ispettiva l’AEPD ha sanzionato CaixaBank con una multa di per 70 mila euro.

AUSTRIA – NOYB, l’organizzazione no profit sempre in prima linea nella lotta per la protezione dei dati personali dei cittadini europei, ha di recente reso noto che il Tribunale amministrativo federale austriaco (BVwG) ha confermato la decisione del Garante locale (DBS) in materia di accesso ai dati relativi al traffico e all’ubicazione. In particolare, è stata confermata la posizione secondo la quale la compagnia di telefonia A1 Telekom Austria avrebbe agito in maniera corretta non fornendo al reclamante i dati richiesti in quanto – anche alla luce del fatto che all’interno del contratto stipulato non era presente alcuna clausola che impedisca la cessione, anche temporanea, del dispositivo stesso – il richiedente non poteva validamente dimostrare di essere lui l’unico utilizzatore (e dunque il titolare dei dati). Non condividendo tale impostazione, che si tradurrebbe nell’impossibilità per gli interessati di accedere ai propri dati, NOYB ha già fatto sapere nel medesimo comunicato la sua intenzione di proporre reclamo avverso la decisione.

AUSTRIA/2 – L’Autorità austriaca per la protezione dei dati personali ha sanzionato il Ministero delle Finanze locale che, agendo su richiesta di una commissione parlamentare, ha divulgato al pubblico e ai media notizie riguardanti i procedimenti penali a carico di un membro del Parlamento austriaco. L’interessato si è rivolto all’Autorità garante, che ha ravvisato la mancanza di una base giuridica adeguata, avendo, infatti, la divulgazione, come unico scopo quello di danneggiare l’immagine politica dell’esponente parlamentare.

BRASILE – L’ANPD, Autorità garante brasiliana, ha annunciato di aver emesso una nota tecnica in cui ha precisato i confini di applicabilità della legge nazionale in materia di protezione dei dati (LGPD). In particolare, partendo dall’assunto che per il Codice Civile l’esistenza di una persona fisica termina con la morte, l’Autorità ha chiarito che la LGPD si applica verosimilmente al solo trattamento di dati personali riferibili a persone fisiche viventi, rimanendo esclusi dall’ambito di tutela della normativa i dati delle persone decedute.

CINA – La Cyberspace Administration of China (“CAC”) ha pubblicato, il 23 marzo 2023, le procedure per il controllo amministrativo delle azioni esecutive per le violazioni della normativa applicabile in materia di protezione dei dati e sicurezza. Le procedure stabiliscono i passaggi per le indagini e la raccolta delle prove da parte dei dipartimenti di sicurezza informatica e informazione, e le diverse situazioni per la gestione delle violazioni delle norme sulla protezione dei dati e sulla sicurezza. Inoltre, le disposizioni ricordano che, prima dell’irrogazione di sanzioni amministrative, i servizi di sicurezza informatica e informatica devono comunicare agli interessati il loro diritto di chiedere un’audizione, e che devono effettuare tale richiesta entro cinque giorni dal ricevimento della notifica. 

UNGHERIA – Il 21 marzo 2023 l’Assemblea nazionale ungherese ha annunciato l’introduzione di un disegno di legge sulla certificazione e la supervisione della sicurezza informatica. In particolare, il disegno di legge fornisce definizioni per il servizio di cloud computing, il sistema informativo elettronico e per i test di vulnerabilità remoti. Inoltre, il progetto stabilisce norme specifiche per i fornitori di servizi operanti in settori a rischio, nonché per i sistemi informativi elettronici dei fornitori di servizi e delle organizzazioni operanti in settori a rischio in determinate circostanze, specificate negli allegati. 

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Kym Ellis grazie a Unsplash.

News #8/2023: linee guida EDPB, indicazioni sul DSA, Spid a rischio

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • potrebbe non rinnovarsi la convenzione di SPID, spegnendo così 33 milioni di identità digitali italiane;
  • nuova newsletter del Garante e linee guida EDPB: molto da leggere;
  • #privacynotincluded è uno studio della Mozilla Foundation su quanto le app dichiarino all’utente (male, poco, in modo opaco) sul trattamento di dati;
  • pubblicato un interessante toolbox di ENISA per armonizzare gli strumenti di risk management;
  • importante decisione della Cassazione in materia di autoriciclaggio.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • Anche in onore del libro consigliato qui sotto, un profilo da seguire per la ricchezza di spunti e la personale (e competentissima) visione del mondo dei dati personali è quello di Francesco Pizzetti, professore di Diritto Costituzionale e già Presidente dell’Autorità Garante.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • A Love Supreme (Suite) – John Coltrane (1965)
Non è stato fornito nessun testo alternativo per questa immagine

IL LIBRO DELLA SETTIMANA

“LA PRIVACY NELL’ERA DIGITALE” – Il nuovo volume dal titolo “La privacy nell’era digitale”  racconta la storia dell’evoluzione di diritti e tecnologie dal 1997 al 2022, e apre una prospettiva sugli scenari futuri. Il libro ricostruisce la storia dell’Autorità Garante attraverso i discorsi dei suoi #Presidenti, dalla sua istituzione nel 1997, e ripercorre l’evoluzione di un’Autorità indipendente che, nelle parole del presidente Stanzione, “ha saputo adeguare la propria azione alle esigenze sociali emergenti e alle istanze di tutela manifestate dai cittadini”. Il libro sottolinea anche le sfide poste all’Autorità nel mondo digitale di oggi: innanzitutto quella di distinguere in rete l’interlocutore umano dall’interlocutore-macchina e la necessità di una rapida risposta della normative alla rapidissima evoluzione della tecnologia.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

IDENTITA’ DIGITALE – Il Governo ha annunciato di voler unificare i servizi di CiE e SPID in un #nuovo sistema pubblico di #identitàdigitale. Giovedì 23 febbraio, presso il Dipartimento della Trasformazione digitale, si è così svolto il primo incontro tra il sottosegretario all’Innovazione e gli esperti del tavolo tecnico nominato per valutare la fattibilità del progetto. L’intenzione del Governo è quello di #unificare i servizi esistenti di identità del cittadino in un’unica applicazione, in linea con il progetto elaborato dalla Commissione europea che mira a rendere operativo un sistema comune europeo di identità elettronica. Tuttavia, come spiega in dettaglio questo articolo di Wired, il Governo ha parallelamente deciso di non rinnovare (per ora) le #convenzioni ai gestori Spid, in scadenza il prossimo #23aprile. Problemi di costi, ma (potenzialmente) grandi problemi per tutti noi cittadini, che potremmo ritrovarci senza uno strumento molto importante per l’accesso al digitale, davvero tra pochi giorni.

COMMENTI PUBBLICI DSA – Lo scorso 17 febbraio la Commissione europea ha annunciato di aver avviato una consultazione pubblica sulle procedure di applicazione del Digital Service Act (#DSA). In particolare, il regolamento di esecuzione del DSA stabilisce che la Commissione ha il potere di ordinare ai fornitori di piattaforme o motori di ricerca molto grandi – quelli cioè che raggiungo il 10% della popolazione dell’UE o 45 milioni di utenti mensili – di (i) fornirle l’accesso a banche dati  e algoritmi e (ii) identificare le informazioni coperte dal segreto aziendale o comunque riservate. Il termine ultimo entro il quale inviare commenti è fissato al 16 marzo 2023. I commenti possono essere inviati a questo link. Ricordiamo, inoltre, che dallo scorso 17 febbraio è ufficialmente in vigore per piattaforme online e motori di ricerca l’obbligo di comunicare con cadenza semestrale un #report relativo al numero di utenti raggiunti.

TWITTER – Attraverso un post sul suo blog ufficiale Twitter ha annunciato una importantissima novità: dal prossimo 20 marzo l’autenticazione a due fattori (cd. #2FA) tramite SMS potrà essere attivata esclusivamente dagli utenti aderenti al piano #TwitterBlue, e cioè quello a pagamento. La notizia è chiaramente allarmante, dal momento che comporterà per milioni di utenti possibili rischi dal punto di vista della #sicurezza #informatica del proprio account. L’autenticazione a due fattori è infatti un livello di protezione ulteriore che si aggiunge alla password e che, attraverso un codice che solo l’utente può avere, ne rafforza l’autenticazione. Alla luce di questo imminente cambiamento il consiglio è quindi quello di affrettarsi ad attivare la doppia identificazione via app prima che sia troppo tardi. 

EVASIONE IVA DI META, FORSE – Il Nucleo di polizia economico finanziaria della Guardia di Finanza di Milano ha #contestato come omesso versamento dell’Iva un importo di 870 milioni, per gli anni che vanno dal 2015 al 2021, alla piattaforma Meta. L’indagine, attraverso un calcolo specifico sulla permuta di beni differenti, ha permesso di rilevare l’Iva non versata, che riguarda l’iscrizione degli utenti sulle diverse #piattaforme social. Tali Iscrizioni, infatti, avvengono #gratuitamente, ma con l’utente che in realtà paga una sorta di tassa, perché mette a disposizione i propri dati personali e si sottopone a una potenziale profilazione. Attraverso questo scambio, formalmente gratuito, Meta può trarre un profitto, che, in base a valutazioni giuridiche e fiscali, deve essere #tassato, secondo gli inquirenti, con l’applicazione dell’imposta sul valore aggiunto, che Meta, invece, negli anni non ha mai versato.

ARTIFACT – I creatori di Instagram hanno lanciato una nuova App, ci racconta TechCrunch: si chiama Artifact ed è un #newsfeed personalizzato che promette grande controllo su ciò che si legge e, al contempo, un supporto importante a contrastare la ormai dilagante FOMO (Fear Of Missing Out) per quanto riguarda le informazioni che circolano in rete e nel mondo iperconnesso di oggi.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

NEWSLETTER GARANTE – Pubblicata lo scorso 22 febbraio l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionata Edison Energia S.p.A. per condotte illecite nei confronti degli utenti in materia di telemarketing –;(ii) fornito al Ministero della Salute un parere su uno schema di decreto in materia di accesso ai medicinali in caso di ricette transfrontaliere; (iii) adottata dall’EDPB una relazione – frutto dell’attività di 22 Autorità garanti dell’area SEE – sui risultati della sua prima azione di applicazione coordinata in materia di #cloud nelle amministrazioni pubbliche. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9857857

LINEE GUIDA EDPB – Il 24 febbraio 2023 il Comitato europeo per la protezione dei dati (“EDPB”) ha annunciato di aver adottato tre serie di linee guida nella loro versione finale, a seguito della sua 75° riunione plenaria. In particolare, le linee guida adottate dall’EDPB riguardano (i) l’interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali di cui al capo V del GDPR (Linee guida 05/2021); (ii) la Certificazione come strumento per i Trasferimenti (Linee guida 07/2022); (iii) i dark patterns nelle interfacce delle piattaforme di social media (Linee guida 03/2022). L’EDPB ha sottolineato che, a seguito di consultazione pubblica, le linee guida sono state aggiornate e sono stati aggiunti ulteriori chiarimenti, in particolare, in merito alle responsabilità del Titolare del trattamento quando l’esportatore dei dati è un Responsabile del trattamento. Nel frattempo, sempre l’EDPB ha annunciato la pubblicazione del suo programma di lavoro 2023-2024, in cui delinea priorità e strategia per il prossimo biennio, con particolare focus sulla armonizzazione del GDPR nei vari paesi UE.

ONE-STOP-SHOP – L’European Data Protection Board (EDPB) ha di recente pubblicato un documento tematico in materia di diritto di opposizione al trattamento e di cancellazione dei dati persona dal titolo “One-Stop-Shop case digest on right to object and right to erasure”. Il documento, datato 9 dicembre 2022, esamina una serie di decisioni finali prese dal registro pubblico dell’EDPB (cd. One-Stop-Shop) tra l’agosto e il novembre dello scorso anno, rendendo evidente – e anzi, sottolineando – il pregevole lavoro di collaborazione svolto dalle diverse Autorità garanti nazionali ai fini di una corretta applicazione del GDPR

UTENTI META DEL REGNO UNITO – La piattaforma Meta modificherà i propri termini di servizio e le condizioni sulla privacy per gli utenti del Regno Unito. Gli utenti britannici di Facebook, Instagram e WhatsApp manterranno i diritti sui dati ai sensi del UK GDPR, mentre l’azienda #sposterà i dati degli utenti fuori dalla giurisdizione del Regolamento. Un portavoce di Meta ha dichiarato che gli aggiornamenti, pianificati in seguito all’accordo Brexit 2020 del Regno Unito, non cambiano il modo in cui la piattaforma tratta i dati degli utenti britannici. La dichiarazione arriva proprio nel momento in cui Meta si trova ad affrontare un potenziale blackout dei servizi dell’Unione europea, in attesa di una decisione sul trasferimento dei dati da parte dell’European Data Protection Board (“EDPB”).

PRIVACYNOTINCLUDED – Uno studio dei ricercatori di Mozilla Foundation ha evidenziato come vi sia una sostanziale (e dilagante) #inconsistenza tra le “etichette” presenti ormai da tempo sul Google Play Store e quello che in realtà le App fanno con i dati personali, per almeno l’80% dei casi analizzati. Principale imputato di ciò è il Data Safety Form di Google che permette di nascondere e/o rendere opaco il trattamento di dati personali effettivamente svolto con una app.

COOPERAZIONE TRA AUTORITA’ GARANTI – La Commissione europea ha pubblicato un’iniziativa che specifica nel dettaglio le norme procedurali relative all’applicazione del GDPR da parte delle Autorità garanti. In particolare, l’iniziativa, ancora in fase di preparazione, mira a semplificare la #cooperazione tra le Autorità garanti nell’applicazione del GDPR nei casi #transfrontalieri. A tal fine, la Commissione punta ad armonizzare alcuni aspetti della procedura amministrativa che le Autorità garanti applicano nei casi transfrontalieri, con l’obiettivo di favorire il buon funzionamento dei meccanismi di cooperazione e di risoluzione delle controversie del GDPR.

