L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha inflitto una sanzione di oltre 5 milioni a una società operante nel settore delle vendite online di capi di abbigliamento, calzature e altri beni di moda, lusso e design, che opera, tra i vari canali, anche attraverso il proprio sito di eCommerce.
Questo articolo analizza le condotte realizzate dalla società e le motivazioni che hanno portato l’AGCM alla sanzione, a seguito dell’istruttoria condotta fra il 2019 e il 2022.
L’analisi della pronuncia è molto utile sia a chiarire il quadro entro cui i consumatori posso esercitare i propri diritti, sia a rendere consapevoli i venditori professionali dei propri doveri e dei comportamenti da tenere a norma di legge.
L’annullamento unilaterale degli ordini online già perfezionati dei consumatori in caso di superamento di determinate soglie di resi e la contestuale omissione informativa circa il blocco degli acquisti
A seguito dell’attività istruttoria da parte dell’AGCM, che ha preso avvio sulla base delle segnalazioni di diversi consumatori, è emerso come la società avesse deliberatamente privato i consumatori della facoltà di effettuare degli acquisti, nel caso in cui essi superassero determinate soglie di resi.
Tale operazione è stata realizzata attraverso l’annullamento dei rispettivi ordini online, in assenza di alcuna informativa al riguardo al consumatore.
È emerso che la società venditrice monitorava il numero di proposte di ordine trasmesse e di resi effettuati dai clienti, mantenendo volutamente molto generico, nei report interni, il numero dei resi registrati – proprio perché, legalmente, non sarebbe stato possibile mettere per iscritto che gli ordini venivano rifiutati nel caso di un numero di resi elevato.
La società aveva agito, infatti, nella piena consapevolezza che la propria condotta costituisse una violazione del Codice del Consumo, che agli artt. 52 e ss. stabilisce che, per le proposte contrattuali a distanza, il consumatore ha diritto di recedere senza alcuna penalità e senza specificarne il motivo entro 14 giorni lavorativi.
Il consumatore, a ulteriore aggravio della situazione a carico della società, non veniva mai informato, se non per modalità telefoniche, nel caso in cui prendesse contatti con il dipartimento Customer Care della società, del blocco del proprio account, fino a che non andava ad effettuare un nuovo acquisto.
La prospettazione con modalità ingannevoli dei prezzi dei prodotti e degli sconti effettivamente applicati
Dalle analisi dell’AGCM, e attraverso un sistema automatizzato di monitoraggio storico dei prezzi riportati sul sito di eCommerce, è emerso che il la società risulta aver pubblicizzato un prezzo finale di rivendita scontato, che graficamente veniva anche rappresentato sul sito di e-commerce a fianco del presunto prezzo pieno barrato, sostanzialmente equivalente a quello non scontato praticato prima della promozione.
A tale proposito, nella risposta alla richiesta di informazioni in fase istruttoria, la società ha giustificato la propria condotta sulla base dell’asserita necessità di effettuare un repricing in significativo aumento dei prodotti, poco prima del periodo dei saldi invernali, a seguito del precedente riassortimento dei prodotti.
La società ha anche precisato che i prezzi di rivendita dei prodotti non sarebbero correlati a quelli di acquisto presso i diversi fornitori, in quanto il metodo di determinazione dei prezzi non è quello di ricaricare un margine o moltiplicatore – tipicamente standard – sul costo di acquisto dei capi.
È così emerso che la società, nel ridefinire i prezzi dei beni oggetto di riassortimento, al fine di allinearli a quanto pianificato per mantenere alte le marginalità e i profitti, prospettava ai consumatori un prezzo finale scontato di diversi prodotti che, in realtà, risultava sostanzialmente analogo al prezzo pieno effettivamente praticato dallo stesso negozio prima del repricing.
Diversamente, quello che invece la società prevedeva come presunto prezzo pieno (graficamente barrato), risultava determinato dalla società stessa solo a seguito del repricing, e veniva applicato dallo stesso solo per brevi periodi, immediatamente precedenti le promozioni.
I ritardi e altre condotte ostruzionistiche tali da rallentare, scoraggiare o comunque ostacolare di fatto l’esercizio dei diritti di recesso e rimborso dei consumatori
Con riferimento alla gestione dei resi, alcune segnalazioni pervenute all’AGCM avevano ad oggetto ritardi nel rimborso e difficoltà ad esercitare il diritto di recesso.
È emerso anche dalle analisi operate dalla Guardia di Finanza che circa il 23% di tutti i reclami acquisiti dal web riguardasse proprio i resi e i rimborsi, riferendosi a problematiche riscontrate dai consumatori nell’esercizio del diritto di recesso.
Nonostante la società avesse riferito che il tempo medio di rimborso a seguito di annullamento unilaterale dell’ordine sarebbe stato di circa 13 ore dal momento nel quale si era verificato l’indebito pagamento, in realtà, nei diversi casi di restituzione dei prodotti a seguito di recesso i tempi dei rimborsi si sarebbero realizzati in almeno due mesi dalla richiesta di reso.
Considerazioni conclusive
L’AGCM ha sanzionato la società in quanto la pratica commerciale attuata si connotava in termini di aggressività, in contrasto con il dovere di diligenza gravante sulla società-professionista ai sensi del Codice del Consumo, che sfruttava indebitamente la propria posizione di supremazia nell’ambito della procedura d’acquisto online, inibendo la facoltà dei consumatori di effettuare nuovi acquisti, senza fornire alcuna informazione né instaurare alcuna forma di contraddittorio.
Tale modalità d’intervento configura infatti un indebito condizionamento, idoneo a limitare considerevolmente la libertà di comportamento dei consumatori, che allo stesso tempo riduce la facoltà di esercitare, di fatto, il diritto di recesso.
È importante rilevare che, a tutela del consumatore, quest’ultimo deve disporre contestualmente all’acquisto e fin dal primo contatto con il professionista di tutte le informazioni utili ad assumere una decisione di natura commerciale.
L’AGCM ha provveduto alla sanzione anche date le modalità di informazione dei consumatori rivelatesi complessivamente decettive.
Dalle evidenze acquisite dall’Autorità è emerso infatti che le frequenti oscillazioni e modifiche dei prezzi da parte della società, anche attraverso l’offerta di sconti ulteriori rispetto a prodotti già scontati, generavano confusione nei consumatori e li inducevano in errore circa il prezzo di riferimento rispetto al quale veniva applicato lo sconto – non essendo chiaro quale fosse il prezzo più basso applicato dalla società.
L’intervento dell’AGCM si inquadra nella più generale attività di enforcement, volta ad assicurare il corretto ed equilibrato sviluppo dell’eCommerce.
Assume, inoltre, fondamentale importanza la corretta e trasparente informazione sulle principali leve economiche e concorrenziali su cui si fondano le decisioni commerciali dei consumatori, come i prezzi e gli sconti applicati, soprattutto alla luce dei recenti interventi in materia da parte del legislatore europeo e nazionale.
https://projectin.legal/wp-content/uploads/2023/01/bruno-kelzer-LvySG1hvuzI-unsplash-scaled.jpg14402560Miriam Pedruzzihttps://projectin.legal/wp-content/uploads/2023/05/Logo-esteso-chiaro-300x80.pngMiriam Pedruzzi2023-01-18 08:03:012023-01-18 08:03:01AGCM sanziona eCommerce: tutela dei consumatori e doveri dei professionisti
l’EDPB rende #pubblica la propria decisione che ha “imposto” la sanzione a #Meta;
la Corte di Giustizia dell’UE ha pubblicato due #decisioni molto impattanti sulla compliance aziendale, che richiedono una riorganizzazione della gestione delle istanze degli interessati;
novità in materia di #accessibilità dei siti web e delle app, direttamente da #AgID;
dalla #giurisprudenza 231 arrivano importanti indicazioni in materia di confisca e infortuni sul lavoro;
spunti e approfondimenti, sempre attuali, delle principali novità in materia privacy e data protection sul profilo LinkedIn di data TENET®, che seguiamo attentamente anche noi in Project:IN per non perderci mai una news!
QUESTA NEWSLETTER È STATA SCRITTA CON, IN SOTTOFONDO..
Slow Dancing in a Burning Room – John Mayer (2006 – “Continuum”)
PRIVACY
DECISIONE VINCOLANTE EDPB SU META – Lo scorso 12 gennaio il Comitato europeo per la protezione dei dati personali (EDPB) ha annunciato di aver pubblicato le sue decisioni vincolanti nell’ambito delle controversie promosse dal Garante irlandese contro Meta in relazione ai servizi Instagrame Facebook. Le decisioni, adottate ex art. 65 GDPR, costituiscono il risultato di una serie di indagini e valutazioni condotte dall’EDPB – e recepite dalla DPC irlandese all’interno del suo provvedimento dello scorso 31 dicembre 2022 – circa la trasparenza e la liceità del trattamento relativo alla pubblicità comportamentale attuata dalle due piattaforme. All’appello manca ora soltanto la decisione vincolante relativa a WhatsApp, che arriverà non appena il Garante irlandese avrà pubblicato la propria decisione a riguardo.
I RICORSI SECONDO LA CGUE… – La Corte di Giustizia dell’Unione europea (CGUE) ha emesso una sentenza in materia di ricorsi amministrativi e civili previsti dal GDPR. La questione aveva preso le mosse da un ricorso amministrativo presentato all’Alta Corte di Budapest da un individuo il quale, avendo preso parte ad una riunione della società NAIH e avendo esercitato il diritto di accesso alle registrazioni della seduta, si era visto consegnare soltanto gli estratti che riproducevano i suoi interventi. Il soggetto, inoltre, aveva contestualmente avviato avverso la decisione della società anche un procedimento in sede civile, basata sul diritto sancito dal GDPR di proporre ricorso giurisdizionale in caso di violazione dei diritti in esso stabiliti. Interpellata circa la possibilità che uno dei due rimedi abbia prevalenza sull’altro – soprattutto al fine evitare contrasti tra giudicati – la CGUE ha chiarito che il GDPR non prevede alcuna gerarchia tra i rimedi amministrativi e civili, sottolineando che è demandato ai singoli stati membri il compito di garantire che il concorso dei rimedi attribuiti agli interessati non mettano in dubbio l’effettività e la tutela dei loro diritti.
… E L’ESERCIZIO DEI DIRITTI SECONDO LA CGUE – In un’altra importante decisione della scorsa settimana, la Corte ha stabilito che un interessato ha #diritto a conoscere tutti (nessuno escluso!) i destinatari dei propri dati personali, a cui un titolare oggetto di istanza di accesso ha trasferito tali informazioni. Non è sufficiente, secondo la Corte, l’indicazione delle (sole) categorie di destinatari, ma la loro elencazione analitica, salvo che sia tecnicamente impossibile o comunque di un livello di complessità molto alto, ovvero nel caso in cui la richiesta sia manifestamente infondata o eccessiva – casi molto molto rari, è utile chiarirlo subito. In sostanza, sulle istanze di accesso ai dati personali ogni azienda dovrà rivedere profondamente i propri strumenti di analisi e risposta, in tempi brevi.
TIKTOK vs. CNIL – Con il comunicato stampa dello scorso 12 gennaio, l’Autorità francese per la protezione dei dati (CNIL) ha annunciato di aver sanzionato il social network TikTok per 5 milioni di euro in ragione della violazione della ePrivacy Directive e della legge locale francese, ritenendosi direttamente e territorialmente competente a emettere tale sanzione nei confronti di due società con sede in UK e Irlanda di proprietà del colosso cinese, ritenendo non direttamente applicabile il regime di one-stop-shop di cui al GDPR.
PUBBLICAZIONE DI VIDEO DI MINORI – Eva Kaili, ex vicepresidente del Parlamento Europeo nonché una dei protagonisti dello scandalo ormai noto come #Quatargate, ha di recente ricevuto la visita della figlia (minorenne) nel carcere di Haren. La notizia, che ha fatto il giro di tutta l’Europa, è stata corredata dalla stampa online da un video nel quale si vede chiaramente la minore. La questione non è passata inosservata agli occhi del Garante italiano il quale, con un comunicato stampa diffuso lo scorso 9 gennaio, ha definito il video lesivo della personalità e dello sviluppo psico-fisico della bambina in quanto comporta la permanenza di immagini che violano riservatezza e anonimato per un tempo potenzialmente infinito. L’Autorità ha pertanto invitato gli organi di stampa e i social media ad astenersi dal diffondere tali immagini, soprattutto alla luce del fatto che il contenuto non si connette ad alcun interesse pubblico rispetto alla vicenda del Qatargate. A tal fine, il Garante richiama le regole deontologiche connesse alla professione di giornalista e la Carta di Treviso, che impone una tutela rafforzata in caso di soggetti minorenni.