TOOLBOX ENISA – E’ stato presentato dall’Agenzia ENISA il EU-Risk Management toolbox, ovvero una soluzione proposta dall’agenzia europea per affrontare i problemi di interoperabilità legati all’uso dei metodi di Risk Management per la sicurezza delle informazioni. Il #toolbox mira a facilitare l’integrazione dei vari metodi di Risk Management nell’ambiente di un’organizzazione, o tra organizzazioni diverse, e a colmare le lacune associate ai diversi approcci dei metodi. L’obiettivo è rendere gli operatori delle società e degli enti in grado di comprendere in modo allineato e omogeneo i #rischi, e di riferire alla comunità e alle autorità competenti i risultati di valutazione del rischio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

AUTORICICLAGGIO – Con sentenza n. 4855 dello scorso 3 febbraio (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che nel delitto di #autoriciclaggio non può applicarsi la causa di esclusione di punibilità di cui all’art. 648-ter.1 comma 4 – e cioè quella relativa alla mera utilizzazione o al godimento personale del denaro, dei beni o delle altre utilità provenienti da delitto – nel caso in cui “(…) per la pluralità degli acquisti effettuati e dei trasferimenti verso altri conti correnti si manifesti una evidente attività di trasformazione del denaro in altri impieghi e beni con chiaro intento speculativo effetto decettivo”.

DOLO EVENTUALE E DICHIARAZIONI INTEGRATIVE – Con la sentenza n.49427 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) la Cassazione si è pronunciata in materia di delitti tributari, stabilendo in particolare che (i) anche con riferimento ai delitti di cui al D. Lgs. 74/2000 il dolo specifico di evasione è compatibile con il #dolo #eventuale; (ii) ai fini della sussistenza del delitto di #dichiarazione #fraudolenta mediante uso di fatture o altri documenti per operazioni inesistenti è necessario che le fatture false siano già esistenti al momento della dichiarazione fraudolentemente presentata; (iii) la natura giuridica di tali delitti è quella di #delitti #istantanei, e che pertanto il momento del loro perfezionamento è quello della presentazione della dichiarazione annuale. 

CONTROLLO GIUDIZIARIO VOLONTARIO –  La Suprema Corte di Cassazione ha stabilito, con la sentenza n. 2156 (consultabile gratuitamente per gli iscritti all’Associazione Aodv231) che ai fini dell’ammissibilità al #controllo #giudiziario di un’impresa a rischio di infiltrazione mafiosa, sono da considerarsi presupposti equivalenti (i) l’interdittiva antimafia e (ii) il rifiuto di iscrizione alla cd. white list. Secondo i Giudici di piazza Cavour, infatti, entrambi i provvedimenti si fondano sulla “sussistenza di un pericolo di infiltrazione e/o attività agevolativa dell’impresa nei confronti della criminalità organizzata”.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

NORVEGIA – Datatilsynet, Autorità garante norvegese, ha di recente inflitto una sanzione di 10 milioni di NOK (pari a quasi 100mila euro) alla società SATS ASA per violazione delle disposizioni del GDPR, in particolare a quelle relative ai diritti degli interessati. Dei quattro reclami ricevuti, l’Autorità ha infatti constatato che la società sanzionata (i) in tre casi non aveva fornito alcun feedback alle richieste di riscontro presentate e (ii) in un caso aveva operato trasferimenti illeciti di dati personali. 

USA – La Federal Communication Commission (FCC) ha annunciato di aver sottoscritto, insieme al Procuratore Generale dello stato dell’Illinois,  un memorandum d’intesa che istituisce strutture di cooperazione e condivisione di informazioni critiche al fine di indagare su spoofing e robocall di truffa. 

REGNO UNITO – Il First-Tier Tribunal inglese si è pronunciato il 20 febbraio 2023 sull’azione dell’Information Commissioner’s Office (“ICO”), che ha ingiunto a una società locale di modificare il modo in cui gestisce i dati personali dei soggetti interessati. In particolare, l’ICO ha affermato che la sentenza del Tribunale ha supportato alcuni aspetti della decisione, pur consentendo l’appello della società in altre aree. L’ICO ha dichiarato che farà il punto sulla sentenza del Tribunale e valuterà attentamente i prossimi passi, inclusa l’opportunità di presentare ricorso.

BELGIO – La Corte d’appello di Bruxelles ha annullato la decisione dell’Autorità di protezione dei dati belga, che aveva sanzionato un Titolare del trattamento per 7.500 euro, per aver ripristinato i dati personali sul laptop di lavoro di un ex dipendente. La decisione è stata annullata perché l’Autorità di protezione dei dati non aveva sufficientemente motivato e specificato le presunte violazioni del GDPR da parte del Titolare del trattamento.

GERMANIA – Il Tribunale regionale superiore di Hamm ha respinto un ricorso e ha confermato che un centro di vaccinazione sia tenuto a pagare i danni morali per aver inviato accidentalmente i dati personali di un soggetto interessato a numerosi destinatari non autorizzati.

GERMANIA/2 – Il Commissario Federale per la Protezione dei Dati ha proibito al Governo Federale di gestire la propria pagina di Facebook in Germania. Secondo le conclusioni dell’autorità, l’Ufficio stampa federale ha violato l’obbligo di rendicontazione di cui all’articolo 5, paragrafo 2, del GDPR, gestendo la propria pagina su Facebook senza essere in grado di dimostrare la conformità ai principi per il trattamento dei dati personali di cui all’articolo 5, paragrafo 1, del GDPR.

SPAGNA – La legge n. 2/2023, del 20 febbraio, che disciplina la protezione delle persone che segnalano violazioni della normativa e la lotta alla corruzione (“Whistleblowing”) e che recepisce la direttiva sulla protezione delle persone che segnalano violazioni del diritto dell’Unione (Direttiva (UE) 2019/1937) (“la Direttiva Whistleblowing”), è stata pubblicata sulla Gazzetta Ufficiale dello Stato, a seguito della sua approvazione da parte del Senato. La legge ha lo scopo di tutelare coloro che, in ambito lavorativo o professionale, rilevano reati penali o amministrativi gravi o gravissimi e li segnalano attraverso i meccanismi ivi disciplinati. Oltre a tutelare chi segnala violazioni della Direttiva Whistleblowing, la Legge Whistleblower copre i reati penali e gli illeciti amministrativi gravi e gravissimi.

SPAGNA/2 – L’AEPD, garante spagnolo, ha recentemente pubblicato sul proprio blog un post in materia di anonimizzazione e rischio di re-identificazione. In particolare, secondo l’Autorità, i titolari del trattamento dovrebbero sempre valutare il rischio degli interessati di essere re-identificati e, se necessario, adottare misure al fine di abbattere tale rischio.

DANIMARCA – L’autorità danese per la protezione dei dati (“Datatilsynet”) ha annunciato, il 20 febbraio 2023, dopo aver emesso due decisioni in relazione all’uso dei cookie wall da parte dei siti web, la pubblicazione di linee guida sull’uso dei cookie wall. In particolare, l’Autorità garante ha affermato che le linee guida includono quattro criteri, che saranno il punto di partenza per la valutazione rispetto all’uso conforme di un cookie wall.

FRANCIA – L’autorità francese per la protezione dei dati personali (“CNIL”) ha pubblicato, il 22 febbraio 2023, un comunicato stampa in cui si affrontano gli usi e le considerazioni sulla privacy della proposta di tessera sanitaria elettronica facoltativa (“E-Carte Vitale”), che dovrebbe essere proposta a tutti fornitori di assicurazioni sanitarie entro la fine del 2025. In particolare, CNIL ha sottolineato che la E-Carte Vitale è una versione virtuale della tradizionale tessera sanitaria e sarà disponibile tramite un’app mobile. La CNIL ha precisato che la E-Carte Vitale conterrà tutte le informazioni amministrative richieste all’interno della tessera sanitaria fisica, comprese quelle relative ai rimborsi delle cure, alla copertura per i ricoveri e all’autenticazione del titolare della tessera, rilevando che nessun dato medico sarà raccolto tramite la E-Carta Vitale.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Steven Kamenar grazie a Unsplash.

News #7/2023: trasferimento di dati tra UE e USA, si riparte da zero?

Un nuovo appuntamento con la nostra #Newsletter in edizione #2023, che raccoglie le più interessanti novità degli ultimi sette giorni in ambito Privacy, 231 e Mercati Digitali, oltre a uno sguardo sulle news dal mondo.

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • il Parlamento UE “boccia” la proposta di decisione di adeguatezza della Commissione riguardo agli Stati Uniti d’America;
  • e intanto si discute della bozza di “Data Act” per i consumatori;
  • mentre l’EDPB annuncia a breve una decisione vincolante sul trasferimento dati UE-USA effettuato da Meta in base alle Clausole Contrattuali Tipo;
  • molte novità in materia di 231 e Whistleblowing;
  • la SEC USA aggiorna i propri regolamenti sul Privacy Act.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana il consiglio è di seguire Luisa Jarovsky, founder di Implement Privacy e di “The Privacy Whisperer”, che è anche una interessante newsletter su LinkedIn a tema privacy e diritti civili.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Have A Nice Day – Stereophonics (2013)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

DECISIONE DI ADEGUATEZZA USA – La Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento UE ha presentato, lo scorso 14 febbraio, una bozza di mozione che invita chiaramente la Commissione UE a non proseguire con la decisione di adeguatezza nei confronti degli Stati Uniti, ritornando invece al tavolo delle trattative per far sì che l’amministrazione Biden si impegni a migliorare la situazione legislativa interna. Un duro colpo – seppur non vincolante, e che sarà votato non prima di marzo – al percorso disegnato dalla Commissione per tornare a un flusso transfrontaliero di dati personali conforme al GDPR, in attesa del parere (sempre non vincolante) che sarà emanato dal EDPB tra la primavera e l’estate.

DRAFT DATA ACT – Lo scorso 9 febbraio il Parlamento europeo ha annunciato l’adozione – da parte della commissione per l’industria, la ricerca e l’energia – della bozza di #DataAct, cioè il regolamento recante norme armonizzate in materia di accesso e uso equo dei dati personali, soprattutto da parte di consumatori. Nel suo comunicato il Parlamento ha specificato che la bozza di regolamento dovrà ora essere sottoposta al voto dell’intero Parlamento in occasione della sessione plenaria del prossimo 13-16 marzo.

PLENARIA EDPB – Nelle giornate del 14 e 15 febbraio si è tenuta la 75esima riunione plenaria del Comitato europeo per la protezione dei dati (“EDPB”). Tra gli argomenti discussi, le linee guida (i) sull’interazione tra applicazione dell’articolo 3 e le disposizioni sui trasferimenti interazioni di cui al capo V del GDPR,(ii) sulla Certificazione come strumento per i trasferimenti, (iii) sui Dark Patterns nelle interfacce delle piattaforme dei social media. Nella stessa seduta l’EDPB ha inoltre dato seguito alla sua decisione vincolante del 5 dicembre 2022 sulla questione promossa dalla Data Protection Commission in relazione a WhatsApp Ireland Limited, annunciando una decisione finale entro il 14 aprile (che potrebbe bloccare l’uso di Facebook, Instagram e WhatsApp).

FAKE NEWS E BUONE PRATICHE IN UE – I firmatari del Codice di buone pratiche sulla disinformazione del 2022, comprese tutte le principali piattaforme online (Google, Meta, Microsoft, TikTok, Twitter), hanno pubblicato per la prima volta le relazioni di riferimento sul modo in cui mettono in pratica gli impegni derivanti dal codice. Il Centro per la trasparenza garantirà la visibilità e la responsabilità degli sforzi compiuti dai firmatari per combattere la disinformazione e l’attuazione degli impegni assunti a norma del codice. Con queste relazioni di riferimento, le piattaforme forniscono informazioni e dati completi, tra i quali (i) quante entrate pubblicitarie che affluiscono agli attori della disinformazione sono state evitate; (ii) il numero o il valore degli annunci politici accettati ed etichettati o respinti; (iii) i casi di comportamenti manipolativi rilevati (ossia creazione e utilizzo di account falsi).

TOOLBOX PER IDENTITA’ DIGITALE EUROPEA –  La guida pratica (“toolbox”) pubblicata dalla Commissione europea ed elaborata dagli Stati membri rappresenta una base per progettare un pacchetto di strumenti che integrerà la proposta legislativa sull’identità digitale europea. Si tratta di un primo passo che consentirà la creazione di un quadro per l’identificazione e l’autenticazione digitale basato su standard comuni in tutta l’Unione europea. L’adozione dell’identità digitale europea ha l’obiettivo di fornire un modo sicuro e conveniente per i cittadini e le imprese europee di identificarsi, ove necessario, per accedere ai servizi digitali, in modo rapido e immediato. Gli utenti saranno in grado di archiviare e utilizzare in modo sicuro i dati per tutti i tipi di servizi, come il check-in in aeroporto, il noleggio di un’auto, l’apertura di un conto bancario o l’accesso al proprio account su grandi piattaforme online. Inoltre, l’identità digitale europea consentirà ai cittadini di archiviare credenziali, come patente di guida mobile, patenti professionali, eHealth o credenziali educative.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

WHISTLEBLOWING/1 – Lo scorso 14 febbraio le Commissioni Giustizia e Lavoro pubblico e privato della Camera dei Deputati hanno espresso – con un documento scaricabile gratuitamente per gli iscritti all’Associazione Aodv231 – il loro parere favorevole sullo schema di decreto legislativo in materia di #whistleblowing. All’interno del documento sono inoltre presenti un’osservazione di carattere generale – consistente in un invito a restringere l’ambito di operatività della bozza di decreto alle sole violazioni del diritto europeo – e nove osservazioni di carattere “particolare”, tra cui (i) il suggerimento di prevedere un esonero all’obbligo di istituire un canale interno di segnalazione per le realtà con meno di 50 dipendenti e (ii) istituire sanzioni per i soggetti che effettuano volontariamente segnalazioni false.

WHISTLEBLOWING/2 –  La Commissione europea ha aperto, lo scorso 15 febbraio, la procedura di infrazione per mancato recepimento della direttiva UE 2019/193 (cd. #Whistleblowing) nei confronti di otto Stati membri, tra cui l’Italia. Ciascun Paese membro, infatti, avrebbe dovuto recepire la direttiva entro il 17 dicembre 2021. In particolare, la decisione si fonda sulle risposte – a parere della Commissione “non soddisfacenti” – fornite da tali stati dopo la messa in mora disposta nel gennaio 2022.