PROTOCOLLO DI INTESA PER LA CYBERSECURITY – Con il comunicato stampa del 11 gennaio, l’Agenzia Nazionale per la Cybersecurity (“ACN”) ha annunciato la firma del protocollo di intesa sulla sicurezza informatica con la Camera dei dei Deputati, che si inserisce sia in un contesto globale sempre più complesso per la cybersicurezza, sia nel percorso di trasformazione digitale avviato dalla Camera nello svolgimento della sua funzione istituzionale. In particolare, lo scambio efficace di informazioni per il potenziamento dei servizi di gestione e contenimento delle minacce informatiche, la realizzazione di collaborazioni attraverso la definizione di best practice, nonché l’aggiornamento e la formazione del personale, rivestiranno una notevole importanza che permetterà di avviare un confronto qualificato a tutela dell’Istituzione e nell’interesse generale del Paese.
D. LGS. 231
DATI DALLA GIURISPRUDENZA DEL TRIVENETO – L’Osservatorio 231 del Dipartimento di diritto pubblico, internazionale e comunitario dell’Università degli Studi di Padova ha recentemente pubblicato un documento di sintesi relativo alle categorie di reati-presupposto maggiormente trattati dai tribunali del Triveneto (Trentino – Alto Adige, Veneto e Friuli – Venezia Giulia) nel triennio 2019-2021. In primo luogo, il report segnala una significativa riduzione dei procedimenti 231 nell’area geografica di riferimento nell’anno 2020, dato chiaramente influenzato dalla generalizzata riduzione delle attività imprenditoriali a causa dell’emergenza pandemica. Per quanto riguarda l’analisi delle categorie di reato riscontrate, il 70% degli illeciti sono relativi a reati contro la pubblica amministrazione, ambientali e di omicidio e lesioni colpose derivanti dalla violazione della normativa dettata in materia di salute e sicurezza. In crescita, tuttavia, il trend relativo ai reati tributari.
OPERAZIONI TRANSFRONTALIERE – Lo schema di decreto legislativo di recepimento della Direttiva (UE) 2019/2121, presentato dal Governo il 9 dicembre 2022 e sul quale il Parlamento si dovrà esprimere con un parere entro il 19 gennaio 2023, (i) propone l’armonizzazione delle disposizioni sulle operazioni di trasformazione e scissione transfrontaliera, (ii) modifica la disciplina della fusione societaria. L’obiettivo della normativa è quello di fornire alle società nuove possibilità di crescita economica, di concorrenza effettiva e di produttività, senza rinunciare a garantire elevati livelli di protezione sociale. Inoltre, la normativa punta a facilitare le trasformazioni, fusioni e scissioni transfrontaliere delle aziende dell’Unione europea, al fine di assicurare una maggiore mobilità ed eliminare barriere ingiustificate alla libertà di stabilimento nel mercato unico europeo. A tal fine, si prevede il rilascio di un certificato preliminare come esito della regolare presentazione di progetti di operazioni transfrontaliere. Lo schema impone inoltre sanzioni penali in caso di false o omesse dichiarazioni in relazione alla sussistenza delle condizioni richieste per il rilascio del citato certificato – illecito peraltro inserito, nella proposta del Governo, all’interno del catalogo dei reati-presupposto del Decreto 231 attraverso la modifica dell’art. 25-ter.
CONFISCA DI PREVENZIONE MAFIOSA – La Corte di Cassazione si è recentemente pronunciata, nella sentenza n. 47388/2022 (qui su IusinItinere), sui presupposti applicativi della misure di prevenzione patrimoniale della confisca. Nel caso di specie, la confisca era stata posta in essere nei confronti di un indagato per appartenenza ad un’associazione mafiosa. La Corte ha ritenuto applicabile la misura, nonostante fosse possibile determinare il momento iniziale e finale della pericolosità qualificata, anche su beni acquisiti in periodo successivo a quello di cessazione della condotta permanente. Questo perché sono risultate una serie di evidenze di fatto che hanno provato la diretta derivazione delle acquisizioni patrimoniali dalla provvista nel periodo di compimento dell’attività delittuosa.
INFORTUNI SUL LAVORO – La Corte di Cassazione è intervenuta recentemente con la sentenza 570/2023 a sottolineare alcuni principi in materia di infortuni sul lavoro e responsabilità 231. La società ricorrente era stata condannata, in primo luogo, per non aver svolto adeguate valutazioni relative ai fornitori, che erano previste, in realtà, dal Modello organizzativo; e secondariamente per non avere predisposto a norma alcune infrastrutture lavorative, nonostante la loro corretta edificazione fosse prevista dalla disciplina aziendale. Le mancanze sono state ritenute imputabili all’Amministratore della società, in qualità di datore di lavoro e in quanto tenuto al rispetto delle norme in materia di sicurezza e prevenzione. I giudici di legittimità, nell’indagine sulla configurabilità dell’illecito per la società, hanno stabilito che le condotte colpose dei soggetti-persone fisiche, presupposto dell’illecito amministrativo, rilevano laddove sia riscontrabile la mancanza o l’inadeguatezza delle cautele predisposte per la prevenzione dei reati previsti dal Decreto 231. È la carenza di tali misure organizzative, in quanto atte a determinare le condizioni di verificazione del reato presupposto, che giustifica il rimprovero e l’imputazione dell’illecito al soggetto collettivo, oltre a sorreggere la costruzione giuridica per cui l’ente risponde dell’illecito per fatto proprio (e non per fatto altrui).
MERCATI DIGITALI
YOOX vs. AGCM – Il comunicato stampa emesso da AGCM lo scorso venerdì 13 gennaio ha portato cattive notizie per un importante player del settore eCommerce, YOOX Net-a-Porter Group. L’Autorità Garante ha infatti ravvisato, in un’azione di monitoraggio nel periodo 2019-2022, gravi comportamenti da parte della società consistiti, tra le altre cose, in (i) l’annullamento di ordini online già perfezionati al superamento, da parte del consumatore, di determinate soglie di “reso”, (ii) un comportamento ingannevole riguardo ai prezzi esposti, consistiti – a seconda del periodo – in un aumento del prezzo poi oggetto di sconto (cosicchè di fatto sconto non vi era), oppure in un calcolo dello sconto su un prezzo “medio” presente sul mercato, e non su quello effettivamente praticato dall’eCommerce. Tutto questo, senza alcuna trasparenza verso il consumatore: di conseguenza, la sanzione è stata calcolata in ben 5 milioni di euro, oltre alla necessità (entro 60 giorni) di indicare da parte della società i correttivi che intende introdurre per superare i rilievi mossi.
ACCESSIBILITA’ DEI SITI WEB E DELLE APP – Nei giorni scorsi AgID (“Agenzia per l’Italia digitale”) ha pubblicato una circolare con i chiarimenti interpretativi sull’estensione da parte del DL 76/2020 di alcuni vincoli già in essere per le Pubbliche Amministrazioni dal 2004, in merito a specifici strumenti per consentire l’utilizzo di siti web e applicazioni mobile anche a soggetti con disabilità. Sono interessati da tale provvedimento i soggetti che offrono servizi al pubblico e che hanno conseguito un fatturato medio, negli ultimi tre anni di attività, superiore a 500 milioni di euro, con l’obiettivo di consentire la più ampia inclusione delle persone con disabilità verso servizi essenziali o comunque di largo accesso.
USO DEI SOCIAL – Interessante report annuale di MGP & Partners sull’utilizzo dei social network, disponibile seguendo questo link: per i brand, tra le altre cose, emerge come di grande importanza la capacità di #ascoltare con più attenzione le esigenze dei consumatori, in un mondo iper connesso e dove anche l’opinione del singolo, ormai, conta.
TWITTER – L’ondata di licenziamenti che ha segnato le #BigTech nel corso dello scorso 2022 pare non essersi fermata. A far parlare di sé è ancora una volta #Twitter, che comincia il nuovo anno con il licenziamento di circa 12 dipendenti del team di moderazione dei contenuti impiegati nelle sedi di Singapore e Dublino. In particolare, pare che i dipendenti coinvolti nel taglio avessero il compito di agire per il contrasto della disinformazione online.
TIKTOK – Il nuovo set normativo europeo in materia di dati personali comincia a mostrare la sua forza oltre i confini dell’Unione. Lo scorso 10 gennaio, l’amministratore delegato di TiTok (Shou Zi Chew) è stato attenzionato – nel corso di una giornata fitta di incontri con alcuni dei commissari europei – del fatto che la società deve tornare a guadagnarsi la fiducia dell’Unione. Tra i vari argomenti trattati, di particolare importanza (i) la sicurezza dei minori, (ii) la trasparenza dei contenuti politici a pagamento e (iii) la conformità, appunto, con la nuova normativa europea in materia di privacy, in particolare con il Digital Services Act e il Digital Markets Act.
ALTRE NEWS DAL MONDO
USA/1 – La Federal Communications Commission (“FCC”) ha annunciato la propria bozza di regolamento che aggiornerà i requisiti di segnalazione delle violazioni dei dati relativi alle reti proprietarie dei clienti (“CPNI”). In particolare, la FCC ha spiegato che intende allineare le sue regole con i recenti sviluppi delle leggi federali e statali sulla violazione dei dati, vigenti in altri settori. In particolare, la normativa proposta mira a (i) rimuovere l’attuale periodo di attesa obbligatorio di sette giorni lavorativi per la notifica ai clienti di una violazione, (ii) a richiedere la notifica al consumatore da parte dei vettori di violazioni involontarie e (iii) a imporre la notifica di tutte le violazioni segnalabili al FCC, il Federal Bureau of Investigation (“FBI”) e i servizi segreti statunitensi.
USA/2 – La Federal Trade Commission (“FTC”) ha di recente annunciato di aver emesso un ordine contro la società Drizly LLC per violazione del Federal Trade Commission Act. In particolare, sono emerse importanti falle nel sistema di sicurezza della società che hanno comportato la violazione di dati personali di circa 2,5 milioni di consumatori. Secondo quanto riferito dalla FTC, sebbene fosse già stata avvisata negli scorsi anni della vulnerabilità dei propri sistemi, la società non aveva di fatto provveduto ad adottare misure idonee a garantire un’adeguata protezione dei dati. Nell’ordine emesso dall’Autorità viene richiesto a Drizly, tra le altre cose, di (i) attuare un programma di sicurezza delle informazioni e stabilire garanzie di sicurezza, (ii) dichiarare sul proprio sito web le categorie di informazioni che raccoglie e i motivi per cui tale raccolta è necessaria e (iii) distruggere tutti i dati raccolti senza necessità, nonché astenersi dal raccogliere in futuro dati e informazioni non necessari per gli scopi prefissati in apposito programma di conservazione.
REGNO UNITO/1 – Il Center for Data Ethics and Innovation (“CDEI”) ha aggiornato l’Algorithmic Transparency Recording Standard, a seguito di una fase pilota in tutto il settore pubblico. Il CDEI ha affermato che lo standard aiuterà le organizzazioni del settore pubblico a fornire informazioni chiare sugli strumenti algoritmici che utilizzano, e sul motivo per cui li utilizzano, dato che la trasparenza in questo settore richiede apertura su come gli strumenti algoritmici supportano il processo decisionale, e sulle decisioni assistite da algoritmi in un formato completo, aperto, comprensibile, facilmente accessibile e gratuito.
REGNO UNITO/2 – Lo scorso 10 gennaio la FCA (Financial Conduct Authority) ha annunciato di aver emesso un avviso con il quale ha sanzionato la Guaranty Trust Bank (UK) per importanti lacune in materia di antiriciclaggio nel periodo compreso tra l’ottobre 2014 e il luglio 2019. Secondo l’Autorità, nel lasso temporale preso a riferimento, la Guaranty Trust Bank non ha adeguatamente compiuto valutazioni in merito al rischio dei clienti, non valutando e/o documentando, in particolare, i rischi connessi ad attività di riciclaggio. Per tali motivi, la banca è stata raggiunta da una sanzione di ben 7,6 milioni di sterline.
SLOVENIA – La legge sulla protezione dei dati personali (“ZVOP-2”) è stata pubblicata nella Gazzetta ufficiale, dopo essere stata adottata dall’Assemblea nazionale della Repubblica di Slovenia il 15 dicembre 2022. In particolare, la ZVOP-2, che recepisce il GDPR nella legislazione locale, entrerà in vigore il 26 gennaio 2023, sostituendo così l’attuale legge sulla protezione dei dati personali del 2004.
WASHINGTON D.C. – Il Procuratore Generale (“AG”) ha annunciato un accordo di $ 9.500.000 con Google LLC per dirimere la controversia sorta in seguito alle pratiche di tracciamento della posizione di Google, che si era impegnata in pratiche ingannevoli, tra le quali una serie di attività che avrebbero ripetutamente spinto gli utenti ad abilitare la posizione in determinate app, per la ragione che i prodotti non avrebbero funzionato correttamente se la posizione non fosse stata abilitata. L’accordo stabilisce anche che, entro 180 giorni dalla data di entrata in vigore, Google dovrà predisporre un report che dimostri il proprio rispetto dell’accordo.