WHISTLEBLOWING E LIBERTÀ DI ESPRESSIONE – La Corte Europea per i Diritti dell’Uomo si è recentemente pronunciata, con sentenza dello scorso 14 febbraio, sul tema del regime di tutela del segnalante. In particolare, secondo la Corte, il criterio per valutare il regime di tutela applicabile al whistleblower è la verifica dell’interesse pubblico rivestito dalla informazione diffusa. Quando, cioè, l’informazione è tale da attirare l’attenzione o preoccupare la comunità, la necessità di una sua divulgazione prevale sulla tutela della riservatezza proprio in quanto funzionale alla creazione di un dibattito su questioni di interesse pubblico.

CASSAZIONE SU REQUISITI PER RESPONSABILITA’ 231 –  Non sussiste alcuna responsabilità a carico dell’impresa, imputata di illeciti 231, per i reati commessi dai propri collaboratori, perché il coinvolgimento dell’azienda deve essere puntualmente provato dall’accusa. Anche se l’Ente non ha preventivamente adottato o efficacemente attuato il noto Modello previsto dal Decreto 231, è necessaria la prova di una precisa colpa di organizzazione per potersi configurare la responsabilità amministrativa da reato dell’Ente. Con la recente sentenza 11 gennaio 2023 n. 570 la Corte di Cassazione è tornata su uno dei punti nodali della disciplina sulla responsabilità disciplinata dal Decreto 231, effettuando da un lato la precisa ricognizione dei suoi elementi indispensabili e, dall’altro, sottolineando come essi debbano essere tutti positivamente provati in sede giudiziaria.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TWITTER/ MUSK – Elon Musk ritorna a far parlare di sè. Deluso dai risultati ottenuti nell’ultimo periodo dai suoi tweet, il CEO di Twitter ha modificato il codice dell’app in modo tale da risolvere i suoi problemi di “visibilità”. Il risultato? Migliaia e migliaia di utenti hanno segnalato di aver ricevuto nella sezione “Per te” – quella cioè gestita da un algoritmo – moltissimi tweet e risposte provenienti proprio dall’account di Musk. 

FONDO “ETCI” PER IMPRESE INNOVATIVE – La Banca europea per gli investimenti, il Fondo europeo per gli investimenti e cinque Stati membri dell’Ue, tra i quali l’Italia, hanno inaugurato la European Tech Champions Initiative (“ETCI”), un fondo da 3,75 miliardi di euro che destinerà a imprese innovative europee il capitale di crescita necessario nelle fasi avanzate del loro sviluppo. Il fondo ha l’obiettivo di consolidare i mercati del capitale di rischio per le imprese innovative in Europa, e di appianare divari esistenti nell’accesso ai finanziamenti. I leader del progetto hanno dichiarato che l’Europa può contare su solide imprese innovatrici, ma deve migliorare il contesto che consente alle imprese di fare il passaggio dallo status di start-up a quello di concorrente credibile e leader di mercato.

FURTO DI DATI – Il “Threat Intelligence Report” pubblicato il 14 febbraio dall’Osservatorio Exprivia e relativo all’ultimo quadrimestre del 2022 ha registrato un picco molto alto di minacce informatiche in Italia, con un numero di incidenti informatici e attacchi andati a buon fine pari al doppio del 2021 e oltre al quadruplo del 2020 Secondo gli esperti, ciò è stato possibile proprio per via del crescente lasso di tempo tra il momento dell’attacco e l’incidente, oltre che per le tecniche sempre più sofisticate usate dagli hacker e dalla poca consapevolezza sui rischi legati alla rete da parte di imprese e cittadini. Il settore Finance risulta tra i più colpiti dagli attacchi, dato che le aziende finanziarie, gli istituti bancari, le piattaforme di criptovalute, gestendo importanti quantità di denaro, rappresentano un obiettivo promettente per gli attaccanti.

STANDARD CERTIFICAZIONE AI NATO – Il Data and Artificial Intelligence Review Board (“DARB”) della NATO ha annunciato di aver avviato lo sviluppo di uno standard di certificazione dell’intelligenza artificiale (“AI”) di facile utilizzo. In particolare, il DARB ha sottolineato che lo standard aiuterebbe le industrie e le istituzioni di tutti i membri della NATO a garantire che i nuovi progetti di intelligenza artificiale e dati siano in linea con il diritto internazionale, nonché con le norme e i valori della NATO. Inoltre, il DARB ha precisato che lo standard dovrebbe essere completato entro la fine del 2023 e che il suo scopo è tradurre i Principi di uso responsabile della NATO, approvati nell’ottobre 2021 come parte della prima strategia di intelligenza artificiale della NATO, in controlli ed equilibri concreti in termini di governabilità, tracciabilità e affidabilità, contribuendo così a creare fiducia tra la comunità dell’innovazione, gli utenti finali operativi e il pubblico in generale.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SLOVENIA – Il Commissario per l’informazione sloveno ha recentemente annunciato la pubblicazione di linee guida in materia di organizzazione di eventi. L’organizzazione di tali iniziative, infatti, comporta inevitabilmente il trattamento di dati personali dei soggetti partecipanti partecipanti: per tale ragione è, tra le altre cose, indispensabile garantire la corretta informazione dei partecipanti in merito (i) alle categorie di dati da trattare, (ii) ai motivi per cui tale trattamento risulta necessario e (iii) ai diritti che i partecipanti possono esercitare.

PAESI BASSI – La AP, Autorità garante olandese, ha emesso lo scorso 13 febbraio un parere in materia di utilizzo dei dati personali per finalità di ricerca scientifica. Interrogata dalla Camera dei rappresentanti circa la possibilità di riutilizzo dati di vaccinazione al fine di condurre una ricerca sull’eccesso di mortalità durante la pandemia, l’Autorità ha stabilito – in via generale – che la fornitura di dati sanitari ai ricercatori è possibile e lecita  sia alla luce del GDPR che del CBS (Centraal Bureau voor de Statistiek, organizzazione ufficiale olandese responsabile per il coordinamento dei servizi statistici). L’Autorità ha tuttavia chiarito che il GDPR non si applica al trattamento dei dati sanitari delle persone decedute: per tale motivo, una volta che il soggetto titolare dei dati di vaccinazione sia morto,i dati dovranno tornare ad essere  soggetti al segreto professionale e alla riservatezza. 

GERMANIA – Il 10 febbraio 2023 il Consiglio federale (“Bundesrat”) ha annunciato la decisione di respingere il progetto di legge sulla protezione contro le denunce (“HinSchG”), a seguito della sua adozione da parte del parlamento tedesco (“Bundestag”), il 16 dicembre 2022. In particolare, il Bundesrat ha osservato che il governo federale e il Bundestag potranno convocare un comitato di mediazione per discutere un accordo con gli Stati federali.

BAVIERA – L’Autorità bavarese per la protezione dei dati (BayLfD) ha emesso una guida contenente indicazioni utili al fine di evitare violazioni di dati durante l’utilizzo di Microsoft Excel. L’Autorità, tra le altre cose, ha sottolineato l’importanza di (i) una corretta configurazione dell’applicazione, (ii) l’adozione di particolari precauzioni che riducano al minimo il rischio di divulgazione involontaria di dati personali e (iii) l’utilizzo dello strumento di revisione prima di condividere una cartella di lavoro.

AMBURGO – Interessante decisione di incostituzionalità della Corte territoriale in merito a una legge locale che consentiva l’utilizzo di un software (Palantir “Gotham”, di origine CIA) che permetteva alle forze di polizia di monitorare la “rete” di contatti di un determinato di soggetto, di fatto ponendolo sotto controllo senza necessità di imputargli un effettivo reato.

OMAN – Lo scorso 13 febbraio è entrato in vigore il Regio Decreto n.6/2022, di promulgazione del “Codice in materia di protezione dei dati personali”. Con i suoi 32 articoli, il Codice  allinea il sistema legislativo nazionale con le altre normative globali in materia di privacy. 

USA – La Securities and Exchange Commission (“SEC”) ha annunciato, il 14 febbraio 2023, di aver proposto una norma finalizzata a rivedere i regolamenti della SEC ai sensi del Privacy Act del 1974, dato che le norme attuali prevedono procedure per la presentazione delle richieste ai sensi della legge sulla privacy, comprese le richieste di accesso e modifica dei registri relativi alla persona che effettua la richiesta, e che le revisioni chiariranno, aggiorneranno e semplificheranno il linguaggio di diverse disposizioni procedurali.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Cristofer Maximilian grazie a Unsplash.

News #6/2023: il chatbot Replika bloccato dal Garante italiano per gravi rischi verso i minori

Settimana n. 6/2023 – dal 6 al 12 febbraio 2023 

Ecco a voi la nostra #Newsletter in edizione #2023 che raccoglie le più interessanti novità degli ultimi sette giorni in ambito Privacy, 231 e Mercati Digitali, oltre a uno sguardo sulle news dal mondo.

Grazie Not Boring Privacy!

Non è stato fornito nessun testo alternativo per questa immagine

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • il Garante italiano sospende il funzionamento di un chatbot (Replika) che aveva, tra le altre cose, assunto atteggiamenti aggressivi e pericolosi in diversi casi, mettendo a rischio i minori;
  • la Corte di Giustizia UE ha precisato ulteriormente la propria posizione in merito all’indipendenza del DPO;
  • interessanti spunti sul Modello 231 dalla GdF;
  • è iniziata la battaglia sull’Intelligenza Artificiale, tra Google e Microsoft.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • questa settimana il consiglio è di seguire Odia Kagan, Chair of GDPR Compliance di Fox Rotschild LLP e grande comunicatrice con un occhio di attenzione sulla legislazione privacy di tutto il mondo, e fonte in particolare di numerosi spunti sulla situazione USA dal punto di vista interno, con importanti norme in discussione sia a livello statale che federale.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Skyfall (James Bond Theme) – Adele (2012)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

REPLIKA – Il Garante per la protezione dei dati personali ha recentemente deciso di bloccare #Replika, la chatbox in grado di creare un “amico virtuale” mediante l’uso della #intelligenzaartificiale. Alla base della decisione si trovano le concrete preoccupazioni del Garante circa i rischi che l’uso di tale strumento presenta, soprattutto per gli utenti minori d’età. Tra le criticità evidenziate, la mancata predisposizione di un meccanismo in grado di verificare l’età dell’utente e  l’assenza di qualsiasi tipo di garanzia in ordine alla protezione dei soggetti fragili – evidenziata anche in diverse recensioni degli utenti sui principali “app store” – di fronte a risposte inopportune. Alla luce di tali evidenze, i trattamenti effettuati da Replika sono risultati non conformi al GDPR, e pertanto illeciti. Alla società sviluppatrice dell’app è stato dunque imposto di #interrompere ogni trattamento relativo ai dati personali degli utenti italiani, nonché di comunicare nel termine di 20 giorni le misure intraprese per attuare le prescrizioni del Garante. Il rischio è quello di vedersi sanzionata per un massimo di 20 milioni di euro o fino al 4% del fatturato globale annuo.

SENTENZA CGUE – La Corte di giustizia dell’Unione europea ha emesso una sentenza (Caso C-453/21) relativa alla figura del #DPO, incentrata sull’articolo 38 del GDPR, nella quale ha stabilito che chi ricopre il ruolo dev’essere in grado di svolgere i propri compiti e mansioni in modo #indipendente, e non può essere incaricati di funzioni che porterebbero a determinare gli obiettivi e i metodi di trattamento dei dati personali da parte del Titolare del trattamento o di Responsabili. Non è insomma escluso che il DPO possa svolgere anche un altro ruolo, oltre a quello di supporto e verifica della #compliance aziendale, ma tale diversa attività non può in nessun caso confliggere con la prima.

PARLAMENTO EUROPEO SU DSA E DMA – Il Parlamento europeo ha accolto con favore una proposta di norme complementari alla Legge sui servizi digitali (“DSA”) e alla Legge sui mercati digitali (“DMA”) che riguarda la pubblicità politica online. Nel comunicato stampa l’istituzione sostiene che il trattamento di dati particolari per pratiche pubblicitarie come il microtargeting può danneggiare i diritti democratici degli individui. Le norme tradizionali possono essere inefficaci, poiché spesso sono difficili da applicare quando vengono applicate online, dove le nuove tecnologie e i nuovi strumenti creano opportunità per influenzare e indirizzare gli elettori. Le istituzioni mirano a raggiungere un accordo sulla proposta con i Paesi dell’Unione europea prima delle elezioni europee del 2024.

CYBER ATTACCO? – Lo scorso 5 febbraio migliaia di server in tutto il mondo sembrano essere stati interessati da un attacco #hacker di tipo #ransomware tra cui anche alcuni italiani. Secondo le informazioni attualmente in circolazione pare che l’attacco non abbia intaccato la sicurezza del nostro Paese, benché l’Agenzia per la Cybersicurezza Nazionale (ACN) lo avesse classificato ad “alto rischio”. In ogni caso il Governo, anche alla luce del vasto numero di attacchi subiti nel corso dello scorso anno, sembra stia lavorando su un Dpcm per agevolare la collaborazione tra le Regioni e l’ACN per lo sviluppo di attività di prevenzione.

GESTIONE DEL RISCHIO AI – L’International Standards Organization (“ISO”) ha pubblicato, il 6 febbraio 2023, la guida ISO/IEC 23894:2023 sulla gestione del rischio di intelligenza artificiale (“AI”). In particolare, la guida assiste gli enti che sviluppano, implementano o utilizzano sistemi di intelligenza artificiale per gestire i rischi correlati a tali sistemi. La guida, corredata anche di tre allegati, è suddivisa in tre parti: la prima che descrive i principi alla base della gestione del rischio, la seconda relativa a un quadro di gestione del rischio; e la terza, sui processi di gestione del rischio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

ESCLUSIONE DAGLI APPALTI – Lo scorso 5 gennaio è stato trasmesso al Senato dal  Consiglio dei Ministri il testo il testo dello schema di decreto legislativo di modifica del “Codice dei contratti pubblici”. Tra le novità proposte dal decreto – attualmente oggetto di analisi da parte delle commissioni parlamentari – gli articoli 95 e 98 prevedono la possibilità che un ente venga #escluso dalla partecipazione ad una gara pubblica anche in caso di mera contestazione contestazione di uno dei reati presupposto previsti dal Decreto 231 idonei a legittimarne l’esclusione, e ciò a prescindere dalla effettiva applicazione di una specifica sanzione interdittiva. Lo schema di decreto prevede, tuttavia, anche un #meccanismo per evitare l’esclusione dell’ente, e cioè l’adozione e l’attuazione di un Modello di organizzazione, gestione e controllo idoneo a prevenire la commissione di reati o illeciti. Con un documento di commento alla bozza di decreto – scaricabile gratuitamente per gli iscritti all’Associazione Aodv231 – l’Unione delle Camere Penali Italiane e la stessa Associazione Aodv231 si sono espresse in maniera critica su alcuni passaggi del testo normativo. In particolare, sottolineando la presenza di rinvii alla Riforma Cartabia (ormai superata) e alla previsione di esclusione dalla gara anche in caso di mera contestazione di un illecito amministrativo, gli autori chiedono una revisione dell’intera disciplina.

EFFICACIA MODELLO – La Guardia di finanza, nell’edizione 2023 di “Telefisco”, ha fornito utili indicazioni al fine di stabilire quali sono i criteri che, in sede di controllo, permettono di accertare la effettiva idoneità del Modello di organizzazione, gestione e controllo adottato da una società. Tra i criteri citati rilevano, in particolare, (i) una corretta regolamentazione della formazione del personale, (ii) la puntuale mappatura delle aree aziendali maggiormente esposte ai rischi di commissione dei reati 231 e (iii) la costituzione di un effettivo Organismo di Vigilanza.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

VOTO ELETTRONICO – È stata resa pubblica oggi alle ore 12 la nuova versione di Eligo, “Eligo Next”, l’innovativa piattaforma del #voto elettronico (e-voting) e online (i-voting). La nuova versione offre maggiore sicurezza e riservatezza dei dati. Eligo Next supporta infatti la crittografia end to end, e qualunque informazione che transita dai browser degli utenti è cifrata con crittografia asimmetrica, rendendo pressoché impossibile intercettare e decifrare le preferenze di voto espresse. Il sistema memorizza tutti i dati di voto e di scrutinio, applicando un ulteriore livello di sicurezza che rende i dati accessibili solo all’utente e a nessun altro. La nuova versione, Eligo Next, è stata sviluppata dopo numerose ricerche volte ad affrontare le sfide della democrazia digitale. Tra i vantaggi: (i) creare e gestire qualsiasi tipo di assemblea deliberativa ed elettiva online, in presenza o in forma ibrida, nel totale rispetto della sicurezza e legalità del voto; (ii) Incoraggiare la partecipazione e l’inclusività, grazie alla flessibilità delle modalità di voto; (iii) minimizzare l’errore umano con scrutini automatici, impedendo la possibilità di schede nulle o contestabili. (iv) attivare un’iniziativa sostenibile grazie all’azzeramento del cartaceo.

L’AI SECONDO GOOGLE… – Dopo il clamoroso successo mediatico ottenuto da #ChatGPT anche Google ha provato sviluppare la sua propria chatbot basata sull’intelligenza artificiale: #Bard. Il risultato, tuttavia, non è stato quello sperato. Durante la presentazione della “creatura”i dirigenti di Google non sono infatti riusciti a convincere gli investitori, che hanno di conseguenza bocciato il progetto, tra l’altro alla luce di alcuni disguidi – anche piuttosto divertenti – durante la presentazione. Come conseguenza del sostanziale fallimento dell’evento, Alphabet – holding del gruppo di cui Google è parte – ha perso valore a Wall Street per oltre l’8%. 

.. E l’AI SECONDO MICROSOFT – La società di Seattle ha annunciato il rilascio per la prossima settimana di una nuova versione del motore di ricerca #Bing che integra l’Intelligenza Artificiale di OpenAI; anche una versione “speciale” di Teams, che include una IA a supporto delle call per appunti e memo, è in corso di testing. Il CEO Satya Nadella ha affermato, in proposito, di voler “sfidare” proprio Google su questo terreno, in cui Microsoft ha investito moltissimo di recente, unendosi in “matrimonio digitale” con OpenAI.

DICHIARAZIONE EUROPEA SUI DIRITTI E PRINCIPI DIGITALI – Il 15 dicembre 2022, il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione europea hanno adottato la Dichiarazione europea sui diritti e i principi digitali, la cui bozza è stata presentata dalla Commissione europea alla fine di gennaio. La dichiarazione esprime e rappresenta l’impegno dell’Unione europea per una trasformazione digitale sicura e sostenibile, che metta al centro le persone, in linea con i valori e i diritti fondamentali dell’Unione europea. Essa promuove la solidarietà e l’inclusione, la libertà di scelta, la partecipazione allo spazio pubblico digitale, la sicurezza, la protezione e l’empowerment digitale, nonché la sostenibilità. Il suo obiettivo è anche quello di sottolineare che i diritti e le libertà devono essere rispettati sia online che offline. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

USA

  • SEC – La Securities and Exchange Commission ha di recente reso noto di aver inflitto una sanzione di ben 35 milioni di dollari alla società Activision Blizzard Inc per violazione delle norme dettate dall’Exchange Act. La società, più in particolare, è stata sanzionata per non aver mantenuto adeguati controlli sulla divulgazione relativi a denunce di cattiva condotta sul posto di lavoro e per violazione della regola di protezione degli informatori.
  • MINNESOTA – E’ stato presentato un disegno di legge relativo alla privacy dei dati dei consumatori, che stabilisce obblighi per gli enti che trattano dati personali dei consumatori e impone che i dati personali relativi ai consumatori non possano essere venduti o diffusi, a meno che il consumatore non ne abbia ricevuto comunicazione espressa e gli sia stata data la possibilità di esercitare il diritto di recesso.
  • TEXAS – anche nello stato della stella solitaria è stato introdotto un atto legislativo, ancora in discussione, a protezione dei diritti dei cittadini consumatori con imposizioni similari a quelli di altri stati (tra cui: privacy notice, diritti di accesso e rettifica, conduzione di DPIA e cancellazione dei dati non più necessari).

SPAGNA – Lo scorso 8 febbraio l’AEPD, Autorità garante spagnola, ha pubblicato un post relativo alla frequenza con cui i titolari del trattamento dovrebbero aggiornare le misure di sicurezza implementate a protezione dei dati personali. Nel suo post l’Autorità ha spiegato che, tra le altre cose, ogni modifica relativa alle categorie di dati trattati, alle finalità del trattamento o all’incidenza del trattamento sui diritti e le libertà degli interessati impone una revisione delle misure di sicurezza adottate.

BELGIO – L’autorità di protezione dei dati personali del Belgio ha ordinato a un Titolare del trattamento di ottemperare a una richiesta di accesso ai dati da parte di un interessato, ai sensi dell’art. 58(2) del GDPR. L’intervento dell’autorità si è reso necessario a causa del mancato adempimento da parte del Titolare, che ha affermato di non aver ricevuto l’istanza dell’interessato a causa di problemi tecnici con la sua casella e-mail.

FINLANDIA – Una scuola dell’infanzia è stata sanzionata dall’autorità garante finlandese per violazione degli articoli 5, 12 e 13 del GDPR, dopo aver diffuso alcune istruzioni ai genitori sulle modifiche all’apprendimento e all’insegnamento in seguito alla pandemia. L’autorità garante ha rilevato che non era stato chiarito se la restituzione del modulo fosse obbligatoria, e non erano state fornite informazioni che specificassero la base giuridica per il trattamento dei dati personali. 

GERMANIA – La Corte Suprema tedesca ha confermato le decisioni dei precedenti gradi di giudizio, e ha stabilito che un medico – soggetto interessato del trattamento – non avesse il diritto di cancellazione nei confronti di un sito web di comparazione e recensione che aveva pubblicato un profilo su di lui. Il trattamento era legittimo ai sensi dell’articolo 6(1)(f) del GDPR, in quanto il diritto commerciale del Titolare del trattamento e la libertà di espressione del pubblico erano di maggiore rilevanza rispetto al diritto dell’interessato alla protezione dei dati.  

ROMANIA – L’autorità garante rumena ha multato uno studio dentistico che aveva pubblicato i dati personali di un paziente in un blog medico senza il relativo consenso. Lo studio dentistico, inoltre, non ha informato l’autorità per la protezione dei dati personali entro 72 ore dal momento in cui era stato informato della violazione dei dati, in violazione di quanto previsto dall’articolo 33 del GDPR.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di nikko grazie a Unsplash.

News #5/2023: enforcement privacy in UE, Metaverso e DSA nelle news di questa settimana

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • la Slovenia è l’ultimo stato UE (dopo quasi 5 anni) a implementare il GDPR;
  • arriveranno report su come va l’enforcement privacy in UE;
  • il Metaverso secondo il Garante italiano;
  • in ascesa (seppur di poco) l’Italia nel Corruption Index pubblicato online.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • un gruppo di professionisti che ci informano di aspetti molto interessanti e li approfondiscono è Italian Privacy & Cybersecurity Think Tank, che consigliamo di seguire anche iscrivendosi alla newsletter settimanale, oltre al canale Telegram con cui restare sempre aggiornati.
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Superman (It’s Not Easy) – Five For Fighting (2000)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

SLOVENIA & GDPR – Dopo numerosi solleciti da parte della Commissione UE, finalmente la Slovenia ha adottato (il 27 dicembre 2022) la legge di implementazione del Regolamento Europeo 2016/679, che è ora entrata in vigore. Sono stati ora fatti alcuni lievi cambiamenti, tramite la legge nota come ZVOP-2, in particolare con riferimento a dati biometrici, regime del DPO e requisiti specifici per l’esecuzione della DPIA. Con questo passo, ora tutti gli Stati membri hanno implementato il Regolamento (come doveva avvenire nel 2018).

ENFORCEMENT IN UE – Come sta andando l’enforcement in materia privacy nell’Unione Europea? Se lo sta chiedendo la Commissione UE, e la risposta sembra essere “non benissimo, e non in modo uniforme”. Per ovviare alle divergenze di opinioni e approcci, che in alcuni casi (vedi Irlanda) portano a veri e propri scontri pubblici, la Commissione – in risposta all’Ombudsman UE a seguito di una segnalazione dell’ICCL – ha confermato che richiederà a ciascuna Autorità nazionale di fornire un report bimestrale. All’interno di esso – strettamente confidenziale, quindi purtroppo non li vedremo probabilmente mai – saranno indicate una serie di informazioni utili a tenere monitorata la situazione in Europa. Non ci resta che attendere il secondo report della Commissione UE sull’applicazione del GDPR per avere maggiori informazioni: ma già questa notizia fa ben sperare per un maggiore coordinamento tra Autorità nazionali – sia in ambito di sanzioni che di linee guida.

GARANTE PRIVACY SU METAVERSO – Nella 17° giornata europea della protezione dei dati personali, il Garante italiano ha messo in luce i rischi e le opportunità della nuova tecnologia. In linea con l’obiettivo dell’evento, l’intervento del Garante italiano ha approfondito le problematiche legate all’impatto che il Metaverso, definito un nuovo “habitat” digitale, avrà sulle relazioni sociali e sui comportamenti dei singoli, sulle loro libertà e diritti, così come sui processi decisionali della società.

GUIDA SUL DSA PER LE PIATTAFORME ONLINE – la Commissione europea ha annunciato di aver pubblicato una guida per aiutare le piattaforme online e i motori di ricerca che rientrano nell’ambito di applicazione della legge sui servizi digitali (“DSA”) a conformarsi all’obbligo di comunicare il numero di utenti nell’Unione europea, da ottemperare al più tardi entro il 17 febbraio 2023 e successivamente almeno ogni sei mesi.

INFOGRAFICA EDPB –  Il garante europeo della protezione dei dati (“EDPB”) ha pubblicato un’infografica sui principali tipi di reclami e di consultazioni trattati nel 2022. In particolare, l’infografica del GEPD evidenzia che le più frequenti #consultazioni hanno riguardato (i) il concetto di titolare del trattamento, contitolare e responsabile; (ii) i trasferimenti internazionali di dati; (iii) norme interne sulla protezione dei dati. Inoltre, l’infografica dell’EDPB ha illustrato che i #reclami ricevuti nel 2022 hanno riguardato principalmente (i) il diritto di accesso dei soggetti interessati; (ii) il diritto alla cancellazione e (iii) la raccolta adeguata e proporzionata di dati personali.

Non è stato fornito nessun testo alternativo per questa immagine
Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CORRUPTION PERCEPTION INDEX – Transparency International – l’associazione non governativa che si occupa di corruzione a livello internazionale – ha pubblicato lo scorso 31 gennaio il Corruption Perception Index relativo all’anno 2022.  Il documento  classifica ogni anno i Paesi in base al loro livello di corruzione percepito nel settore pubblico su una scala di punteggio da 0 (massimo livello di corruzione percepita) a 100 (minimo livello). Danimarca, Nuova Zelanda e Finlandia si confermano i Paesi in cui la percezione della corruzione è minore a livello globale; in fondo alla classifica, Sud Sudan, Siria e Somalia. In ascesa l’Italia, che pur confermando il punteggio dell’anno precedente (56/100) scala in positivo di una posizione la classifica mondiale.

ODV – La Corte d’Appello di Venezia è intervenuta (con sentenza n. 3348, disponibile gratuitamente per gli iscritti all’Associazione Aodv231) in materia di effettività e autonomia dell’Organismo di Vigilanza. La vicenda, in particolare, è quella di un istituto di credito chiamato a rispondere dei reati di aggiotaggio, ostacolo all’esercizio delle funzioni delle Autorità di vigilanza e falso in prospetto. Nel confermare la condanna per l’ente (con riduzione, però, dell’ammontare della pena inflitta dalla decisione di primo grado) i giudici hanno specificato che il Modello organizzativo adottato dall’istituto di credito introduceva un OdV talmente privo di autonomia, da non costituire in concreto un vero e proprio ostacolo alla commissione dei reati-presupposto previsti dal Decreto 231.