GIAPPONE – il ministero dell’Interno e delle comunicazioni giapponese (“MIC”) ha aperto una consultazione pubblica, che durerà fino al 30 gennaio 2023, sulla bozza di orientamento sui danni causati da un attacco informatico, sottolineando che, con l’aumentare della minaccia di attacchi informatici, sarà vantaggioso sia per l’organizzazione lesa che per la collettività condividere le informazioni sugli attacchi informatici, per chiarire l’intera portata degli eventuali danni e rafforzare le contromisure da adottare.
INDIA – Il Ministero dell’elettronica e dell’informatica indiano (MeitY) ha di recente reso pubbliche le bozze di modifica delle linee guida in materia di giochi online (“Linee guida per gli intermediari e codice etico dei media digitali 2021”, cd. Regolamento IT) e ne ha contestualmente avviato una consultazione pubblica. Le ragioni delle modifiche vanno ricercate nella necessità che (i) i giochi online siano offerti in conformità alle leggi indiane e (ii) che gli utenti siano tutelati dai potenziali danni. Tra le novità proposte figura, tra le altre cose, anche la previsione che un intermediario di giochi online osservi, nell’adempimento dei propri doveri, la due diligence richiesta dal Regolamento IT – che impone, tra le altre cose, di compiere ogni sforzo ragionevole per evitare che i propri utenti agiscano in maniera non conforme alla legge indiana, anche in materia di gioco d’azzardo.
SPAGNA – L’autorità spagnola per la protezione dei dati (“AEPD”) ha annunciato, il 10 gennaio 2023, che oltre 100.000 Data Protection Officers (“DPOs”) sono registrati nel registro pubblico previsto sia per il settore pubblico che per quello privato, per i settori in cui la nomina è obbligatoria. Inoltre, l’AEPD ha specificato che il registro è a disposizione dei cittadini per accedere ai dati di contatto degli DPO, per ottenere informazioni sul trattamento dei propri dati personali, esercitare i propri diritti o presentare un reclamo.
GERMANIA – L’Ufficio federale dei cartelli (Bundeskartellamt) ha reso noto di aver inviato ad Alphabet Inc., Google Ireland Ltd. e Google Germany GmbH la propria valutazione circa le condizioni di trattamento dei dati operate da Google. Nella valutazione il Bundeskartellamt ha evidenziato che gli utenti di Google dispongono solo di un minimo margine di scelta in merito all’accettazione dell’ampio trattamento di dati effettuato da Google. Al momento l’Autorità ha basato la propria valutazione esclusivamente sulla normativa tedesca dettata in materia di concorrenza, tuttavia appare più che verosimile che in futuro si applicherà, in casi simili, la nuova normativa europea del Digital Markets Act (DMA).
BELGIO – L’Autorità belga per la protezione dei dati ha aggiornato e comunicato la propria decisione nei confronti del’Interactive Advertising Bureau (“IAB”), in cui ha stabilito di aver imposto allo stesso una sanzione di € 250.000 per violazioni del GDPR. L’autorità belga ha confermato il piano di azione del IAB volto a rendere il trattamento dei dati personali nel contesto del Transparency and Consent Framework conforme alle disposizioni del GDPR.
WhatsApp Ireland Ltd. (“WhatsApp”) contro l’European Data Protection Board (“EDPB”) e la Corte di Giustizia dell’Unione europea (“CGUE”): una “questione irlandese” che non ha nulla a che vedere con il regionalismo britannico e le sue lotte, ma che si inserisce nelle dinamiche dei trasferimenti internazionali di dati, delle procedure che l’EDPB adotta per garantire la corretta e coerente applicazione del GDPR all’interno dell’Unione europea e che vede coinvolta, questa volta, anche la Corte di Giustizia UE.
WhatsApp vs. EDPB
Nell’ambito dei trasferimenti internazionali di dati, esiste un’autorità definita “Capofila”, che è l’Autorità Garante dello Stato in cui è stabilito il Titolare o il Responsabile del trattamento di dati per trasferimenti tra altri Paesi, alla quale questi ultimi trasferiscono la competenza sul trattamento transfrontaliero in questione.
Se un’Autorità Capofila emana una decisione che diventa oggetto di obiezioni da parte delle altre Autorità Garanti, definite “Interessate”, e se queste obiezioni, pertinenti e motivate, vengono contestate dall’Autorità Capofila, l’EDPB interviene con un procedimento di risoluzione delle controversie ai sensi dell’art. 65 del GDPR.
È proprio con questo meccanismo che l’EDPB ha adottato, il 28 luglio 2021, una decisione vincolante a seguito di alcune indagini, basate su denunce relative alle attività di trattamento della piattaforma WhatsApp. La decisione riguarda, in particolare, la liceità e la trasparenza del trattamento per la pubblicità comportamentale e la liceità del trattamento ai fini del miglioramento dei servizi della piattaforma.
La decisione vincolante dell’EDPB arrivava in seguito a una sanzione dell’Autorità Garante irlandese, aumentandone notevolmente l’ammontare irrogato nei confronti di WhatsApp per violazione, da parte della piattaforma, della normativa del GDPR.
Numerose Autorità Garanti interessate avevano sollevato, infatti, obiezioni alla proposta di decisione dell’Autorità Garante irlandese, la quale, a fronte delle violazioni di WhatsApp, avrebbe comminato una sanzione non proporzionata, ritenuta “troppo leggera” e così inefficace.
A fronte di un atteggiamento tradizionalmente ritenuto tollerante e comprensivo, che ha spesso caratterizzato l’Autorità Garante irlandese nei confronti di società con sede principale negli Stati Uniti e che ha spinto le stesse società a stabilire la loro sede europea in Irlanda, questa volta il Garante irlandese è stato costretto – a causa della decisione vincolante dell’EDPB – a infliggere una sanzione ben superiore alla piattaforma, pari a 225 milioni di euro.
WhatsApp vs. CGUE
A seguito della sanzione ricevuta, WhatsApp ha adito la CGUE impugnando la decisione davanti alla CGUE, la quale, nella causa T-709/21 sulla domanda di annullamento della decisione vincolante del EDPB ha, invece, respinto il ricorso proposto da WhatsApp in quanto irricevibile perché non diretto contro un atto impugnabile ai sensi dell’art. 263 del TFUE.
La CGUE osserva che, affinché un atto possa essere impugnato, esso deve produrre effetti giuridici vincolanti e deve essere in grado di incidere sugli interessi del richiedente, determinando un netto mutamento della sua posizione giuridica. Questo requisito si somma, inoltre, alla necessità che il ricorrente sia direttamente e individualmente interessato da tale atto per essere legittimato ad agire.
Per quanto riguarda il requisito degli effetti giuridici sul richiedente, la CGUE ha ritenuto che la decisione impugnata non modifichi di per sé la posizione giuridica della piattaforma WhatsApp, in quanto, a differenza della decisione finale dell’autorità di controllo irlandese, la decisione impugnata non è direttamente esecutiva nei confronti della WhatsApp e costituisce un atto preparatorio di un procedimento che deve concludersi con l’adozione di una decisione definitiva di un’autorità nazionale di vigilanza nei confronti di tale impresa.
Per quanto riguarda il requisito del diretto e immediato interesse di WhatsApp, la CGUE ha rilevato che la decisione impugnata lascia un certo margine di discrezionalità all’Autorità Garante irlandese per quanto riguarda il contenuto della decisione finale, che riguarda anche altri aspetti, in particolare l’importo dell’ammenda amministrativa, non configurandosi un interesse conforme ai requisiti per l’interesse ad agire della piattaforma nel provvedimento dell’Autorità Garante.
Conclusione della vicenda
La CGUE si è espressa su una serie di elementi che, valutati nella loro complessità, avrebbero messo profondamente in crisi il ruolo dell’EDPB e il meccanismo di composizione delle controversie di cui all’art. 65 del GDPR, se la CGUE avesse accolto il ricorso.
La questione resta ancora aperta, però, dato che secondo la stessa CGUE, la validità della decisione impugnata potrà essere contestata dinanzi a un giudice nazionale, che potrebbe presentare una domanda di pronuncia pregiudiziale di nuovo sottoposta all’autorità della Corte europea.
https://projectin.legal/wp-content/uploads/2022/12/liam-charmer-e0AoqDV_T6c-unsplash-scaled.jpg25601707Miriam Pedruzzihttps://projectin.legal/wp-content/uploads/2023/05/Logo-esteso-chiaro-300x80.pngMiriam Pedruzzi2022-12-19 15:28:282022-12-19 15:28:28Sanzione privacy a WhatsApp Ireland confermata, nonostante i ricorsi su più fronti
BOZZA DECISIONE DI ADEGUATEZZA UE-USA – Lo scorso 13 dicembre la Commissione europea ha pubblicato la bozza di decisione di adeguatezza che, ex art.46 GDPR, consentirà – qualora approvata – un trasferimento di dati sicuro tra Europa e Stati Uniti. In particolare la bozza, nel recepire le preoccupazioni sollevate dalla Corte di Giustizia nella sentenza #SchremsII, poggia su una seria valutazione del quadro normativo statunitense, incluso l’ordine esecutivo di Biden e i regolamenti che istituiscono un tribunale per la protezione dei dati. Contestualmente alla bozza, la Commissione ha altresì rilasciato una pagina dedicata alle Q&A (domande e risposte più frequenti). Il progetto di decisione è stato ora inoltrato all’EDPB e successivamente verrà sottoposto al vaglio di un comitato composto da rappresentanti dei vari stati membri. Dopo tali passaggi, inclusa la verifica del Parlamento europeo, il documento tornerà alla Commissione alla quale spetterà procedere (eventualmente) alla sua adozione.
IL COMMENTO DI NOYB – Pubblicata la bozza di decisione di adeguatezza, il commento di #NOYB non è tardato ad arrivare. Nella stessa giornata del 13 dicembre, infatti, None Of Your Business (l’organizzazione no profit di Max Schrems, promotore dinanzi alla CGUE delle cause concluse con le famose sentenze Schrems I e Schrems II) ha rilasciato una prima valutazione sul documento segnalando che le modifiche (e, di conseguenza, le garanzie) introdotte nell’ordinamento giuridico statunitense dall’Executive Order di Biden sono in realtà insufficienti. Rimandando l’attenta valutazione della bozza ai giorni successivi, NOYB ha formulato un pronostico negativo circa le sorti della decisione, laddove portata al cospetto della CGUE.
ACCORDO OCSE SULL’ACCESSO DEL GOVERNO AI DATI PERSONALI – Il 14 dicembre l’Organizzazione per la Cooperazione e lo Sviluppo Economico ha annunciato l’adozione della dichiarazione sull’accesso del governo ai dati personali detenuti da entità del settore privato, alla quale hanno aderito 38 paesi, insieme all’Unione europea. L’accordo chiarisce in che modo le forze dell’ordine e la sicurezza nazionale possono accedere ai dati personali nell’ambito degli ordinamenti giuridici esistenti. Rifiutando qualsiasi approccio da parte dei governi per accedere ai dati personali che sono in contrasto con i valori democratici e lo stato di diritto, la dichiarazione stabilisce una serie di principi in base ai quali i governi possono accedere ai dati personali detenuti dalle organizzazioni. La dichiarazione ha anche notevoli risvolti applicativi concreti, tra i quali il caso in cui nelle TIA (“Transfer Impact Assessment”) si è tenuti a verificare la presenza nell’ordinamento dello Stato di destinazione di norme chiare, che costituiscano garanzie in uno stato democratico almeno equivalenti, sostanzialmente, a quelle dell’Unione europea.
PRIVACY
DIRETTIVA PNR – Lo scorso 15 dicembre l’EDPB (European Data Protection Board) ha annunciato di aver adottato una dichiarazione in merito ad una sentenza (C-817/19) pronunciata dalla CGUE in materia di uso dei codici di prenotazione (#PNR) per finalità di prevenzione, accertamento e azione penale nei confronti di terrorismo e di altri reati gravi. L’EDP ha spiegato che, secondo l’interpretazione della Corte, la Direttiva 2016/681 (cd. #DirettivaPNR) prevede importanti specificazioni in relazione al trattamento di dati personali, quali ad esempo (i) l’applicazione del sistema PNR ai soli reati di terrorismo e agli altri reati gravi che hanno, in concreto, un legame con l’uso di aerei e (ii) l’applicazione non indiscriminata del periodo di conservazione di 5 anni ai dati dei passeggeri. Partendo da tale premessa, l’EDPB ha rilevato che la gran parte dei trattamenti effettuati dagli Stati Membri alla luce della Direttiva PNR non è conforme all’interpretazione della Corte europea,provvedendo pertanto a raccomandare l’adozione di tutti i necessari provvedimenti al fine di un allineamento.