BANCA D’ITALIA E ANTIRICICLAGGIO –  La Banca d’Italia ha rafforzato l’attività di vigilanza in materia di antiriciclaggio, e ha pubblicato sul proprio sito internet una nuova sezione dedicata (sezione “Supervisione e Normativa Antiriciclaggio”), che fornisce agli utenti  linee guida sulla normativa antiriciclaggio a livello internazionale, europeo e nazionale. Inoltre, nella sezione è presente un questionario che le banche e gli intermediari finanziari, soggetti ai poteri regolamentari e di vigilanza della Banca d’Italia, dovranno compilare per permettere la raccolta di dati a fini di statistiche e osservazioni sull’antiriciclaggio.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

CICLO DI VITA DEI PRODOTTI – L’Unione europea sta recentemente valutando la possibilità di adeguare la definizione del ciclo di vita di ciascun prodotto alle sue specifiche peculiarità e spostare le segnalazioni delle vulnerabilità a livello nazionale. Tali valutazioni sono attualmente contenute all’interno di un nuovo compromesso sul #CyberResilienceAct (la proposta legislativa dell’UE finalizzata a introdurre requisiti minimi di sicurezza informatica per l’ “Internet of Things”). Se in principio Cyber Resilience Act imponeva ad ogni produttore di garantire i prodotti immessi sul mercato per tutto il ciclo di vita del singolo prodotto o per un massimo di cinque anni, la nuova proposta – riconoscendo che ogni prodotto è diverso dall’altro e che, di conseguenza, non è possibile fissare indistintamente un ciclo di vita unico per tutti i prodotti – stabilisce che i produttori devono garantire i loro prodotti con elementi digitali “per un periodo di tempo adeguato al tipo di prodotto e alla sua durata prevista”. Per quanto riguarda le segnalazioni delle vulnerabilità, il vecchio testo individuava nell’ENISA il soggetto competente alla loro ricezione. Tuttavia, a fronte dei dubbi circa le concrete capacità dell’Agenzia europea per cybersicurezza di gestire migliaia di notifiche, è stato proposto di dirottare le segnalazioni al Computer Security Incident Response Team (CSIRT) di ciascuno stato membro. La proposta sarà ora discussa a livello tecnico, per comprenderne la fattibilità.

ARTIFACT – Dalle menti di Kevin Systrom e Mike Krieger (co-founder di Instagram) è di recente nata Artifact, una nuova app di notizie personalizzate che utilizza tecnologie di apprendimento automatico per comprendere i gusti dei suoi utenti. La logica di funzionamento di Artifact pare essere la stessa di TikTok: basterà cliccare su un articolo di proprio gradimento per vedere in futuro contenuti simili. Al momento Artifact non è ancora aperta al grande pubblico, ma esiste già una lista d’attesa che consente ai suoi iscritti di vedere il feed centrale. Intanto, nell’attesa, gli utenti beta stanno testando altre due funzionalità dell’app. 

CONSUMATORI E TARGETING POLITICO – La Commissione per il Mercato Interno e la Protezione dei Consumatori del Parlamento europeo (“IMCO”) potrebbe inasprire le norme sulla pubblicità politica per ridurre le interferenze elettorali e migliorare la trasparenza. La proposta dell’IMCO consente agli inserzionisti di utilizzare solo i dati personali espressamente forniti a fini di pubblicità politica. Ciò vieterebbe il “micro-targeting” degli elettori “sulla base del sesso, della razza, dell’orientamento sessuale o di altre caratteristiche individuali”, così come l’uso dei dati dei bambini. La proposta include anche regole per rendere più trasparenti i finanziatori dei candidati.

INVESTIMENTI PNRR PER IL DIGITALE – Il report dell’Istituto per la Competitività (“I-Com”) realizzato dalla Commissione del Parlamento europeo sullo stato d’attuazione dei Piani di ripresa e resilienza (“PNRR”) degli Stati membri in ambito digitale, mostra che l’Italia si colloca al primo posto in Europa per entità degli investimenti nel digitale legati al Pnrr. In generale, l’Italia ha impegnato una quota del 26,7% in cybersecurity, nelle reti e nelle competenze digitali delle imprese. Si rileva anche, però, che manca una visione comune dello sviluppo delle tecnologie avanzate, a partire dall’intelligenza artificiale, coerente con gli obiettivi di autonomia strategica e di competitività che l’Unione europea si sta dando.

CONTACT CENTER AS A SERVICE (“CCaaS”) – Un customer journey efficiente oggi deve essere in grado di attraversare qualsiasi canale e qualsiasi dispositivo, mantenendo costantemente il contatto con il brand e offrendo una esperienza consistente tra i diversi canali. Un’esigenza che trova risposta, grazie al cloud computing, in una nuova generazione di Contact Center as a Service, mercato che ha visto una forte accelerazione nel periodo della pandemia, perché ha permesso, in modo agile e veloce, di abilitare canali di contatto con i clienti o i cittadini. Un recente studio illustra nel dettaglio i benefici che le aziende possono ottenere con un Contact Center as a Service, tra i quali (i) la flessibilità e la scalabilità del contact center in cloud, (ii) la capacità di organizzazione per migliorare la qualità del servizio, (iii) il modello della Total Experience, (iv) la flessibilità nella pianificazione degli investimenti in CCaaS, (v) il ruolo dell’Intelligenza Artificiale nel Contact Center as a Service. 

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

FRANCIA – L’Autorità francese per la protezione dei dati (CNIL) ha recentemente reso noto di aver pubblicato una guida per fornire indicazioni ai recruiter in materia di trattamento dei dati personali dei candidati. La guida si compone di due sezioni: la prima contiene un richiamo ai principi generali fissati dal GDPR in materia di assunzioni, mentre la seconda contiene una serie di domande e risposte in materia di utilizzo di nuove tecnologie durante il processo di selezione dei candidati.

REPUBBLICA CECA – L’Agenzia nazionale per la sicurezza informatica e dell’informazione ceca (NÚKIB) ha di recente dichiarato di avere preparato un progetto di legge sulla sicurezza informatica in vista del recepimento della direttiva cd. NIS 2. Attualmente la bozza di legge è aperta alla consultazione pubblica fino al prossimo 26 febbraio. 

ANDORRA – L’Autorità garante di Andorra (“APDA”) ha recentemente pubblicato una linea guida in materia di valutazione di impatto (cd. DPIA) ai sensi della legge nazionale sulla protezione dei dati personali. Con tale linea guida l’APDA propone un modello di DPIA sostanzialmente equivalente allo standard europeo.

COREA DEL SUD – La Commissione per la protezione delle informazioni personali coreana (PIPC) ha annunciato di aver rilasciato la versione aggiornata delle linee guida in materia di protezione dei dati personali in materia di lavoro e occupazione. Scopo delle linee guida è migliorare il livello di protezione delle informazioni personali nel contesto lavorativo.

SINGAPORE – Lo scorso 1 febbraio è entrato in vigore l’Online Safety Bill, il disegno di legge in materia di sicurezza online. La nuova legge prevede, in particolare, che i servizi di comunicazione online devono, tra le altre cose, (i) fornire un ambiente online sicuro, (ii) dare prioritaria protezione a quelle categorie di utenti finali che, come i minori, sono maggiormente esposte al rischio di esposizione a contenuti dannosi. 

GIAPPONE – La nota società automobilistica Kitakanto Mazda Co. Ltd ha di recente reso noto di essere stata colpita da una violazione di dati personali. Secondo quanto affermato da Mazda, a causare il data breach (che ha coinvolto i dati di circa 50 mila clienti) sarebbe stato l’accesso non autorizzato da parte di terzi nei propri sistemi. La società – che ha già provveduto a segnalare la violazione alle autorità competenti – è ora impegnata a migliorare i propri sistemi di sicurezza.

USA:

  • il National Institute of Standards and Technology (“NIST”) ha pubblicato l’Artificial Intelligence Risk Management Framework (“AI RMF”), un documento di orientamento rivolto alle organizzazioni che progettano, sviluppano, distribuiscono o utilizzano sistemi di intelligenza artificiale (“AI”) per contribuire a gestire efficacemente i rischi delle tecnologie AI. In particolare, il NIST ha sottolineato che l’AI RMF è destinato ad adattarsi al panorama dell’AI insieme allo sviluppo delle tecnologie, e ad essere utilizzato dalle organizzazioni in modo che la società possa trarre vantaggio dalle tecnologie dell’IA e allo stesso tempo essere protetta dai suoi potenziali danni.
  • la Federal Trade Commission ha di recente annunciato la sua proposta di multare la GoodRx Holdings Inc per 1,5 milioni di dollari in conseguenza della divulgazione di informazioni personali sanitarie a terzi e della mancata notifica ai consumatori. Dalle indagini dell’Autorità è infatti emerso che GoodRx – società che gestisce una piattaforma sanitaria digitale che offre sconti per diversi servizi sanitari – ha condiviso le informazioni sanitarie dei suoi utenti con piattaforme come Google e Facebook (e, in quest’ultimo caso, ha anche sfruttato le informazioni condivise per indirizzare gli utenti verso campagne pubblicitarie mirate). 
  • CALIFORNIA – Rob Bonta, Procuratore generale della California, ha annunciato di aver avviato una indagine nei confronti delle aziende con app mobili che non rispettano il CCPA (California Consumer Privacy Act 2018). In particolare, l’indagine governativa si concentra su tutte le app “popolari” che (i) presumibilmente non soddisfano le richieste degli utenti di rinuncia o (ii) non prevedono alcun meccanismo che consenta ai consumatori di interrompere la vendita dei propri dati personali.
  • NEW YORK –  è stato presentato al Senato dello Stato di New York il disegno di legge nr. 2998 per un atto di modifica del diritto commerciale generale, in relazione all’istituzione della legge sulla protezione dei consumatori online. La proposta normativa prevede, tra le altre cose, che le reti pubblicitarie debbano pubblicare un avviso chiaro e ben visibile sulla home page del loro sito Web relativamente alla loro politica sulla privacy e sulle pratiche di raccolta e utilizzo dei dati. Inoltre, la bozza di testo legislativo prevede che gli editori di una pagina web dovranno, in ogni contratto con una rete pubblicitaria, pubblicare un avviso chiaro e ben visibile che descriva la raccolta e l’uso delle informazioni da parte della rete pubblicitaria.
Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Denys Nevozhai grazie a Unsplash.

“NEW DEAL” E FEEDBACK SULLE DIRETTIVE A TUTELA DEI CONSUMATORI

La Commissione europea e le autorità di protezione dei consumatori di 23 Stati membri hanno pubblicato i risultati di una ricerca condotta su vari siti di commercio al dettaglio, per verificare la regolarità delle loro pratiche rispetto alla tutela dei consumatori.

Qui il link alla Press Release.

I dati mostrano che quasi il 40% dei siti web dei negozi si affidano a pratiche manipolative, volte a indurre i consumatori a compiere scelte che in realtà non interessano, né sono nel loro interesse: tra queste, ad esempio, ci sono

  • falsi countdown che mettono fretta durante la scelta e l’acquisto dei prodotti;
  • informazioni nascoste;
  • interfacce ingannevoli per indurre i consumatori all’acquisto
  • e molte altre condotte che fanno leva su debolezze delle varie categorie.

Le autorità nazionali ora procederanno con le adeguate procedure e prenderanno le mosse attraverso azioni appropriate.

Questa occasione appare utile per segnalare che la Commissione europea sta raccogliendo feedback, mediante una consultazione pubblica aperta fino al 20 febbraio 2023, sulle principali direttive legate alla protezione dei consumatori, per determinare se esse assicurino un buon livello di protezione nell’ambiente online.

Per incoraggiare a sostenere l’iniziativa legislativa dell’Unione europea e la sua efficace applicazione, ecco un breve quadro delle principali direttive europee a tutela dei consumatori.

Direttiva sulle pratiche commerciali sleali

La “Unfair Commercial Practices Directive” (“UCPD”) venne adottata per la prima volta nel 2005 (Direttiva (CE) 2005/29) e modificata in seguito dalla Direttiva (UE) 2019/2161, che fu anche corredata dal 17 dicembre 2021 di una guida esplicativa, relativa alle principali questioni attinenti alla tutela dei consumatori.

Tra gli argomenti principali di questa normativa risultavano (i) le interazioni con altre normative dell’UE, (ii) le rivendicazioni ambientali e obsolescenza programmata, (iii) la commercializzazione di beni di “doppia qualità”; (iv) gli obblighi delle piattaforme e dei mercati online; (v) la trasparenza dei risultati di ricerca; (vi) le recensioni e i consensi dei consumatori; (vii) l’influencer marketing.

L’obiettivo della Direttiva sulle pratiche commerciali sleali è principalmente quello di accrescere la fiducia dei consumatori e di rendere più facile il commercio transfrontaliero per le aziende, in particolare per le piccole e medie imprese.

Si tratta di una normativa europea generale che regola le pratiche commerciali sleali che si verificano prima, durante e dopo una transazione tra imprese e consumatori. Essa, in particolare, consente alle autorità nazionali di controllo di arginare un’ampia gamma di pratiche commerciali sleali, tra le quali le informazioni non veritiere fornite ai consumatori o le tecniche di marketing aggressive per influenzare le loro scelte.

Direttiva sulle clausole vessatorie

La “Unfair Contract Terms Directive” (93/13/CEE) ha come obiettivo quello di proteggere i consumatori dalle clausole contrattuali standard, precompilate in modo sproporzionato e abusivo e imposte dai professionisti.

Essa si applica a tutti i tipi di contratti sull’acquisto di beni e servizi, ad esempio acquisti online od offline di beni di consumo, abbonamenti in palestra o contratti su servizi finanziari, come i prestiti.

Anche la normativa del 1993 è stata modificata dalla Direttiva (UE) 2019/2161, relativa a una migliore applicazione e modernizzazione delle norme dell’Unione in materia di protezione dei consumatori, nell’ambito del “New Deal” per i consumatori.