VIOLAZIONE RISERVATEZZA – Il Garante per la protezione dei dati personali ha di recente irrogato una sanzione all’Istituto per lo Studio, la Prevenzione e la Rete Oncologica (ISPRO) per violazione di dati personali sanitari (dunque, un #databreach). Dal reclamo proposto da un paziente è infatti emerso che l’Azienda Ospedaliero-Universitaria Careggi di Firenze – nominata responsabile del trattamento da ISPRO – aveva per errore inoltrato via e-mail il referto medico di un altro paziente. Tale comunicazione, essendo priva di idonea base giuridica, era stata pertanto effettuata in violazione del GDPR. Nel comminare la sanzione (7mila euro) il Garante ha inoltre colto l’occasione per ribadire la necessità che i dati sanitari – data la loro particolare delicatezza e “sensibilità” – siano trattati con le adeguate tutele.
CONSULTAZIONE PUBBLICA/DMA – Il Digital Markets Act (DMA) conferisce alla Commissione europea il potere di adottare atti che stabiliscono disposizioni dettagliate per alcune delle questioni indicate all’art. 46. Lo scorso 9 dicembre la Commissione ha pertanto aperto una consultazione pubblica al fine di stabilire con maggiore precisione gli aspetti pratici inerenti a (i) la forma e il contenuto delle notifiche e/o comunicazioni da inoltrare su richiesta della Commissione, (ii) l’avvio di un procedimento ai sensi del DMA, (iii) l’esercizio del diritto ad essere ascoltati e ai termini di divulgazione ex art. 34. e, più in generale, (iv) ai termini previsti dall’atto. Sarà possibile inoltrare le proprie osservazioni fino al prossimo 6 gennaio, accendendo a questo link.
CITTADINANZA A PUNTI E DIALOGO SULL’AI – E’ stata vietata l’intelligenza artificiale pensata per istituire una “cittadinanza a punti”, attraverso sistemi di valutazione delle persone che vivono in un Paese in base al loro comportamento sociale, alle loro scelte in vari contesti e alle caratteristiche personali. Ora che il Consiglio europeo ha adottato la sua posizione comune, concordata dai 27 Stati membri, relativa alla normativa sull’intelligenza artificiale, il prossimo obiettivo è quello di assicurare che i sistemi di intelligenza artificiale presenti sul mercato dell’Unione europea, e utilizzati dalle persone, rispettino appieno la normativa vigente in materia di diritti fondamentali. Per sfruttare il potenziale dell’Intelligenza Artificiale bisognerà implementare politiche coordinate a livello internazionale e individuare pratiche comuni, ed è proprio con questo spirito che si terrà il 14 e il 15 dicembre a Gran Canaria la relativa riunione ministeriale del Comitato per la politica dell’economia digitale.
REPORT ENISA SU CYBERSICUREZZA NELLA SANITA’ – L’Agenzia dell’Unione europea per la cybersicurezza (“ENISA”) ha pubblicato, il 13 dicembre un report sulla resilienza del settore sanitario europeo, con lo scopo di identificare potenziali sfide e di suggerire raccomandazioni. Il report illustra che, durante il 2022, l’allocazione di budget e risorse per promuovere la costituzione di team di sicurezza informatica all’interno delle organizzazioni sanitarie è stato fondamentale per garantire la resilienza della sicurezza informatica, fondamentale nel settore sanitario, e che anche i test regolari a livello locale sono emersi come una buona prassi di sicurezza.
D. LGS. 231
PROTOCOLLO 231 (POTENZA) – La Procura Generale della Repubblica presso la Corte d’Appello di Potenza ha adottato un Protocollo organizzativo e di coordinamento in tema di indagini sui reati 231, con il quale ha pubblicato delle linee guida applicative del Decreto 231, al fine di meglio coordinare le indagini nel settore della responsabilità da reato degli enti. La Procura Generale ha integrato il Protocollo con una Relazione illustrativa, allo scopo di (i) soddisfare la necessità di approfondire alcune questioni che investono Decreto 231 e i dubbi interpretativi che lo riguardano e (ii) far fronte all’esigenza derivante dall’estensione della portata normativa di alcuni reati 231 anche ai casi di sovvenzioni pubbliche a danno dello Stato, di altri enti pubblici o dell’Unione europea, ricomprendendo così le risorse del PNRR.
PROTOCOLLI REATI SUL LAVORO (NAZIONALE) – Dall’intesa raggiunta tra Ispettorato Nazionale del Lavoro e Procura Generale presso la Corte di Cassazione sono stati emanati due nuovi #Protocolli (nn. 474 e 483) che conferiscono – con specifico riferimento alla responsabilità degli enti – particolari compiti e deleghe agli ispettori al fine di indagare sulla commissione di determinati reati. Più in particolare, i nuovi protocolli attribuiscono agli ispettori funzioni di veri e propri “agenti di polizia” in riferimento a particolari tipologie di reati, come infortuni gravi o mortali, caporalato, mobbing e molestie.
PROTOCOLLO ANTI-COVID (NAZIONALE) –Il Ministero del Lavoro e le Parti Sociali hanno recentemente reso nota la loro decisione di non apportare alcuna revisione al “Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2/COVID-19 negli ambienti di lavoro”, il cd. #ProtocolloAntiCovid, che di fatto rimane dunque in vigore. La scelta concreta circa il protrarre o meno l’applicazione del Protocollo è pertanto rimessa ai singoli datori di lavoro (che fino al prossimo 31 dicembre dovranno comunque rispettare le Linee Guida e le regole dettate in materia di uso dei dispositivi di protezione delle vie respiratorie nelle strutture sanitarie, socio-sanitarie e socio-assistenziali).
GERMANIA E WHISTLEBLOWING – Il Parlamento tedesco (“Bundestag”) ha annunciato l’adozione del progetto di legge c.d. Whistleblowing Protection Act (in tedesco c.d. (“HinSchG”), con alcuni emendamenti, che comprendono (i) l’estensione dell’ambito di applicazione del progetto HinSchG alle segnalazioni di dichiarazioni di funzionari pubblici che costituiscono una violazione del dovere di lealtà alla Costituzione tedesca; e (ii) il trattamento delle segnalazioni anonime, il cui trattamento diventa obbligatorio, anziché facoltativo, per gli uffici segnalanti.
MERCATI DIGITALI
TWITTER SOSPENDE I GIORNALISTI (E NON SOLO) – Negli ultimi giorni la piattaforma da poche settimane di proprietà di Elon Musk ha sospeso gli accounti di diversi importanti giornalisti USA, alcuni dei quali sono stati in passato molto critici nei confronti dell’attuale – vulcanico e lunatico, quantomeno – “CEO ad interim”. Allo stesso modo, la nuova era “libera e aggressiva” di Twitter sta vedendo la sospensione di molti account sgraditi, come quello (denominato “ElonJet”) che forniva dati in tempo reale sulla posizione dell’aereo privato di Musk, e come quelli che implementano link diretti ad altre piattaforme social, tra cui Mastodon che pare essere un approdo molto diffuso per i transfughi di Twitter. In molti non vedono l’ora della prossima puntata della #Muskeide.
DICHIARAZIONE EUROPEA PER IL DECENNIO DIGITALE – Le istituzioni dell’Unione europea hanno reso in data 15 dicembre una dichiarazione per una trasformazione digitale inclusiva, equa, sicura e sostenibile che metta le persone al centro, con l’obiettivo di preservare i valori fondamentali dell’Unione europea nel mondo digitale e online. La dichiarazione – che illustra l’impegno dell’Unione europea a favore di una trasformazione digitale sicura, sostenibile e sicura che ponga le persone al centro, in linea con i valori fondamentali e i diritti fondamentali dell’Unione europea – costituirà un punto di riferimento per i responsabili politici, le imprese e altri attori pertinenti nello sviluppo e nella diffusione di nuove tecnologie.
CRIPTOVALUTE E SEGNALAZIONI UIF – Sono sempre più numerosi gli utenti c.d. Virtual asset service provider (“VASP”) che intercettano e segnalano alla Unità di Informazione Finanziaria (“UIF”) presso la Banca d’Italia, una serie di flussi finanziari in criptovalute che si inseriscono in uno schema volto a frodare il fisco. Il meccanismo prevede la cessione di finti crediti fiscali, i cui proventi sono impiegati per acquisti di criptovalute. La UIF ha predisposto nel mese di dicembre una newsletter dedicata al tema. Le informazioni nella disponibilità degli operatori offrono così delle prospettive per l’analisi finanziaria e la lotta alla frode fiscale mediante strumenti digitali.
TELEPASS NEL METAVERSO – La società Telepass, dedicata al pagamento del pedaggio autostradale, è entrata nella virtualità del Metaverso, creando un collegamento tra il modo di muoversi della vita reale e le opportunità offerte dal nuovo mondo virtuale. L’azienda si è impegnata a creare un ecosistema di servizi per una mobilità sicura e sostenibile, e si è proiettata nel futuro lanciando per prima in Italia gli NFT ispirati al mondo della mobilità. Il lancio è previsto a partire dal 12 dicembre 2022. e la particolarità è che chi possiede tali NFT, associando il proprio contratto Telepass, potrà accedere a scontistiche dedicate e usufruibili attraverso l’app Telepass. Laddove l’utente non associ il contratto Telepass, sarà comunque proprietario dell’NFT Telepass e potrà decidere anche successivamente e liberamente di attivare il contratto con Telepass per accedere al Club di Membership.
NEWS DAL MONDO
AUSTRALIA – La Australian Competition and Consumer Commission (ACCC) ha annunciato che la Corte locale federale ha rigettato il proprio ricorso contro Google LLC, che non ha posto in essere un comportamento ingannevole quando ha segnalato l’avvenuta modifica alla propria privacy policy attraverso una notifica sugli schermi dei consumatori. Mentre per la ACCC tale notifica era fuorviante in quanto non consentiva ai consumatori di “accettare” (selezionando il relativo comando sulla notifica) in maniera informata e consapevole le modifiche apportate, la Corte ha invece ritenuto adeguato il comportamento di Google, che (i) ha apportato le modifiche solo dietro espresso consenso e (ii) non ha ridotto i diritti degli interessati.
POLONIA – UODO, autorità garante locale, ha recentemente annunciato di aver approvato il “Codice di condotta sulla protezione dei dati personali nelle piccole strutture mediche”. Scopo del documento è garantire la protezione dei dati personali dei pazienti e di tutti gli altri soggetti delle strutture sanitarie.
USA – L’Agenzia americana per la sicurezza informatica e delle infrastrutture (CISA) ha pubblicato sulle proprie pagine un’infografica in materia di #phishing al fine di mettere in guardia persone fisiche e organizzazioni da possibili attacchi di truffa informatica. L’infografica riassume i principali metodi con cui i cyber-malintenzionati “buttano l’esca”e suggerisce azioni concrete per prevenire tali attacchi.
SPAGNA/1 – L’AEPD, Garante spagnolo, ha sanzionato la società Orange Espagne S.A.U. per violazione del GDPR. A seguito del reclamo proposto da un individuo – i cui dati personali erano stati inseriti all’interno di sistemi di informazioni creditizie come conseguenza del mancato pagamento di servizi che, in realtà, l’individuo non aveva mai sottoscritto – l’Autorità ha infatti scoperto che il contratto era stato fraudolentemente concluso a nome dell’interessato da un soggetto terzo. La sanzione di 70 mila euro deriva dal fatto che la società non è stata in grado di fornire adeguata prova (i) di aver lecitamente stipulato il contratto col ricorrente, (ii) di aver ottenuto consenso alla raccolta e al trattamento dei relativi dati personali e (iii) di aver trattato i dati alla luce di una valida base giuridica.
SPAGNA/2 – L’AEPD ha di recente sanzionato anche Vodafone Espana. Un cliente ha infatti segnalato all’Autorità che un duplicato della propria SIM era stato fornito, senza consenso, ad un soggetto terzo (il quale aveva in tal modo ottenuto l’accesso a Google nonché ai dati bancari del ricorrente, effettuando altresì diverse operazioni fraudolente tramite l’online banking). A seguito delle indagini compiute dall’Autorità è emerso che Vodafone non aveva adottato le adeguate (e necessarie) misure precauzionali per scongiurare la duplicazione di una SIM in mancanza del consenso dell’interessato.