Il principio fondamentale che sta alla base di questa normativa non è proibire le clausole contrattuali standard, che anzi facilitano le transazioni commerciali e possono essere utili per stabilire i diritti e gli obblighi delle parti ai sensi di un determinato contratto; essa piuttosto mira a tutelare i consumatori, prevedendo che queste clausole contrattuali (i) siano redatte in un linguaggio semplice e comprensibile, (ii) vedano le ambiguità eventualmente presenti interpretate sempre a favore dei consumatori, (iii) laddove si tratti di clausole abusive, siano rese nulle e non vincolanti per i consumatori.

La Direttiva sui diritti dei consumatori

La “Consumers Rights Directive” fornisce ai consumatori gli stessi diritti in tutta l’Unione europea, allineando e armonizzando le norme nazionali in materia di tutela dei consumatori, ad esempio sulle informazioni che i consumatori devono ricevere prima di acquistare beni, servizi o contenuti digitali e sul loro diritto di annullare gli acquisti online, ovunque effettuino acquisti nell’Unione.

Gli Stati membri non possono discostarsi dalla direttiva, a meno che la direttiva stessa non preveda una specifica possibilità di derogare alle sue norme.

La normativa contiene le informazioni fondamentali che devono essere fornite dai professionisti prima della conclusione di contratti con i consumatori, prevede norme sulla consegna e sul trasferimento dei rischi applicabili ai contratti di vendita di beni e alcune norme applicabili ai contratti stipulati con i consumatori.

________________________________

Foto di Veronika Koroleva su Unsplash

News #4/2023: in arrivo la norma ISO per il Privacy by Design, dovremmo forse implementarla tutti?

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • sarà pubblicato a breve da ISO uno standard in ambito “privacy by design”, che forse permetterà finalmente di definire questa “buzz word” che sentiamo ormai da anni;
  • una nuova newsletter del nostro Garante, e nuove sanzioni assortite;
  • il Data Protection Day e la Convenzione 108;
  • Confindustria prende posizione sulla norma Whistleblowing;
  • Google ha qualche problema anche con il Dipartimento di Giustizia USA.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • fonte inesauribile di approfondimenti e #contenuti in ambito informatico-giuridico, senza farsi mancare diversi spunti di sano #divertimento, il profilo del Prof. Giovanni Ziccardi è un “must” per chiunque – giovane o meno – operi nel nostro settore: c’è sempre da imparare, ogni giorno, qualcosa di nuovo!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

ISO 31700 SULLA PRIVACY BY DESIGN – E’ prevista per l’8 febbraio l’adozione da parte dell’International Organization for Standardization della nuova ISO 31700, riguardo ai requisiti e alle indicazioni su come implementare il principio della “privacy by design”. L’obiettivo della certificazione sarà quello di fornire a tutti i Titolari del trattamento le informazioni necessarie per implementare correttamente l’assetto della protezione dei dati nel processo di gestione dei dati personali all’interno di enti ed organizzazioni, sulla base dei principi del GDPR. In questo modo si consentirà ai consumatori e ai soggetti interessati di far valere in modo ancora più efficace i propri diritti, determinando come progettare i controlli sulla privacy e la gestione dei dati durante il loro ciclo di vita.

NEWSLETTER GARANTE – Pubblicata lo scorso 24 gennaio l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) sanzionate tre ASL friulane – in particolare, Azienda Universitaria “Friuli Occidentale”, “Friuli Centrale” e “Giuliano Isontina” – per aver classificato i pazienti in relazione al rischio di avere o meno complicanze in caso di Covid attraverso l’utilizzo di #algoritmi; (ii) parere favorevole del Garante in merito alla bozza di decreto legislativo di attuazione della Direttiva 2019/1937 (cd. #DirettivaWhistleblowing); (iii) disponibili le prime indicazioni del Garante al fine di conciliare le esigenze di tutela della privacy in occasione dell’applicazione del #DecretoTrasparenza; (iv) parere favorevole del Garante relativamente alle nuove disposizioni attuative per la #Cartadellacultura – ossia la carta elettronica istituita dalla legge n.15/2020 al fine di contrastare la povertà educativa e promuovere il sostegno della lettura.

DECISIONE VINCOLANTE EDPB WHATSAPP – Lo scorso 24 gennaio il Comitato europeo per la protezione dei dati (EDPB) ha annunciato di aver pubblicato la propria decisione vincolante nell’ambito della controversia promossa dalla DPC (Autorità garante irlandese) nei confronti di #WhatsApp. Come già illustrato nella nostra precedente newsletter, la decisione vincolante – sciogliendo i dubbi interpretativi della DPC – si è posta come fondamento per il provvedimento con il quale l’Autorità capofila ha potuto sanzionare la società. Nello specifico, l’EDPB ha deciso che WhatsApp si era indebitamente basata sul contratto come base giuridica per il trattamento dei dati personali e pertanto ha incaricato il Garante irlandese di completare ulteriormente il provvedimento con una violazione dell’articolo 6(1) del GDPR, nonché una violazione del principio di equità di cui all’articolo 5(1)(a) del GDPR. Inoltre, l’EDPB ha stabilito che il Garante irlandese dovrà svolgere un’indagine sulle operazioni di trattamento di WhatsApp al fine di determinare se tratta (i) categorie particolari di dati personali ai sensi dell’art. 9 del GDPR e (ii) dati personali per finalità di pubblicità comportamentale, per finalità di marketing, nonché per la fornitura di metriche a terzi e lo scambio di dati con società affiliate ai fini del miglioramento del servizio.

GARANTE PRIVACY SULLE INTERCETTAZIONI – L’Autorità Garante per la protezione dei dati ha evidenziato, durante l’audizione al Senato per l’indagine conoscitiva sulle intercettazioni, alcune criticità relative alle intercettazioni come mezzo di ricerca della prova, esprimendosi in particolare su (i) l’utilizzo di sistemi cloud per l’archiviazione delle informazioni raccolte, pericoloso sia per i diritti dei soggetti a cui i dati si riferiscono, sia per l’efficacia e la segretezza dell’azione investigativa; (ii) la particolare invasività dei software-spia che, nell’opinione del Garante, meriterebbe una riflessione da parte dell’organo legislativo in merito all’ambito di applicazione effettiva delle intercettazioni; (iii) sull’attenzione da prestare ai trojan utilizzati in ambito giudiziario.

SPESA E INVESTIMENTI PRIVACY – Il Data Privacy Benchmark report di CISCO ha analizzato gli investimenti effettuati dalle aziende nella privacy negli ultimi anni, individuando un aumento netto delle risorse stanziate per rispondere alle richieste degli utenti in tema di tecnologie e fornire ai consumatori un’effettiva tutela dei diritti. La richiesta di trasparenza da parte delle aziende è risultata essenziale per quasi la metà dei consumatori considerati dal report, e l’approccio di una società al tema della privacy ha mostrato un impatto che va ben oltre la compliance: gli investimenti in materia di privacy generano valore aziendale non solo per le vendite, ma anche per la sicurezza e la fiducia degli utenti. Investire nella privacy permette, come evidenziato dalle analisi di CISCO, di ridurre i ritardi nelle vendite, di mitigare l’impatto dovuto alle violazioni dei dati, di abilitare il processo di innovazione, di operare con maggiore efficienza, di consolidare la fiducia dei clienti e di attirarne di nuovi.

DATA PROTECTION DAY – Nel 2006, il Consiglio d’Europa ha deciso di istituire il Data Protection Day, da celebrare ogni anno in data #28gennaio, nella ricorrenza della Convenzione 108, che fu aperta alla firma nel 1981 per la protezione delle persone riguardo ai trattamenti automatizzati di dati personali. In forza di questa occasione, gli Stati firmatari si impegnarono ad adottare tutte le misure necessarie nel loro diritto interno, e ad applicare i principi stabiliti dalla stessa Convenzione per garantire il rispetto dei #diritti fondamentali delle persone in relazione al trattamento dei dati personali. La Convenzione 108 mira a creare una forte #comunità internazionale intorno alla protezione dei dati, e svolge un #ruolo fondamentale nel #diffondere il modello europeo di protezione dei dati a livello mondiale, essendo spesso utilizzata come fonte di #ispirazione dai Paesi che intendono adottare nuove normative in materia di rispetto della vita privata o #armonizzare quelle già esistenti con gli standard internazionali. In Italia, la Convenzione 108 è stata da ultimo recepita con la legge n. 60 del 22 aprile 2021 di Ratifica ed esecuzione del Protocollo di modifica alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, fatto a Strasburgo il 10 ottobre 2018. In occasione del Data Protection Day ha luogo, in modo emblematico, la premiazione dello Stefano Rodotà Award, in onore del politico e professore, primo presidente del Garante Privacy che lavorò assiduamente per la promozione dei diritti fondamentali e gettò le basi del diritto alla protezione dei dati europea.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

WHISTLEBLOWING – Confindustria ha recentemente formulato alcune considerazioni (condensate nel documento cd. Position Paper) in merito alla bozza di decreto legislativo in materia di #whistleblowing elaborato dal Governo per dare attuazione alla Direttiva UE 2019/1937. In via generale, emerge dal documento la necessità che sussista un corretto bilanciamento tra la protezione del segnalante e la tutela dell’azienda (che, da parte sua, potrebbe essere colpita da danni reputazionali, nonchè economici, da un abuso dello strumento. In quest’ottica – più in particolare – Confindustria  reputa eccessiva (i) l’estensione dello strumento della segnalazione nelle PMI e (ii) la divulgazione pubblica delle segnalazioni che – riferendosi a violazioni del Modello 231 – risultino già oggetto di segnalazione interna. Il Paper suggerisce inoltre l’inserimento di una specifica disciplina di tutela.

ANALISI ANAC – Al fine di rafforzare la collaborazione con i Responsabili per la Prevenzione della Concorrenza e per la Trasparenza (RPCT), l’Autorità Nazionale Anticorruzione (ANAC) ha recentemente compiuto – attraverso la somministrazione di un questionario – una analisi delle esperienze e delle criticità riscontrate dagli stessi RPCT. I risultati dei questionari (111 in totale, suddivisi in due gruppi, “Amministrazioni medio-grandi” e “Piccole amministrazioni”) sono stati raccolti dall’Autorità all’interno di un documento (“Analisi di esperienze e criticità rilevate dai Responsabili per la Prevenzione della Corruzione e per la Trasparenza – gennaio 2023”). In particolare, tra gli esiti dell’indagine si registrano (i) difficoltà nell’adempiere alla rotazione del personale, (ii) scarsa sensibilità nei confronti della formazione del personale e (iii) inefficienze relative all’aggiornamento dei dati sulla trasparenza.

AIUTI COVID – Con la sentenza n. 1635 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che il sequestro preventivo per indebita percezione di fondi erogati per l’emergenza da Covid-19 è infondato nel caso in cui risultino assenti (i) la condotta ingannatoria del richiedente e (ii) il pericolo di dispersione dei beni. Dichiarando inammissibile il ricorso della Procura – che aveva impugnato il provvedimento di riesame che confermava la insussistenza dei presupposti del sequestro nei confronti della rappresentante legale di una società- gli Ermellini hanno specificato non solo che le condotte poste concretamente in essere dall’indagata erano del tutto lecite ma che, soprattutto, “requisito del provvedimento di sequestro preventivo (…) sia la concisa motivazione anche del ‘periculum in mora’, da rapportare (…) alle ragioni che rendono necessaria l’anticipazione dell’effetto ablativo rispetto alla definizione del giudizio con sentenza”. In altre parole, il Supremo giudice di legittimità esclude categoricamente ogni automatismo decisorio in grado di collegare la pericolosità alla mera natura obbligatoria della confisca.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

GOOGLE – Secondo quanto riportano autorevoli fonti di stampa, pare che il Dipartimento di Giustizia si stia preparando a far causa a Google per la sua #posizionedominante sul mercato della pubblicità digitale. Il colosso di Mountain View è infatti il re indiscusso del settore degli annunci digitali (negli U.S.A. e non solo), detenendo per altro la maggior parte della tecnologia utilizzata per l’acquisto, la vendita e il servizio di pubblicità online ( configurandosi, dunque, come un vero e proprio monopolista). Google – che ha già nel suo cv tre procedimenti legali intentati da altrettanti procuratori generali – viene ora citata in giudizio a livello federale. L’inizio del processo si prevede verso settembre. La denuncia, in particolare, mira a far chiarezza sulla gestione della pubblicità, che farebbe ricavare a google dalle inserzioni l’80% dei suoi ricavi. 

GOOGLE/2 –  Google ha raggiunto un’intesa con l’Unione europa e è impegnato a limitare la propria capacità di apportare modifiche unilaterali agli ordini rispetto a prezzi o cancellazioni, e a creare un indirizzo di posta elettronica riservato alle autorità per la tutela dei consumatori, in modo che quest’ultime possano segnalare e richiedere la rapida rimozione di contenuti illegali. Il risultato di questi adeguamenti saranno informazioni più chiare e accurate sui servizi, con l’obiettivo di allineare le pratiche della piattaforma al diritto dell’Unione europea, in particolare per quanto riguarda la mancanza di trasparenza nei confronti dei consumatori.

CHIPS ACT – La commissione Industria ed energia del Parlamento europeo ha votato favorevolmente il progetto di legge sul Chips Act e, in particolare, ha dato il via libera all’aumento degli investimenti previsti per l’attuazione della normativa. Il Parlamento europeo si è impegnato a creare una rete di centri di competenza per gestire la necessaria formazione di lavoratori specializzati nel settore dei semiconduttori di prossima generazione e sui chip quantistici, con lo scopo di attrarre nuove risorse nella ricerca, nella progettazione e nella produzione. Il progetto permetterà di garantire che l’Unione europea sia all’avanguardia nella ricerca e nell’innovazione, che abbia un ambiente favorevole alle imprese, un processo di autorizzazione rapido e che investa in una forza lavoro qualificata per il settore dei semiconduttori.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO 

RUSSIA – Il Ministero dello sviluppo digitale, delle telecomunicazioni e dei mass media della Federazione russa ha annunciato di aver creato un “Centro nazionale per la crittografia digitale”. Tra i compiti del Centro – che verrà lanciato nel 2024 con l’obiettivo di diffondere l’uso di metodi di protezione crittografica – (i) lo sviluppo di produttori nazionali di strumenti di protezione crittografica, (ii) la formazione pratica per specialisti della sicurezza delle informazioni e lo sviluppo di strumenti per la protezione dei dati personali.