PORTOGALLO – La Comissão Nacional de Proteção de Dados (CNPD, Autorità garante portoghese) ha annunciato di aver sanzionato per 4,3 milioni di euro l’Istituto Nazionale di Statistica per violazione di molteplici disposizioni del GDPR. Dalle indagini effettuate dal CNPD è emerso che durante il censimento relativo all’anno 2021 l’Istituto non abbia chiaramente comunicato agli interessati che la risposta a determinate domande – così come il conferimento dei dati relativi alla salute e alle preferenze religiose- aveva natura facoltativa. Tale omissione ha, di fatto, impedito una consapevole e valida formazione della volontà dei cittadini. Tra le altre violazioni riscontrate, l’aver effettuato trasferimenti internazionali di dati verso gli USA in spregio a quanto stabilito dalla CGUE nella sentenza Schrems II e il non aver effettuato una DPIA prima di iniziare le operazioni di trattamento. Se non l’Istituto Nazionale non provvederà a impugnare giudizialmente il provvedimento, la (elevata) sanzione dovrà essere pagata nel termine di 10 giorni da quando la decisione sarà esecutiva.
SLOVENIA – L’uso di #droni dotati di telecamere o altri sistemi di acquisizione e/o elaborazione dei dati può comportare la violazione delle disposizioni dettate in materia di privacy. Per tale ragione il Commissario per l’informazione sloveno ha recentemente pubblicato una infografica (disponibile solo in sloveno) contenente informazioni utili ai fini del rispetto della normativa vigente in materia di protezione dei dati personali in caso di utilizzo di tali strumenti.
BELGIO – Alcune società del settore dei media e della comunicazione hanno raggiunto un accordo con il Garante belga sull’ammontare delle sanzioni irrogate – come in un patteggiamento – senza riconoscimento della loro responsabilità. La tecnica adottata prevede due fasce di sanzioni e i rispettivi massimi edittali, e ha consentito ai Titolari del trattamento di dialogare con l’Autorità Garante per giungere ad un accordo sulla sanzione. L’episodio belga mette sotto i riflettori la diversità del trattamento sanzionatorio tra Stati membri diversi, e costituisce uno spunto di riflessione per le istituzioni europee sulla disarmonia esistente fra gli Stati nell’applicazione del GDPR.
QUEBEC – La Commissione del Quebec sull’Accesso all’Informazione (“CAI”) ha pubblicato, il 13 dicembre 2022, un report sulla protezione dei minori nell’ambiente digitale, raccomandando una maggiore attenzione e consapevolezza. In particolare, il rapporto esamina i rischi per i minori e i principi internazionali associati alla protezione dei loro dati personali. Inoltre, il rapporto sottolinea l’importanza di ridurre al minimo i rischi in questo settore e discute come rafforzare la protezione delle informazioni personali dei minori.
UK E DUBAI – Il Governo britannico e Il Centro finanziario internazionale di Dubai (“DIFC”) hanno rilasciato il 15 dicembre una dichiarazione congiunta in cui si impegnano a facilitare maggiormente i flussi e i trasferimenti di dati personali. Le parti considerano questo nuovo accordo come un solido “ponte” per i dati, che apporterà benefici all’economia attraverso un utilizzo affidabile dei dati tra le frontiere. Il Regno Unito e il DIFC hanno concordato, in particolare, sull’importanza della cooperazione normativa esistente e futura come mezzo per migliorare gli obiettivi sulla protezione e la circolazione dei dati personali.
NORVEGIA – L’Autorità norvegese per la protezione dei dati (Datatilsynet) ha annunciato di aver condotto un’ispezione presso l’ufficio del governatore delle Svalbard, avviata in primavera, riguardo il trattamento dei dati personali per le richieste di visto e l’uso del sistema informativo sui visti. Durante l’ispezione sono state scoperte significative distorsioni rispetto all’ elaborazione e al controllo interno; pertanto l’Autorità norvegese ha dato all’ufficio del governatore un termine fino al 31 gennaio 2023 per chiarire e documentare la divisione delle responsabilità tra il governatore e la Direzione dell’Immigrazione per il trattamento dei dati personali nel sistema informativo dei visti.
https://projectin.legal/wp-content/uploads/2022/12/50.jpeg7201078Miriam Pedruzzihttps://projectin.legal/wp-content/uploads/2023/05/Logo-esteso-chiaro-300x80.pngMiriam Pedruzzi2022-12-19 09:43:372022-12-19 15:28:59News #50: la Commissione UE ritiene “adeguati” gli USA per il data transfer, ora tocca all’EDPB (e a NOYB); nuovi protocolli rilevanti su 231
REGOLAMENTO EUROPEO SULL’INTEROPERABILITA’ – La Commissione europea ha proposto – per ora solo a livello politico – una bozza di testo normativo (“Interoperable Europe Act” nr. COM(2022)720) per sviluppare e armonizzare il panorama europeo di disciplina digitale delle #PubblicheAmministrazioni, con attenzione all’interoperabilità, intesa come la capacità dei sistemi o delle organizzazioni di cooperare al fine di perseguire scopi condivisi a livello europeo. La norma, che dovrà coordinarsi attentamente con quanto previsto dal Data Governance Act sui dati coinvolti, avrà l’obiettivo di portare l’Unione europea a una rete di Pubbliche Amministrazioni interconnesse, che collaboreranno per promuovere l’innovazione e ridurre la frammentazione delle politiche di perseguimento degli obiettivi digitali dell’Unione europea per il 2030.
NEWSLETTER GARANTE – Pubblicata lo scorso 28 novembre l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie: (i) la maxi sanzione a #Douglas per molteplici violazioni del GDPR; (ii) la sanzione a #Vodafone al fine di garantire comunicazioni di #telemarketing più trasparenti; (iii) la sanzione ad una ASL valdostana per mancata tutela dei dati sanitari dei pazienti presenti nel #dossiersanitario; (iv) il parere positivo del Garante in merito alla bozza di decreto legislativo che istituisce il cd. #SICONBEP, il nuovo sistema informativo di rilevazione delle concessioni di beni pubblici.
DIRETTIVA NIS2 – Il Consiglio dell’Unione ha recentemente adottato una nuova normativa con l’obiettivo di istituire un livello di#cybersicurezza comune per tutti i Paesi dell’UE, in settori quali – tra gli altri – l’energia, i trasporti e la sanità. La nuova Direttiva, cd. #Nis2 – che va a sostituire la precedente, cd.Nis (Network and Information Security Directive) – oltre a stabilire le regole e i meccanismi per una efficace collaborazione tra le Autorità di ciascuno Stato membro, andrà ad istituire anche l’ #EU-cyCLONe, la rete europea di organizzazioni di collegamento per le crisi informatiche al fine di supportare una gestione coordinata di incidenti di sicurezza su larga scala. Dall’entrata in vigore della Direttiva (e cioè dal ventunesimo giorno dalla pubblicazione in Gazzetto Ufficiale) gli Stati membri avranno 21 mesi per adeguarsi alla nuova normativa.
DA AMBURGO ARRIVANO OSSERVAZIONI SUI TRASFERIMENTI INTERNAZIONALI … – L’Autorità garante di Amburgo (“HmbBfDI”) ha pubblicato il 29 novembre le sue osservazioni sulla proposta di Accordo sulla privacy dei dati UE-USA. L’HmbBfDI ha suggerito che le valutazioni d’impatto sul trasferimento dei dati seguano le indicazioni della sentenza della Corte di Giustizia dell’Unione europea sui trasferimenti di dati tra l’Unione europea e gli Stati Uniti fino alla finalizzazione dell’accordo proposto. L’HmbBfDI ha inoltre sostenuto che l’executive order statunitense merita un esame approfondito, e che l’effettiva applicazione delle disposizioni in materia di proporzionalità del trattamento sarà monitorata attentamente.
… MENTRE L’AUTORITÀ FEDERALE TEDESCA BOCCIA OFFICE365 – L’Autorità federale tedesca per la protezione dei dati (“DSK”) ha affermato in un rapporto che l’utilizzo di Microsoft Office365 nelle scuole tedesche non è conforme al GDPR. Secondo la DSK, Microsoft non rivela con sufficiente precisione quali operazioni di elaborazione dei dati sono poste in essere, né quali operazioni di elaborazione vengono eseguite per conto del cliente o quali vengono eseguite per i propri scopi. In particolare, i documenti contrattuali non sono precisi a riguardo e non consentono una valutazione complessiva del trattamento, che può essere anche esteso per finalità proprie dell’azienda. Dai confronti emersi con il gruppo di lavoro di Microsoft, è stato confermato che i dati personali vengono anche trasferiti negli Stati Uniti quando si utilizza O365, sostenendo il provider che sarebbe possibile utilizzare Microsoft 365 senza trasferire i dati personali negli Stati Uniti.
MoU EDPS/ENISA – Nell’ottica di una collaborazione strategica, è stato recentemente firmato un Memorandum of Understanding tra il Garante europeo (EDPS) e l’Agenzia europea per la sicurezza informatica (ENISA). Il documento mira a promuovere una maggiore consapevolezza della privacy e della sicurezza informatica, anche promuovendo tale consapevolezza nelle altre istituzioni e agenzie dell’Unione.
RIUNIONE PLENARIA EDPB – Il 2 dicembre 2022 il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato l’ordine del giorno della sua 72° riunione plenaria, prevista per il 5 dicembre 2022. Saranno discusse le decisioni prese nell’ambito del meccanismo di coerenza ai sensi dell’articolo 65(1)(a) GDPR in merito alle controversie sorte sui progetti di decisione della Commissione per la protezione dei dati nei confronti di Facebook e Instagram, e nei confronti di WhatsApp.
D. LGS. 231 & PENALE
e-EVIDENCE – Lo scorso 29 novembre la Commissione Europea ha diffuso un comunicato stampa all’interno del quale ha espresso il proprio parere positivo in merito all’accordo provvisorio raggiunto tra Parlamento e Consiglio d’Europa sulle nuove norme in materia di #condivisione, tra gli Stati Membri, di #proveelettroniche. L’accordo si configura come il punto di partenza per la formulazione di due proposte di direttiva, l’una relativa alla nomina dei rappresentanti legali ai fini della raccolta di prove nell’ambito dei procedimenti penali, l’altra in materia di produzione e conservazione delle prove elettroniche, sempre in materia penale.
AMMINISTRATORE INDAGATO – Con le sentenze nn. 44372 e 44373 (consultabili gratuitamente per gli iscritti all’associazione AODV231) la Corte di Cassazione ha stabilito che, in tema di rappresentanza dell’ente in giudizio, ex art. 39 del #Decreto231, sussiste sempre il #conflittodiinteressi per il legale rappresentante della società indagato per un reato presupposto, anche laddove la responsabilità dell’ente non sia stata accertata o addirittura contestata.
PRESCRIZIONE E CONTESTAZIONE DELL’ILLECITO – Il Tribunale di Milano nella sentenza n. 2993/2022 (consultabile gratuitamente per gli iscritti all’associazione AODV231) ha stabilito che l’istanza di patteggiamento concordata tra difesa e accusa, trasmessa al G.I.P. nel corso delle indagini preliminari, è sufficiente a interrompere la prescrizione dell’illecito a carico della società. Ai fini dell’interruzione del termine di prescrizione, la trasmissione al giudice per l’applicazione concordata della sanzione ex art. 63 D.Lgs. n. 231/2001 deve essere considerata un atto idoneo a definire la contestazione mossa dal pubblico ministero nei confronti dell’ente.
TARANTO – CONDANNA AD AZIENDE SIDERURGICHE – La Corte di Assise di Taranto nella sentenza R.G. 1/2021 del 28 novembre ha riconosciuto la responsabilità ed applicato sanzioni pecuniarie, interdittive, confische e pubblicità del provvedimento a carico di società operanti nel campo della produzione e del commercio di acciaio, per gli illeciti relativi ai reati presupposto di associazione per delinquere, delitti corruttivi e ambientali. Come si legge nella sentenza della Corte d’Assise, tali enti, nell’espletamento degli adempimenti previsti dalle norme vigenti in materia di tutela ambientale, di prevenzione degli incidenti rilevanti e di igiene e sicurezza sul lavoro, agendo nell’interesse ed a vantaggio delle medesime società, procuravano danni ambientali, fatti corruttivi, anche associandosi tra loro allo scopo di commettere i reati, omettendo di provvedere all’attuazione delle misure di sicurezza, prevenzione e protezione dell’ambiente e della salute e sicurezza dei lavoratori di cui lo stabilimento siderurgico di Taranto necessitava.
MERCATI DIGITALI
UE/TWITTER – Gli occhi della Commissione europea sono tutti puntati su #Twitter. Nel corso di una videochiamata, Thierry Breton – commissario per il mercato interno – ha rappresentato a #ElonMusk tutte le sue “raccomandazioni” affinché il social rispetti la nuova normativa comunitaria in materia di servizi digitali, il cd. #DSA. La nuova legge europea prevede infatti, tra le altre cose, una serie di valutazioni da svolgersi con cadenza annuale finalizzate a valutare i rischi connessi a situazioni quali (i) la violazione di diritti, soprattutto se di minori, e (ii) la diffusione di notizie false. Al termine dell’incontro il commissario Breton si è espresso favorevolmente in merito alla proposta di Musk di un “Twitter 2.0” conforme al DSA. Secondo alcune fonti, all’inizio del 2023 la Commissione provvederà a effettuare uno #stresstest presso la sede della società; nel frattempo, si vocifera di un nuovo “data breach” di grande importanza che avrebbe colpito proprio Twitter.
META – La Commissione per la protezione dei dati irlandese (DPC) ha di recente reso pubblica la sua decisione di multare #MetaIreland – sede “locale” europea di #Facebook – per ben 265 milioni di euro, oltre a quella di imporre l’adozione di misure correttive conseguenti alla violazione dell’art. 25 GDPR (dunque, delle disposizioni dettate in materia di #PrivacybyDesign e #PrivacybyDefault). La decisione dell’Autorità arriva all’esito di un’inchiesta partita nell’aprile 2021 in seguito alla scoperta di un set di dati personali – raccolti su Facebook – resi disponibili online.
WHATSAPP E DARK WEB – Secondo quanto riportato sul sito ufficiale del Garante svizzero (FDPIC), i dati personali di circa 550 milioni di utenti di #WhatsApp sarebbe stati messi in vendita sul #darkweb. Dalle fonti attualmente disponibili non sarebbe possibile, ancora, stabilire chi sia l’autore di tale azione. In attesa di ulteriori accertamenti, la raccomandazione dell’Autorità è pertanto quella di verificare sempre l’autore del messaggio, procedendo a bloccare e cancellare il numero nel caso in cui dovesse riscontrarsi qualche “stranezza”.
COPYRIGHT – CONFERMATA LA CONDANNA A CLOUDFLARE – Con la sentenza dello scorso 4 novembre (resa nota da poco), il Tribunale di Milano ha confermato l’ingiunzione a Cloudflare – società americana che fornisce servizi DNS – che impone il blocco di alcuni siti torrent che violano il diritto d’autore di diverse case musicali, rendendo illegittimamente disponibili al pubblico i brani musicali. Cloudflare aveva proposto appello contro la sentenza di primo grado, ma la Corte meneghina ha confermato la sentenza del giudice di prime cure, affermando che gli intermediari online che offrono questo tipo di servizi di risoluzione DNS possono essere soggetti al dovere di agire in modo efficace se i loro servizi sono utilizzati per la pirateria musicale.
RAPPORTO CENSIS SULLE COMPETENZE DIGITALI – Secondo il 56esimo rapporto Censis sulla situazione sociale del Paese/2022, le attività quotidiane mediate da Internet hanno registrato un notevole incremento: dal reperimento di informazioni su aziende, prodotti, servizi, allo shopping online, l’ascolto di musica e la gestione di operazioni bancarie. In generale, le opinioni degli italiani convergono anche sull’utilità dello smart working. Un altro dato interessante rilevato dal report è che la spesa delle famiglie per i consumi mediatici, in particolare la spesa per l’acquisto di telefoni e equipaggiamento telefonico, ha subito un enorme incremento, moltiplicando per oltre cinque volte il suo valore rispetto agli anni precedenti.
NEWS DAL MONDO
SINGAPORE – La Commissione per la protezione dei dati personali di Singapore (PDPC) ha recentemente reso pubblica una decisione con la quale ha inflitto ad un ospedale una sanzione di 58 mila SGD (all’incirca 40 mila euro) per violazione dei dati personali. In particolare, pare che la Commissione abbia ricevuto una segnalazione secondo la quale due dipendenti avevano inoltrato ad indirizzi terzi oltre 9 mila e-mail, contenenti dati personali di oltre 3 mila dipendenti. Sebbene l’ospedale abbia provveduto a porre in essere misure correttive per mitigare le conseguenze dell’incidente, è stata riscontrata una inefficiente predisposizione di misure di sicurezza volte a garantire la protezione dei dati contenuti nelle caselle di posta elettronica.
FRANCIA – L’Autorità francese per la protezione dei dati (“CNIL”) ha comminato una sanzione di 600.000 euro a una società di servizi, contestando tre violazioni del GDPR riguardanti (i) la mancata dimostrazione dell’acquisizione di un consenso preventivo nell’ambito di una campagna di promozioni commerciali per via elettronica; (ii) l’omissione dell’informazione ai clienti della base giuridica per l’utilizzo dei loro dati personali e (iii) la mancata protezione dei dati personali dopo che le credenziali di 25.000 account, destinatari di un bonus da parte della società, non erano state archiviate in modo sicuro.
GUERNSEY – La ODPA, Autorità garante del Guernsey – isola alle dipendenza della Corona Britannica – ha recentemente pubblicato una guidasui trasferimenti internazionali di dati personali. Il documento, in particolare, evidenzia la necessità che, entro il 27 dicembre, tutte le organizzazioni locali si adeguino alle nuove Clausole Contrattuali Tipo al fine di assicurare che tutti i trasferimenti extra SEE avvengano secondo gli standard di sicurezza fissati dalla Commissione Europea.
ISRAELE – E’ stata avviata una consultazione pubblica sulla bozza di regolamento per la protezione dei dati personali nei trasferimenti dallo Spazio Economico Europeo (“SEE”), con l’obiettivo di stabilire istruzioni relative alle informazioni trasferite in Israele dal SEE, a seguito del processo di revisione dell’adeguatezza di Israele – attualmente in corso da parte della Commissione europea.
ARGENTINA – L’autorità argentina per la protezione dei dati (“AAIP”) ha annunciato, il 29 novembre 2022, che è stato istituito un modulo web per la registrazione dei Titolari del trattamento dei dati che non risiedono in Argentina. Il modulo è destinato a persone fisiche o giuridiche che trattano dati personali di soggetti interessati argentini, ma che non sono stabiliti nel territorio.
NIGERIA – La nigeriana National Information Technology Development Agency (NITDA) ha recentemente reso nota su Twitter una presunta violazione di dati personali da parte di#WhatsApp. Secondo le informazioni in possesso all’Autorità, sarebbero oltre 500 milioni numeri di telefono in tutto il mondo, 9 milioni dei quali riconducibili ad utenti nigeriani. A fronte di questa notizia, la NITDA sta raccomandando a tutti gli utenti di WhasApp di abilitare l’autenticazione a due fattori, di non condividere tramite l’app informazioni personali e di non rispondere a messaggi provenienti da contatti sconosciuti.
BELGIO – Pubblicato il report annuale dell’Autorità belga per la protezione dei dati, che ha definito il 2021 un anno record, con un aumento dell’87% delle richieste di consulenza in materia di privacy e del 181% i reclami e le richieste di riscontro, rispetto al 2020. La violazione dei dati legata alla vicenda Facebook-Meta nel 2021 ha contribuito alle alte cifre rilevate rispetto ai reclami, insieme al fattore della pandemia da Covid-19, che ha comportato decisioni relative all’applicazione delle norme in materia di privacy e alla pubblicazione di linee guida sul trattamento dei dati.
BRASILE – Il Brasile ha aderito il 1 dicembre alla Convenzione di Budapest sulla criminalità informatica, e altri sei Paesi (Croazia, Moldavia, Slovenia, Sri Lanka, Ucraina e Regno Unito) hanno firmato il secondo protocollo aggiuntivo alla Convenzione sulla cooperazione rafforzata e la divulgazione delle prove elettroniche.
https://projectin.legal/wp-content/uploads/2022/12/1670181234872.jpeg720960Miriam Pedruzzihttps://projectin.legal/wp-content/uploads/2023/05/Logo-esteso-chiaro-300x80.pngMiriam Pedruzzi2022-12-05 12:51:162022-12-19 15:29:41News #48: NIS-2 e norme UE in arrivo sulla interoperabilità nella PA; nuovi spunti sui data transfer verso gli USA; problemi per Meta e WhatsAppNews
Immagine di copertina di Rhett Lewis grazie a Unsplash.
MERCATI DIGITALI
TWITTER – Ha fatto notizia la nomina di un Data Protection Officer temporaneo dopo che tre dei più alti dirigenti del social network – tra cui il CISO, il Chief Compliance Officer e proprio il CPO/DPO – hanno dato le dimissioni: come tutto a Twitter, anche la funzione privacy al momento è “provvisoria”. E dopo aver visto i (catastrofici) risultati della fase beta del progetto di attribuzione – a pagamento, ma pur sempre indiscriminata – della famosa #spuntablu – strumento utilizzato nel mondo dei social network per garantire che l’utente sia “verificato”, cioè che corrisponde esattamente alla persona cui si riferisce -, #ElonMusk decide di rinviare al prossimo 29 novembre il lancio ufficiale dell’iniziativa “premium”. La questione si aggiunge ad una lista già abbastanza lunga di criticità che hanno caratterizzato la nuova era di Twitter, che infatti perde consensi (la rivale #Mastodon conta già 1,6 milioni di utenti attivi). Va segnalata, tuttavia, anche una “buona notizia”: il governo USA ha fatto sapere che – almeno per il momento – l’amministrazione Biden non ha intenzione di indagare sull’operazione di acquisto, nonostante dei 44 miliardi offerti da Musk, almeno 7,1 sarebbero stati finanziati da investitori provenienti dall’Arabia Saudita e dal Qatar: la questione potrebbe avere, infatti, implicazioni dal punto di vista della #sicurezzanazionale.
AMAZON – Secondo le indiscrezioni, anche #Amazon si starebbe preparando ad affrontare un’ondata di licenziamenti – proprio mentre il suo CEO, #JeffBezos, si impegna pubblicamente in grandiose campagne di beneficenza. Sebbene in termini percentuali il licenziamento coinvolgerebbe solo il 3% dei dipendenti – il New York Times parla di circa 10 mila posti di lavoro a rischio – il dato preoccupante riguarda, più in generale, il trend negativo che sta investendo l’occupazione nella Silicon Valley. Nel frattempo, Amazon deve affrontare in USA anche l’annuncio di una #classaction che l’Electronic Privacy Information Center (“EPIC”) ha intenzione di avviare nel distretto di Washington, in relazione a pratiche sleali e ingannevoli che sfrutterebbero l’impiego di Dark Pattern al fine di confondere e fuorviare i consumatori, inducendoli a rinnovare i loro abbonamenti Amazon Prime fuorviando gli utenti che desiderano terminarli.
GOOGLE – Mathew J. Platkin, procuratore generale del New Jersey, ha recentemente reso noto che, insieme ai procuratori generali di altri 40 stati americani, ha stipulato un accordo con #Google del valore di 391,5 milioni di dollari (il più grande accordo multi-stato in materia di privacy della storia americana). L’accordo si colloca all’esito di una indagine aperta qualche anno fa in seguito ad un articolo pubblicato dall’Associated Post, nel quale si accusava Google di registrare i movimenti (e dunque, raccogliere dati di localizzazione) dei consumatori anche quando gli stessi consumatori avevano, in realtà, negato il relativo consenso. Oltre al pagamento della cifra pattuita, Google si è anche impegnato tra le altre cose a (i) divulgare in modo più chiaro e trasparente le informazioni relative al tracciamento della posizione dei consumatori e (ii) creare una pagina ad hoc in cui gli utenti possono ottenere informazioni dettagliate sui dati di posizione raccolti.
PRIVACY
RICONOSCIMENTO FACCIALE E COMUNI ITALIANI – Il Garante per la protezione dei dati personali ha recentemente aperto un’istruttoria nei confronti di due comuni italiani per valutare e prevenire possibili violazioni connesse all’utilizzo di strumenti di #videosorveglianza. Nel mirino dell’Autorità sono finite iniziative (non attuate ma solo annunciate) dei comuni di Lecce e Arezzo relative, rispettivamente, all’utilizzo (i) di sistemi di #riconoscimentofacciale ( dunque,trattamento di dati biometrici – particolari ai sensi del GDPR) e (ii) di #superocchiali dotati di tecnologia ad #infrarossi, capaci di rilevare infrazioni stradali e validità dei documenti del guidatore dalla sola lettura di una targa. Spetta ora ai comuni presentare all’Autorità tutta la documentazione a supporto della liceità delle loro iniziative: nella giornata di domani pubblicheremo un #approfondimento su questa news, corredato dai dettagli delle due istruttorie.
PARERE EDPS SUL “EU MEDIA FREEDOM ACT” – Il 14 novembre 2022 l’European Data Protection Supervisor (“EDPS”) ha annunciato la pubblicazione del parere n. 24/2022 sulla proposta di regolamento che istituisce un quadro comune per i servizi di media nel mercato interno (“European Media Freedom Act”). L’EDPS ha accolto con favore gli obiettivi perseguiti nel progetto per proteggere la libertà, l’indipendenza e il pluralismo dei media in tutta l’Unione europea. L’EDPS ha raccomandato che il progetto di legge includa basi giuridiche esplicite e chiare, e preveda la cooperazione tra le pertinenti autorità di controllo dell’Unione europea, comprese le autorità garanti degli Stati membri, secondo le rispettive competenze.