USA

  • NEW YORK

E’ stato presentato all’Assemblea dello Stato di New York il disegno di legge sulla protezione della privacy online dei dipendenti e degli studenti, che, a tutela di queste categorie di soggetti interessati, (i) limita i poteri del datore di lavoro nell’accedere a dati personali riguardo ai propri dipendenti e (ii) garantisce il rispetto delle tutele sui dati personali degli studenti da minacce alla sicurezza dei sistemi delle istituzioni educative.

  • HAWAII

E’ stato proposto al Senato delle Hawaii e approvato in prima lettura il 23 gennaio 2023 il disegno di legge sulla protezione dei dati personali, che mira a stabilire un quadro per regolamentare l’accesso dei titolari e dei responsabili del trattamento ai dati personali dei consumatori e introduce sanzioni e un nuovo fondo speciale per la privacy dei consumatori.

SANZIONI:

  • SPAGNA – L’autorità garante spagnola (“AEPD”) ha sanzionato il Dipartimento dell’Istruzione, della Cultura e dello Sport che, in qualità di Titolare del trattamento, ha condiviso via email con i vari dipartimenti un foglio Excel, contenente nome, cognome, carta d’identità e posizione lavorativa di oltre 200 dipendenti pubblici. 
  • GERMANIA – Il Tribunale regionale di Amburgo ha ritenuto illegittimo il trattamento di dati sanitari conservati in un registro dei tumori. Nonostante la natura del trattamento soddisfasse i caratteri previsti dall’art. 9(2) del GDPR, sarebbe stato però necessario fornire maggiori garanzie di sicurezza, anche a norma delle vigenti leggi nazionali, che invece risultavano carenti.
  • NORVEGIA –  L’autorità garante norvegese (“Datatilsynet”) ha ammonito la Chiesa locale per violazione dei diritti degli interessati ai sensi del GDPR in quanto, in qualità di Titolare del trattamento, raccoglieva le informazioni sulle nuove nascite dal registro nazionale della popolazione, divulgate sulla base della legislazione nazionale, compresi i dati particolari dei neonati, e, se almeno un genitore era un membro della comunità religiosa, il Titolare iscriveva i neonati come “persone affiliate”) in un registro.
  • ROMANIA –  L’autorità rumena per la protezione dei dati ha sanzionato una società nel settore degli elettrodomestici, che, da Titolare del trattamento, inviava SMS pubblicitari al soggetto interessato anche dopo la richiesta di quest’ultimo di essere cancellato dall’elenco del Titolare, condotta effettuata in violazione del diritto all’oblio.
Non è stato fornito nessun testo alternativo per questa immagine

SEZIONE SPECIALE: NOVITA’ DAL MONDO CYBERSEC

NIS2 E SICUREZZA INFORMATICA – Anche a seguito del recepimento della Direttiva NIS 2 (“Network and Information Security”) vengono sempre più in rilievo gli ambiti da implementare per la sicurezza informatica, che non viene vista solo come un insieme di strumenti e mezzi tecnici per prevenire gli attacchi, ma come un insieme di misure organizzative al centro delle quali è posta un’efficace politica di formazione del personale. Dal momento che il lavoro delle società in vari settori non può prescindere dai sistemi informatici, proteggere tali sistemi e i dati in essi contenuti diventa sempre più cruciale, così come definire delle procedure di emergenza in caso di attacco e dei piani di ripristino, in modo analogo a quanto succede per le grandi emergenze o catastrofi naturali. Il framework della Direttiva si articola in diverse azioni, fra le quali (i) l’identificazione dei rischi della tecnologia da parte degli utenti; (ii) la protezione dei sistemi informatici su cui gli utenti operano; (iii) la formazione del personale; (iv) i piani di emergenza predisposti e (v) i piani di ripristino approvati dalla società.

PIANO INFORMATICA PER PA DIGITALE – L’Agenzia per l’Italia Digitale ha pubblicato il Piano triennale per l’informatica nella Pubblica Amministrazione per il periodo dal 2022 al 2024, redatto in collaborazione con numerosi altri dipartimenti, che recepisce ed estende i contenuti del PNRR e rappresenta un’opportunità di accelerare e migliorare l’esecuzione della transizione digitale della Pubblica Amministrazione. Il nuovo Piano triennale favorisce, infatti, lo sviluppo di una società digitale, cerca di promuovere lo sviluppo sostenibile, etico e inclusivo, attraverso l’innovazione e la digitalizzazione al servizio delle persone, delle comunità e dei territori, nel rispetto della sostenibilità ambientale, e di contribuire alla diffusione delle nuove tecnologie digitali nel tessuto produttivo italiano, incentivando la standardizzazione, l’innovazione e la sperimentazione nell’ambito dei servizi pubblici.

Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Joshua Sortino grazie a Unsplash.

News #3/2023: tra sanzione a WhatsApp e novità sui cookie, i mercati digitali sono in fermento

LE PRINCIPALI NEWS DELLA SETTIMANA:

  • ha suscitato reazioni contrastanti la #sanzione di “soli” 5 milioni di euro inflitta dalla DPC irlandese a Meta, questa volta in relazione a #WhatsApp;
  • importanti indicazioni sui #cookie dal survey predisposto dall’EDPB;
  • si apre (forse) una questione sanità vs. algoritmi tra Regione Veneto e Garante;
  • AGCOM regolamenta l’equo compenso online per la pubblicazioni di news giornalistiche.
Non è stato fornito nessun testo alternativo per questa immagine

IL PROFILO DA SEGUIRE:

  • grande attenzione ai temi informatici, ISO e di aggiornamento dei numerosi strumenti di compliance disponibili oggi nella newsletter mensile e nei post di Cesare Gallotti, un profilo che seguiamo con grande interesse!
Non è stato fornito nessun testo alternativo per questa immagine

QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..

  • Ghosts (How Can I Move On) – Muse (2022 – Will Of The People)
Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY & CYBERSECURITY

WHATSAPP – Il Garante irlandese (DPC) ha annunciato di aver inflitto una sanzione (DI appena 5.5 milioni di euro!) a WhatsApp Ireland Limited. A seguito di una segnalazione era infatti emerso che nel 2018 WhatsApp aveva aggiornato i propri Termini di servizio, informando i propri utenti che una loro #accettazione risultava #necessaria per continuare ad usufruire della piattaforma a seguito dell’introduzione del GDPR. Tale accettazione era stata interpretata dalla società come stipula di un #contratto, tale per cui il conseguente trattamento di dati personali degli utenti (che comprendeva anche la fornitura di profilazione per “miglioramenti del servizio”) risultava #legittimo in quanto eseguito in esecuzione di un contratto. Diversamente, il denunciante sosteneva che tale trattamento si dovesse più correttamente basarsi sul #consenso e che, di fatto, WhatsApp aveva obbligato i propri utenti ad acconsentire, pena l’inutilizzabilità del servizio – come per le precedenti sanzioni imposte di recente a carico di Meta. Con il #provvedimento conclusivo del procedimento è stato imposto a WhatsApp, oltre alla sanzione, un termine di sei mesi per rendere conformi alla normativa vigente le proprie operazioni di trattamento.

COOKIE BANNER – Il Comitato Europeo per la protezione dei dati (EDPB) ha di recente reso noto di aver adottato – nel corso della seduta plenaria di gennaio 2023 – una bozza di relazione in merito al lavoro svolto dalla sua Cookie Banner Task Force, istituita in seguito ai (molti) reclami avanzati da NOYB ai vari Garanti europei. In particolare, all’interno della relazione l’EDPB ha specificato che le diverse Autorità europee hanno raggiunto un accordo circa l’interpretazione delle disposizioni applicabili nel caso concreto, e cioè Direttiva 2002/58/CE (c.d. direttiva #ePrivacy) e Regolamento UE 2016/679 (GDPR). Tra gli argomenti trattati all’interno della relazione, (i) i pulsanti di rifiuto, (ii) i colori ingannevoli e il contrasto dei pulsanti, (iii) la classificazione dei cookie essenziali e (iv) le caselle preselezionate.

UE – DIRETTIVE NIS2 e CER – Lo scorso 16 gennaio la Commissione Europea ha annunciato con un proprio comunicato stampa l’entrata in vigore  di due direttive: (i) la Direttiva UE 2022/2557 sulla resilienza delle entità critiche (cd. Direttiva CER) e (ii) la Direttiva UE 2022/2555 recante disposizioni finalizzate a garantire un livello elevato di #cybersicurezza comune in tutti i Paesi dell’Unione (cd. Direttiva NIS2). Con particolare riferimento alla Direttiva CER, questa impone valutazioni volte a individuare i settori “critici” della società e dell’economia – ossia maggiormente esposti a rischi quali attacchi terroristici, pericoli naturali o sabotaggi – e migliorarne la resilienza. Per quanto righuarda la Direttiva NIS2, la Commissione ha reso disponibile sul proprio sito web una scheda illustrativa nonchè una serie di domande e risposte. Gli Stati membri hanno ora 21 mesi a disposizione per adeguarsi alle disposizioni dettate dalle nuove direttive.

WHISTLEBLOWING E DPIA – Un punto importante dello schema di Decreto Legislativo di recepimento della Direttiva UE 2019/1937 riguardante la #segnalazione di illeciti per contrastare fenomeni di #corruzione, sia nelle imprese private che nelle Pubbliche Amministrazioni – che l’11 gennaio scorso ha ricevuto #parerepositivo dall’Autorità Garante – è dedicato al trattamento di dati personali nei procedimenti di whistleblowing. All’art. 13 si chiariscono infatti gli adempimenti necessari per la corretta applicazione della disciplina #privacy, tra i quali, al comma 6, è previsto che gli enti debbano definire il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, “sulla base di una #valutazionediimpatto sulla protezione dei dati”. Tutti gli enti dovranno quindi attivare canali sicuri, soprattutto quando si utilizzano piattaforme online o Internet per fare in modo di garantire ai segnalatori la riservatezza sulla loro identità, necessaria ad assicurare sia il flusso di informazioni sugli illeciti, sia a #proteggere gli stessi #whistleblower da atti ritorsivi e persecutori.

REGIONE VENETO E ALGORITMI IN SANITA’ – Il Garante per la protezione dei dati personali ha recentemente annunciato di aver inviato alla Regione Veneto una richiesta formale al fine di verificare la compatibilità di una #delibera – in virtù della quale sarebbe un #algoritmo, e non più un medico di medicina generale, a scegliere la classe di priorità della prestazione sanitaria richiesta dai pazienti – con la normativa privacy vigente. La questione è particolarmente delicata, non solo perché comporterebbe un trattamento su larga scala di dati sanitari (particolari, e dunque sensibili, ai sensi dell’art. 9 GDPR), ma anche perché dalle prime informazioni in possesso dell’Autorità sembrerebbe che le valutazioni espresse dall’algoritmo non potrebbero in concreto essere #modificate da nessun medico. La Regione Veneto dispone ora di 20 giorni per comunicare all’Autorità tutti gli elementi utili ai fini della valutazione dell’Autorità, tra cui (i) il tipo di algoritmo utilizzato, (ii) la norma giuridica posta alla base del trattamento e (iii) le tipologie di informazioni e di documenti trattati. La Regione, inoltre, dovrà specificare il numero di pazienti coinvolti, le modalità attraverso le quali ha informato gli interessati e gli elementi relativi alla valutazione di impatto (DPIA) effettuata.

CASO MESSINA DENARO –  Il clamoroso arresto del boss mafioso Matteo Messina Denaro  – latitante dal 1993 e catturato lo scorso 16 gennaio a Palermo, in una clinica privata presso la quale si trovava in cura – ha scatenato una pioggia di commenti, reazioni, riflessioni e (prevedibilmente)…infiniti articoli giornalistici. Sul punto è prontamente intervenuto il Garante per la protezione dei dati personali italiani che, in un comunicato diffuso sul proprio sito web, ha ribadito ai media il rispetto del #principio di #essenzialità fissato dalle Regole deontologiche della professione giornalistica. “Anche in casi di vicende di assoluto interesse pubblico” – scrive il Garante – “riguardanti persone che si sono macchiate di crimini orribili, la #pubblicazione integrale di referti, o la diffusione di dettagli particolareggiati presenti nelle cartelle cliniche relative a patologie, non appare giustificata”. 

TASSONOMIA STRUMENTI INFORMATICI – La ACN (Agenzia per la Cybersicurezza Nazionale) ha di recente annunciato la pubblicazione in Gazzetta Ufficiale di una nuova tassonomia degli incidenti informatici che devono essere notificati al fine di rafforzare il cd. Perimetro Nazionale di Cybersicurezza. Nel suo comunicato l’Agenzia pone l’accento sull’art. 1, comma 3-bis del D.L. n.115 dello scorso 9 agosto 2022 (convertito con l. n. 142/2022) il quale impone l’obbligo di notificare all’ACN, nel termine di 72 ore, ogni incidente che (i) interessa beni informatici compresi nel Perimetro Nazionale di Cybersicurezza nonchè (ii) gli incidenti che impattano su reti, sistemi e servizi informativi non contemplati in maniera diretta nel Perimetro. La nuova #categorizzazione degli incidenti informatici entrerà in vigore il prossimo 25 gennaio.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

INTERDITTIVA ANTIMAFIA E AGEVOLAZIONI PUBBLICHE – Con la sentenza n. 49124 (disponibile gratuitamente per gli iscritti all’associazione Aodv231) la Corte di Cassazione ha stabilito che il #sequestropreventivo dei fondi ottenuti da una società durante il periodo di emergenza pandemica non può fondarsi sulla #omessadichiarazione circa l’interdittiva antimafia a carico di una società diversa da quella che ottenuto il beneficio, anche se facente parte del medesimo gruppo societario. Oltre a ciò, la Corte chiarisce che – in ogni caso – l’accesso a fondi e contributi è precluso per la società destinataria di una interdittiva antimafia solamente nel momento in cui questa diventa definitiva. 