PARERE EDPS CYBERSICUREZZA – Col parere n. 23/2022 l’EDPS, Garante Europeo, si è pronunciato su una proposta di regolamento in materia di requisiti di #cybersicurezza per i prodotti con elementi digitali. Pur esprimendosi favorevolmente nei confronti delle intenzioni e delle misure suggerite dal regolamento, l’EDPS non manca di sottolineare, tuttavia, l’importanza – in un’ottica di maggior tutela – deii principi di #PrivacybyDesign e #PrivacybyDefault (auspicando, dunque, per un loro inserimento).
SEGNALAZIONI TELEMARKETING AL GARANTE – E’ operativo il nuovo servizio #telematico per segnalare al Garante la ricezione di telefonate indesiderate, disponibile a questo link: esso sostituisce la modalità di segnalazione precedente, che avveniva tramite un – piuttosto desueto e scarsamente utilizzato – modulo #cartaceo.
VALUTAZIONE DEL RISCHIO INFORMATICO – La BCE (Banca Centrale Europea) ha di recente diffuso online una pubblicazione in materia di valutazione del #rischioinformatico dal titolo “Towards a framework for assessing systemic cyber risk” (“Verso un quadro per la valutazione del rischio informatico sistemico”). Il documento si sofferma, in particolare, sui possibili “effetti collaterali” che i rischi informatici – il cui numero è sempre crescente- possono generare in termini di stabilità dei sistemi finanziari.
F.A.Q. DATA SERVICES ACT – Si segnala che dallo scorso 14 novembre è disponibile online sul sito dell Commissione Europea la versione aggiornata delle domande e risposte più frequenti in materia di #DSA.
D. LGS. 231
COMPROMISSIONE DI UN SITO GIÀ INQUINATO – La Suprema Corte di Cassazione ha di recente affermato (nella sentenza n. 39759, consultabile gratuitamente per gli iscritti all’associazione AODV231) che non vale ad escludere il reato di #inquinamentoambientale (di cui all’452-bis c.p.) il fatto che un sito sia già compromesso a livello ambientale. Rigettando il corso, i giudici di piazza Cavour hanno fornito la loro interpretazione del concetto di “misurabilità” della compromissione inserito nella norma, chiarendo che (i) con tale termine il legislatore non si riferisce ad una procedura di “calcolo numerico degli effetti prodotti”, ma richiama l’astratta possibilità di valutare in termini quantitativa l’entità della compromissione e (ii) il fatto che un sito sia già inquinato non esclude che sia possibile causare un ulteriore aggravamento.
NEWS DAL MONDO
NORVEGIA – L’autorità garante norvegese per la protezione dei dati (“Datatilsynet”) ha rilasciato, il 14 novembre 2022, una dichiarazione mettendo in guardia chi si reca in Qatar per la #CoppadelMondo FIFA sull’installazione delle applicazioni “Hayya” ed “Ehteraz”. L’autorità garante si è preoccupata, in particolare, dell’ampio accesso ai dati personali richiesto dalle applicazioni, spiegando che non è chiaro cosa facciano effettivamente o per cosa potrebbero essere utilizzati i dati personali degli utenti.
REGNO UNITO – L’ICO, Autorità garante del Regno Unito, ha annunciato di aver reso disponibile online un aggiornamento della sua guida ai trasferimenti internazionali di dati al fine di includere una nuova sezione dedicata valutazioni sul rischio del trasferimento, nonché per aggiungere un nuovo strumento di valutazione, il #TRA (scaricabile gratuitamente in formato word sul sito dell’Autorità). Lo strumento – che vuole porsi come alternativa in materia all’approccio dell’EDPB – ai compone di sei domande (poche ma ben strutturate) e di tabelle e linee guida che aiutano le società a interpretare i risultati della valutazione.
FRANCIA (SANZIONE CNIL A DISCORD) – L’autorità garante francese (“CNIL”) ha sanzionato per 800.000 euro. DISCORD Inc. – piattaforma che fornisce un servizio per chattare tramite microfono e/o webcam su Internet e messaggistica istantanea, in cui gli utenti possono creare server, canali di testo, voce e video – ritenendo commesse le seguenti violazioni: (i) aver conservato i dati personali per un periodo eccessivo (ii) violazione del diritto di informazione sui tempi di conservazione (iii) violazione degli obblighi di privacy by default e (iv) mancanza di misure di sicurezza adeguate. Il comunicato della CNIL sulla decisione è disponibile a questo link.
ARGENTINA – L’Autorità argentina per la protezione dei dati (“AAIP”) ha pubblicato (i) un progetto di legge per l’aggiornamento della normativa sulla protezione dei dati personali, a seguito di una consultazione pubblica e (ii) un report sullo sviluppo del progetto, in cui si sottolinea che l’aggiornamento della legge è un passo decisivo per aumentare le garanzie necessarie per la protezione dei dati personali nella società dell’informazione, e per stabilire regole chiare per promuovere l’innovazione e lo sviluppo dell’economia in Argentina.
SPAGNA – L’autorità spagnola per la protezione dei dati personali (“AEPD”) ha inflitto una sanzione di 70.000 euro a una banca, successivamente ridotta a 48.000 euro, a seguito di un reclamo di un privato. Il ricorrente aveva richiesto un certificato di proprietà per proprio conto alla banca, ricevendo una copia di un contratto di terzi per un errore operativo. Il ricorrente ha prontamente informato la banca, ma continuava ad avere accesso al documento attraverso la chat di contatto. Nella sua decisione, l’AEPD ha tenuto conto che la banca ha, in seguito, eliminato l’accesso del cliente al fascicolo del contratto e che, sebbene la conversazione tra la banca e il ricorrente sia stata salvata, il collegamento al fascicolo è stato rimosso. La decisione dell’AEPD, in spagnolo, è disponibile a questo link.
TANZANIA – Il Parlamento della Tanzania ha recentemente approvato il disegno di legge in materia di protezione dei dati personali. Il documento mira a stabilire un livello minimo di protezione dei dati nelle fasi di raccolta e trattamento degli stessi, nonché alla creazione di una Commissione ad hoc per la loro protezione. Vengono in tal modo fissati i criteri in base ai quali le informazioni personali possono formare oggetto di divulgazione e/o trasferimento internazionale – recependo, peraltro, anche il concetto di #adeguatezza di matrice comunitaria. Tra le altre novità, anche la proposta della emanazione del Personal Information Protection Act 2022. In tema di sanzioni, il tetto massimo viene fissato 100 milioni (corrispondenti a poco più di 41 mila euro).
CALIFORNIA – Il tribunale distrettuale della California, a seguito di una class action, ha approvato un accordo da 90 milioni di dollari con Meta, e ha imposto un ordine di sequestro e cancellazione di tutti i dati raccolti impropriamente entro il 10 febbraio 2023. I ricorrenti hanno denunciato che Meta aveva consapevolmente intercettato e tracciato l’attività Internet degli utenti su pagine che mostravano un pulsante “Mi piace”, utilizzando i cookie. L’accordo è disponibile a questo link.
https://projectin.legal/wp-content/uploads/2022/11/46.jpeg7201080Miriam Pedruzzihttps://projectin.legal/wp-content/uploads/2023/05/Logo-esteso-chiaro-300x80.pngMiriam Pedruzzi2022-11-21 11:55:232022-11-22 16:56:02News #46: Twitter ha un nuovo DPO (provvisorio..); il Garante blocca il riconoscimento facciale per il 2023; le App della World Cup tracciano troppi dati..
DIGITAL MARKETS ACT – Con la sua entrata in vigore lo scorso 1 novembre, il DMA diventa ufficialmente legge. La nuova legge sui mercati digitali si prefigge l’obiettivo di porre fine alle pratiche sleali poste in essere da quelle aziende definite #gatekeeper – quelle cioè che, fungendo da punto di incontro tra utenti commerciali e consumatori, godono di una posizione privilegiata che, sostanzialmente, consente loro di “dettare le regole del gioco”, col rischio di compromettere il delicato l’equilibrio dell’economia digitale. Tre i criteri fissati dal DMA per qualificare un’impresa come gatekeeper: (i) le dimensioni in termini di fatturato, (ii) il numero di utenti finali raggiunti (45 milioni su base mensile o almeno 10 mila su base annua) e (iii) l’aver raggiunto una posizione consolidata e duratura, attraverso il raggiungimento degli obiettivi fissati dal secondo criterio per almeno tre anni. Nel mirino dell’UE rientrano quindi sicuramente le #bigtech americane – come Facebook, Google, Amazon – nei confronti delle quali l’UE fissa specifici obblighi e divieti. Il DMA comincerà ad essere applicato il 2 maggio 2023: da tale momento i potenziali gatekeeper avranno due mesi per comunicare alla Commissione i propri risultati al fine di consentire una loro corretta qualificazione ai fini delle nuove regole comunitarie.
CODICE DI CONDOTTA SIC – Lo scorso 4 novembre il Garante per la protezione dei dati personali ha comunicato sulle proprie pagine di aver definitivamente approvato il testo del #Codicedicondotta degli operatori del settore di informazione creditizia. Il Codice, che entrerà in vigore il giorno successivo alla sua pubblicazione in Gazzetta Ufficiale, va a definire un pacchetto di garanzie e tutele finalizzate ad assicurare il corretto funzionamento del mercato creditizio e finanziario, nel rispetto dei diritti degli interessati. In quest’ottica il Codice specifica, tra le altre cose, le tipologie di dati che possono formare oggetto di trattamento, i tempi di conservazione e le modalità con cui mantenere informati gli interessati. Il nuovo Organismo di Monitoraggio (#OdM) è stato investito del compito di vigilare sull’osservanza delle regole fissate dal Codice e di tutelare i consumatori in caso di problemi con i Sistemi di informazione creditizia: a tale organo dovrà essere proposto reclamo in caso di violazioni, ferma restando la possibilità di adire il Garante, per tutto quanto di sua competenza.
“AI ACT” – La presidenza ceca del Consiglio dell’Unione ha presentato agli altri paesi membri la versione finale del #AIACT, il nuovo strumento europeo finalizzato a regolamentare l’#intelligenzaartificiale in relazione al “rischio potenziale”, secondo quanto riporta Euractiv. Il testo, solo lievemente modificato rispetto alla precedente versione proposta qualche settimana fa, si sta dunque avviando verso l’approvazione definitiva da parte dei Ministri dell’UE, prevista per il prossimo 6 dicembre in occasione della riunione del Consiglio Telecomunicazioni.
AGGIORNAMENTO ISO – A fronte dei sempre più frequenti e sofisticati attacchi informatici e nell’ottica di una migliore gestione della sicurezza delle informazioni, l’Organizzazione Internazionale per la Standardizzazione (ISO) ha recentemente annunciato di aver rilasciato una nuova versione della sua ISO/IEC 27001.
D.LGS. 231
RINVIATA LA RIFORMA CARTABIA – Nel Consiglio dei Ministri del 31 ottobre il Governo ha approvato il D.L. 162/2022, con cui è stata posticipata l’entrata in vigore del D.Lgs. 150/2022 recante norme per l’efficienza del processo penale, nonché in materia di giustizia riparativa e disposizioni per la celere definizione dei procedimenti giudiziari. La riforma, pubblicata in Gazzetta Ufficiale lo scorso 17 ottobre, sarebbe dovuta entrare in vigore il 1° novembre, modificando il termine per la pubblica accusa per richiedere il decreto penale di condanna nei confronti dell’ente. Il D.L. 162/2022 ha invece rinviato di due mesi la data di efficacia delle modifiche, fissandola – al momento – al prossimo 30 dicembre.
REATI COLPOSI – E’ stata pubblicata la sentenza della Cassazione n. 39615/2022 sui reati colposi in materia 231, a seguito del ricorso presentato da una società, condannata sia in appello che in primo grado, per lesioni colpose patite da un proprio dipendente, rimasto schiacciato nel 2008 durante lavori all’interno di un silos. Per quanto riguarda la #colpa di #organizzazione, in primo luogo, essa deve essere specificamente provata in giudizio, avendo riguardo (i) al concreto assetto organizzativo adottato dall’impresa in tema di prevenzione e (ii) al nesso causale tra la carenza organizzativa e il verificarsi del reato presupposto. La sentenza dei giudici di legittimità, inoltre, ripercorre e sintetizza l’evoluzione giurisprudenziale in materia di norme sulla sicurezza sul lavoro in ambito 231, ponendo l’attenzione su (i) il c.d. criterio di #compatibilità, in virtù del quale, per potersi apprezzare l’interesse o il vantaggio dell’Ente, va effettuata una valutazione rispetto alla condotta e non all’evento; (ii) sulla #natura#soggettiva del criterio dell’interesse, dato che esso rappresenta l’intento del reo di procurare un beneficio all’ente mediante la commissione del reato, tale valutazione va fatta solo a priori; (iii) sul #vantaggio, che è un criterio oggettivo, da analizzare a posteriori perché legato all’effettiva realizzazione di un profitto in capo all’ente come conseguenza della commissione del reato.