AUTONOMIA DELLA RESPONSABILITÀ DELL’ENTE –  La Corte di Cassazione è recentemente tornata ad esprimersi in materia di #autonomia della responsabilità dell’ente rispetto a quella propria del soggetto (apicale o sottoposto) autore del reato. Sul presupposto che non può essere condannata una società senza il dovuto approfondimento circa l’incidenza della c.d. colpa di organizzazione ai fini della commissione del fatto di reato, con sentenza n. 570 (consultabile gratuitamente per gli iscritti all’associazione Aodv231) gli Ermellini hanno annullato la condanna di una società. In particolare, in conseguenza di un incidente mortale – verificatosi a causa di una non corretta edificazione di un ponteggio – l’ente era stato #condannato per l’illecito di cui all’art. 25-septies, comma 3 del Decreto 231. Secondo i giudici, tuttavia, i profili di colpa ascrivibili all’amministratore della società in quanto datore di lavoro non possono automaticamente addebitare all’ente, senza le dovute valutazioni e le necessarie prove circa la citata colpa di organizzazione.

INQUINAMENTO E AUTORIZZAZIONE INTEGRATA AMBIENTALE – Con sentenza dello scorso 10 gennaio (n. 398, consultabile gratuitamente per gli iscritti all’associazione Aodv231) la Suprema Corte di Cassazione ha stabilito che il reato di #inquinamento ambientale non si estingue con il rilascio dell’autorizzazione di cui all’art. 29-bis del D. Lgs. 152/2006. Nel pronunciarsi, i giudici di piazza Cavour hanno chiarito che (i) la semplice effettuazione del programma necessario all’ottenimento dell’autorizzazione non è sufficiente a determinare l’estinzione del reato e (ii) il rilascio della certificazione non produce effetti sui reati già commessi.

SISTEMA DI GESTIONE DELLA SICUREZZA – La regolarità del sistema di gestione della sicurezza, secondo quanto previsto dal D. Lgs. 81/2008, non esclude la responsabilità dell’ente per i reati previsti dal Decreto 231. Lo ribadisce la Corte di Cassazione, IV sez. penale, con la sentenza 45131/2022 (disponibile gratuitamente per gli iscritti ad Aodv231).  I giudici di legittimità hanno ritenuto irrilevante la presenza, al momento dell’infortunio sul luogo di lavoro, sia di un #sistema di #gestione della sicurezza che dell’individuazione di tutti i soggetti da esso previsti. Queste misure, infatti, sono funzionali alla prevenzione degli infortuni sul lavoro, ma è il Modello 231 a determinare e rispondere alle necessità di mappare le aree maggiormente a rischio e di disporre i controll opportuni per assicurare l’adempimento degli obblighi in ambito di sicurezza sul lavoro, così da contenere il rischio di commettere reati, violando la normativa antinfortunistica. 

INDICATORE PNRR PER DEBITI COMMERCIALI – Dal 1° gennaio il rispetto dei tempi di pagamento della Pubblica Amministrazione sarà misurato da indicatori funzionali all’erogazione dei fondi del PNRR, con un #parametro elaborato grazie alla riforma sulla “Riduzione dei tempi di pagamento delle PA e del sistema sanitario”, inserita fra quelle abilitanti del Piano, che prevede il rispetto dei tempi di pagamento previsti dalla normativa nazionale ed europea entro il quarto trimestre 2023, con conferma nel 2024.

VENDITA FALSI PRODOTTI DOC – La Cassazione con la sentenza n. 47810/2022 (disponibile gratuitamente per gli iscritti al sito Aodv231) ha respinto un ricorso secondo il quale il sequestro, finalizzato alla confisca per equivalente, non poteva essere supportato dal reato associativo, strumento utile di per sé a commettere reati che, solo potenzialmente, possono portare profitto. I giudici di legittimità hanno così condannato alla misura del #sequestro preventivo delle #quote sociali – per l’illecito amministrativo previsto dalla legge 231/2001 – la cooperativa che vendeva falsi vini DOC.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

EQUO COMPENSO PER PUBBLICAZIONI ONLINE – L’Autorità Garante nelle Comunicazioni (“AGCOM”) ha approvato un regolamento sulla determinazione dell’equo compenso per l’utilizzo online delle pubblicazioni giornalistiche, in base al quale, per la #diffusione online dei #contenuti #giornalistici, le piattaforme dedicate dovranno stipulare specifici contratti con gli editori e determinare quanto della raccolta pubblicitaria proveniente da tale utilizzo debba essere corrisposta a questi ultimi. Lo scopo principale è di incentivare accordi tra editori e prestatori di servizi della società dell’informazione, comprese le imprese di media monitoring e rassegne stampa, ispirandosi alle pratiche commerciali e ai modelli di business adottati dal mercato. 

INTELLIGENZA ARTIFICIALE PER I RETAILER – Sono state lanciate sul mercato alcune tecnologie digitali funzionali ad aiutare i retailer a trasformare i loro processi di controllo degli scaffali in negozio e migliorare i loro siti di e-commerce con esperienze di acquisto online più fluide e naturali per i clienti. In particolare, è disponibile in anteprima a livello globale la nuova #soluzione di #controllo degli #scaffali basata sull’intelligenza artificiale di Google Cloud, che permette di aiutare i retailer a migliorare la disponibilità dei prodotti sugli scaffali, fornire una migliore visibilità sull’aspetto effettivo dei loro scaffali e aiutarli a capire dove sono necessari rifornimenti. L’intelligenza artificiale per il controllo degli scaffali consente ai retailer di risolvere il problema di come identificare prodotti di tutti i tipi, su larga scala, basandosi esclusivamente sul caratteristiche visive e testuali di un prodotto, e tradurre tali dati in insight fruibili.

PROGETTO EURO DIGITALE – Alla sede del Consiglio Economia e finanza a Bruxelles i ministri dell’Economia dell’Unione europea hanno discusso alcune richieste sul progetto allo studio della Banca Centrale Europea (“BCE”) sull’Euro digitale, che dovrebbe integrare il contante ed essere introdotto in un contesto di #digitalizzazione dell’economia. Secondo le aspettative, l’Euro digitale potrebbe garantire l’accesso alla moneta della BCE per gli utenti della zona euro in tempi di maggiore digitalizzazione dei #pagamenti, dovrebbe essere sicuro e resiliente, e garantire un elevato livello di privacy, essendo facile da usare e ampiamente accessibile al pubblico, anche in termini di costi per gli utenti finali.

SANITA’ DIGITALE – Il recente report di CB Insight sulla sanità digitale ha evidenziato le principali criticità riguardanti i “deserti sanitari”, cioè aree geografiche con un accesso limitato alle cure e ai servizi sanitari fondamentali, e i fattori socio-economici che di fatto limitano l’accesso alle cure, come lo scarso accesso a Internet, la scarsa alfabetizzazione sanitaria e un basso livello di istruzione. Il #report identifica i principali obiettivi della sfida tecnologica in sanità, che corrispondono anche alle #quattro #aree a maggior intensità di investimenti: (i) portare i pazienti alle cure, abbassando le barriere di accesso alle cure in ambulatorio; (ii) portare le cure al paziente, aumentando gli strumenti direct-to-consumer e favorendo l’accesso alle cure; (iii) in-store innovations, sfruttando l’hardware che trasforma i retailer in sandbox per i futuri centri di cura e (iv) il potenziamento dei software per l’accesso ai centri di cura.

Non è stato fornito nessun testo alternativo per questa immagine

ALTRE NEWS DAL MONDO

SPAGNA – L’AEPD, Autorità garante spagnola, ha annunciato lo scorso 17 gennaio di aver approvato il nuovo Codice di condotta relativo al trattamento dei dati per attività pubblicitarie. Il nuovo Codice – che rivede quello inizialmente approvato il 3 novembre 2022 e che entrerà in vigore il prossimo 28 gennaio – si applicherà al trattamento di dati a fine pubblicitario, tra cui (i) comunicazioni commerciali, (ii) utilizzo di cookie per pubblicità comportamentale o profilazione e (iii) promozioni effettuate al fine di raccogliere dati personali a fini pubblicitari. Il Codice prevede inoltre un modulo online come sistema di risoluzione extragiudiziale delle controversie nell’ambito del quale AUTOCONTROL (Associazione per l’auto-regolamento della comunicazione commerciale) opererà in veste di mediatore. Si specifica, inoltre, che qualora i reclami dovessero essere inoltrati direttamente all’AEPD, questa si riserverà il diritto di deferirli al Giurì della pubblicità.

CINA – La China Academy for Information Communications Technology (“CAICT”) ha pubblicato un recente paper sulla legislazione informatica, evidenziando lo sviluppo della legislazione in materia di protezione dei dati personali nel 2022, compresa quella incentrata sui trasferimenti transfrontalieri di dati e sulla regolamentazione delle piattaforme digitali. Il CAICT ha sottolineato anche la necessità di migliorare l’attuale supervisione dei trasferimenti transfrontalieri di dati personali nelle bozze di regolamento, nonché la regolamentazione del trattamento di categorie speciali di dati personali, come i dati relativi ai minori o i dati sanitari, in base alla base giuridica stabilita dalla legge sulla protezione delle informazioni personali (“PIPL”).

DANIMARCA – Datatilsynet, Autorità garante danese, ha annunciato di aver avviato, in seguito alla segnalazione di un privato, un’indagine nei confronti della regione Jutland centrale. Il segnalante – paziente dell’ospedale universitario di Aarhus – aveva infatti denunciato l’uso da parte della struttura sanitaria del social Instagram. In particolare, l’Autorità ha riferito che sull’account social dell’ospedale era possibile ritrovare pubblicate foto dei propri pazienti, tali da rivelare informazioni personali sui pazienti interessati. Per tale ragione Datatilsynet ha inviato all’ospedale una serie di domande sull’utilizzo del social, tra le quali la base giuridica prescelta per il trattamento e i risultati delle valutazioni dei rischi e delle analisi d’impatto compiute.

REGNO UNITO – L’ICO ha recentemente manifestato alcune preoccupazioni riguardo all’utilizzo dell’intelligenza artificiale (“AI”) da parte delle autorità locali, dopo aver condotto un’indagine sullo sviluppo, lo scopo e le funzioni di algoritmi e sistemi utilizzati dalle autorità locali nel processo decisionale in merito al diritto a benefici nel sistema di welfare. L’ICO ha osservato che il coinvolgimento umano deve essere tenuto in considerazione prima che venga presa qualsiasi decisione definitiva sul diritto alle prestazioni, e che qualsiasi decisione deve considerare alcuni passaggi pratici, quali (i) adottare un approccio di protezione dei dati by design e by default; (ii) essere trasparenti su come vengono utilizzati i dati personali; (iii) identificare ogni potenziale rischio per la privacy delle persone, valutando la possibilità di condurre una valutazione dell’impatto sulla protezione dei dati (“DPIA”).

USA:

  • VIRGINIA – E’ stato approvato e aggiunto al Codice della West Virginia un articolo (HB 2460) che mira a fornire una effettiva protezione della privacy online per i minori, e delinea termini che includono informazioni su bambini, operatori, genitori e personali. L’art. HB 2460 stabilisce che gli operatori devono fornire avvisi sul sito Web di quali informazioni vengono raccolte dai bambini, di come l’operatore utilizza tali informazioni e le pratiche di divulgazione dell’operatore per tali informazioni.
  • MASSACHUSETTS – E’ Stata presentata in Massachusetts una proposta di legge sulla protezione dei dati personali, che stabilisce importanti principi in materia di protezione dei dati personali, tra i quali, che le entità interessate dalla normativa non potranno raccogliere, elaborare o trasferire dati personali, a meno che non siano limitati a ciò che è ragionevolmente necessario e proporzionato per scopi specifici. 

SANZIONI:

  • SPAGNA – L’Autorità spagnola per la protezione dei dati personali (AEPD) ha recentemente pubblicato una propria decisione nella quale ha inflitto una sanzione (50 mila euro, poi ridotta a 40 mila) alla società Endesa Energía per violazione dell’art. 32 GDPR. Chiamata ad indagare da un reclamo proposto da un privato, l’AEPD ha infatti scoperto che Endesa Energía aveva ceduto il contratto con il denunciante ad un’altra società, e ciò (i) senza raccogliere il consenso dell’interessato e (ii) senza fornire un SMS certificato idoneo a provare l’accettazione del contratto. L’Autorità ha pertanto constatato una violazione di riservatezza, in quanto la Endesa Energía ha consentito ad una entità terza di accedere ai dati di un proprio cliente senza una valida base giuridica. 
  • NORVEGIA – L’autorità garante norvegese (“Datatilsynet”) ha sanzionato una società di spedizioni e logistica per violazione dell’articolo 32 del GDPR, per aver condotto un’insufficiente valutazione dei rischi e per la mancanza di misure di sicurezza nell’utilizzo dell’applicazione MyPostNord, che utilizzava i numeri di telefono come unico mezzo di autenticazione per accedere al profilo del cliente. L’autorità garante ha affermato che l’utilizzo dei numeri di telefono come unico fattore di autenticazione e verifica avrebbe creato una violazione del principio di riservatezza, soprattutto nel caso in cui i numeri di telefono fossero assegnati a nuovi proprietari ma i profili di servizio della società non venissero aggiornati.
  • POLONIA – L’autorità garante polacca ha sanzionato uno studio legale, Titolare del trattamento, avente attività principale nella consulenza in materia di incidenti stradali. Nel corso di queste attività, il Titolare del trattamento ha interagito con potenziali clienti al fine di valutare la loro situazione giuridica e le possibilità di far valere i loro diritti, ma, prima di interagire con gli interessati, il Titolare ha chiesto verbalmente il consenso al trattamento dei loro dati personali, senza prendere nota e dare, di conseguenza, alcuna dimostrazione all’autorità dell’ottenimento legittimo di tale consenso.
Non è stato fornito nessun testo alternativo per questa immagine

Immagine di copertina di Timon Studler grazie a Unsplash.