DIRETTIVA PIF – È entrato ufficialmente in vigore ieri il D. Lgs. 156/2022 – pubblicato in Gazzetta Ufficiale lo scorso 22 ottobre, recante “Disposizioni correttive e integrative del decreto legislativo 14 luglio 2020, n.75, di attuazione della direttiva (UE) 2017/1371, relativa alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale” – c.d. #correttivoPIF. Con i suoi sei articoli, il Decreto apporta modifiche a reati quali, tra gli altri, quelli #tributari previsti dall’art. 25-quinquiesdecies del D. Lgs. 231/2001.
COMMISSARIAMENTO E PATTEGGIAMENTO – Una società indagata per corruzione può, comunque, accedere all’applicazione della pena su richiesta delle parti (“patteggiamento”): lo ha affermato la Cassazione con la sentenza n. 40563/2022, stabilendo che il commissariamento non può essere inserito tra le sanzioni amministrative applicabili, ma rappresenta una misura diversa che non impedisce di patteggiare.
MERCATI DIGITALI
TRUFFE VIA SMS – Sono state segnalate dalla Consob, da ultimo con la comunicazione del 31 ottobre, numerose truffe via SMS, che fanno indebitamente leva sulla notorietà del marchio #Amazon per estorcere ai risparmiatori denaro o dati personali, e prospettano opportunità di guadagno irrealistiche legate al presunto acquisto di azioni della piattaforma e-commerce. La Consob precisa che le truffe, non realmente riconducibili ad Amazon, risultano finalizzate all’acquisizione di dati personali e/o somme di denaro degli utenti. Amazon stessa conferma l’accaduto, e precisa che le comunicazioni via e-mail, sms o telefono da parte di Amazon non includono mai richieste di informazioni personali e/o proposte di investimenti finanziari finalizzati ad opportunità di guadagno.
MULTA A MEDIAWORLD PER PRATICHE COMMERCIALI INGANNEVOLI – L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha sanzionato Mediaworld per aver messo in atto una prassi commerciale nei confronti di prodotti IT particolarmente desiderati dai consumatori (smartphone, pc, iPad, playstation, smart tv) che, in media, presentano un prezzo non irrisorio e che vengono di frequente esposti al pubblico in “offerta”. Secondo l’AGCM, infatti, nei volantini e nei cartelli in negozio la società ha utilizzato modalità ingannevoli per promuovere tali prodotti, spesso presentati come in promozione e invece abbinati e venduti insieme ad un prodotto accessorio, facendo pagare così al consumatore un prezzo superiore e diverso rispetto a quello pubblicizzato.
TWITTER SAGA – Dopo i vertici societari, tocca a dipendenti: #Musk continua a licenziare. Dai dati disponibili online pare che ad essere colpiti dalla nuova mossa di Mr. Tesla sarebbero oltre 3 mila persone (ben il 50% dei dipendenti!). A colpire non è solamente il merito della scelta – che, secondo Musk, sarebbe “obbligata” a fronte delle perdite che stanno investendo la società – quanto, soprattutto, le modalità di comunicazione prescelte. È stata infatti una semplice e-mail a comunicare ai dipendenti le sorti della loro permanenza in #Twitter. I lavoratori licenziati non hanno comunque aspettato a fare la loro mossa: una class action è già stata presentata al Tribunale Federale di San Francisco per violazione della legge californiana in materia di licenziamento (in spregio all’obbligo di preavviso di licenziamento fissato a 60 giorni, Twitter ha, immediatamente dopo la comunicazione, bloccato gli account dei dipendenti coinvolti). La gestione del caos con i dipendenti si aggiunge, per altro, alla delicata questione dei rapporti della società con i suoi investitori, molti dei quali – come L’Oreal e Volkswagen – cominciano ad abbandonare la nave.
DATA ACT – E’ stato pubblicato il report dell’European Telecommunications Network Operators (“ETNO”) sul #impatto del Data Act – la proposta di regolamento relativo a norme armonizzate in materia di accesso equo ai dati e di loro uso – sugli operatori di telecomunicazioni europee. Lo studio #analizza come le nuove regole proposte influenzeranno i modelli di business, sia quelli già esistenti che quelli emergenti, nei mercati B2B, B2C, business-to-government (“B2G”), cloud e edge computing. Le fonti di dati per realizzare lo studio sono state raccolte attraverso un sondaggio e varie interviste.
NEWS DAL MONDO
UK GDPR vs. UE GDPR – Dal 2 al 4 novembre alcuni eurodeputati membri della LIBE (Commissione per le libertà civili) sono volati a Londra per discutere con alcune importanti figure britanniche (tra cui funzionari di governo e membri delle Camere) delle possibili conseguenze della riforma in materia di protezione dei dati personali. In particolare, la missione esplorativa consentirà all’Unione di valutare l’effettiva adeguatezza dell’UK alla luce del GDPR e del LED (direttiva in materia di trattamento dei dati personali da parte delle autorità competenti per finalità di prevenzione, investigazione e repressione di reati).
GIAPPONE – Il Paese punta a un deciso rafforzamento della propria unità di difesa informatica: secondo quanto reso noto in un comunicato del ministero della Difesa, Tokyo rinforzerà notevolmente il proprio organico di esperti in materia di cybersecurity, puntando a contare anche su più di cinquemila addetti militari specializzati, entro il 2027.
SPAGNA – L’Autorità garante spagnola, AEPD, si è recentemente pronunciata nei confronti di una società per il trattamento di dati personali di soggetti minori (infraquattordicenni) in violazione delle disposizioni #GDPR nonché della legge locale in materia di servizi della società dell’informazione e del commercio elettronico (LSS). Dai rilievi dell’Autorità sarebbe in particolare emerso, tra le altre cose, che la Società (i) raccoglieva dati personali in assenza di consenso, (ii) procedeva a conservarli senza prevedere un idoneo tempo di conservazione, (iii) forniva le informazioni di trattamento esclusivamente in inglese (lingua non ufficiale del Paese e, in quanto tale, di non facile comprensione per la gran parte degli utenti). Inoltre, in violazione dell’art. 8 del Regolamento, le pagine web della società risultavano sforniti dei meccanismi idonei a raccogliere il consenso dei genitori o tutori dei minori. Alla luce di tali gravi violazioni, l’AEPD ha irrogato alla società una importante sanzione, di oltre mezzo milione di euro.
INDIA – Pubblicate nella Gazzetta Ufficiale le nuove modifiche alle norme sugli intermediari IT, che puntano a rafforzare i requisiti di due diligence e a garantire la responsabilità dei social media e di altri intermediari online.
USA – Il 31 ottobre la Cybersecurity and Infrastructure Security Agency (“CISA”) ha pubblicato due schede che illustrano le minacce contro i sistemi che utilizzano l’autenticazione a più fattori (“MFA”). La CISA ha esortato tutte le organizzazioni a implementare l’autenticazione multifattoriale resistente al phishing o la corrispondenza dei numeri come misura di mitigazione provvisoria.
UCRAINA – È stato presentato al Parlamento ucraino un progetto di legge sulla protezione dei dati, volto a disciplinare il trattamento dei dati personali, nonché di altri tipi di dati, comprese le informazioni biometriche. La legge si rende necessaria soprattutto in quanto la legislazione attuale non garantisce pienamente la protezione dei dati personali in Ucraina, alla luce dello sviluppo degli standard internazionali in questo settore.
https://projectin.legal/wp-content/uploads/2022/11/1667773005439.jpeg7201080Miriam Pedruzzihttps://projectin.legal/wp-content/uploads/2023/05/Logo-esteso-chiaro-300x80.pngMiriam Pedruzzi2022-11-07 17:42:222022-11-11 10:24:30News #44: il Data Markets Act è legge (e il 2 maggio 2023 sarà applicabile); colpa di organizzazione e modello 231 per la Cassazione; TwitterSaga, again..
Integriamo la scheda pubblicata in precedenza con quella, redatta in collaborazione con RG Avvocati, riguardante gli aspetti prettamente lavoristici – non pochi e per nulla banali – di novità del Decreto appena approvato, in vigore dal prossimo 13 agosto.
https://projectin.legal/wp-content/uploads/2021/09/lycs-architecture-U2BI3GMnSSE-unsplash-scaled.jpg17082560Alberto Scirèhttps://projectin.legal/wp-content/uploads/2023/05/Logo-esteso-chiaro-300x80.pngAlberto Scirè2022-08-04 12:08:462022-08-04 12:08:46Decreto “Trasparenza” / 2: gli aspetti di diritto del lavoro
Il prossimo 13 agosto entrerà a tutti gli effetti in vigore, senza la previsione di alcun periodo di transizione, il nuovo D.Lgs. 104/2022 (cd. Decreto Trasparenza).
Il Decreto, emanato per recepire all’interno dell’ordinamento italiano la Direttiva Europea 2019/1152 (cd. Direttiva trasparenza) reca importanti novità in materia di obblighi – soprattutto infornativi ed integrativi – del datore di lavoro. Tali obblighi dovranno essere assolti, con riferimento ai nuovi assunti, al momento dell’instaurazione del rapporto di lavoro e comunque prima dell’inizio dell’attività lavorativa, mediante la consegna del contratto di lavoro redatto per iscritto o, in alternativa, della copia della comunicazione di instaurazione del rapporto di lavoro.
La finalità perseguita – prima a livello comunitario e poi interno – è quella di migrare verso forme di lavoro più trasparenti e prevedibili: in quest’ottica, la previsione di nuovi oneri in capo al datore di lavoro si configura come lo strumento operativo necessario al raggiungimento delle finalità sancite dalla normativa.
Le nuove disposizioni si applicano ad una vasta gamma di tipologie contrattuali (a titolo esemplificativo e non esaustivo, contratti di lavoro subordinato, somministrato, contratti di lavoro intermittente e co.co.co.) e, come già accennato, prevedono un aumento degli oneri posti in capo al soggetto qualificato, nell’ambito del rapporto, come datore di lavoro. Tali oneri possono sostanzialmente suddividersi in due categorie.
Da un lato vengono innanzitutto stabiliti obblighi di comunicazione inerenti al rapporto di lavoro, che impongo al datore di lavoro di comunicare – modo chiaro e trasparente e con modalità cartacea o digitale – informazioni quali, tra le altre, l’identità delle parti e il luogo di lavoro, la durata delle ferie e i modi per esercitare il diritto di recesso
Dall’altro lato, vengono introdotte novità anche in materia di tutela delle informazioni e dei dati personali relativi ai lavoratori.
Da questo punto di vista, il datore di lavoro sarà tenuto a:
informare il lavoratore circa l’utilizzo di sistemi decisionali o di monitoraggio automatizzati in grado di incidere sul rapporto di lavoro;
integrare l’informativa, qualora già resa in precedenza, con tutte le istruzioni di sicurezza relative all’utilizzo di tali sistemi atomizzati.
Di notevole importanza anche la previsione di specifiche misure di tutela. In particolare:
la possibilità di ricorrere a strumenti più agevoli e rapidi per la risoluzione di controversie insorte tra le parti;
la previsione di una sanzione per comportamenti ritorsivi che il datore di lavoro ponga eventualmente in essere, come conseguenza dell’avvio di un procedimento, anche non giudiziario, da parte del lavoratore;
la previsione di una tutela contro il licenziamento o altro comportamento ritorsivo posto eventualmente in essere dal datore di lavoro in conseguenza dell’esercizio, da parte del lavoratore, dei diritti stabiliti nel decreto trasparenza e nel D.Lgs. 152/1997.
Di seguito la nostra scheda riassuntiva dettagliata, relativa all’ambito privacy, a cui seguirà una ulteriore scheda in ambito lavoristico redatta in collaborazione con lo studio RG Avvocati.
https://projectin.legal/wp-content/uploads/2022/08/cytonn-photography-GJao3ZTX9gU-unsplash-scaled.jpg17092560Francesca Di Bellohttps://projectin.legal/wp-content/uploads/2023/05/Logo-esteso-chiaro-300x80.pngFrancesca Di Bello2022-08-03 19:44:042022-08-04 12:09:10Decreto “Trasparenza”/ 1: implicazioni privacy delle novità
Il prossimo 31 agosto la versione “emergenziale” dello smart working cesserà.
Con la fine del periodo emergenziale tramonterà anche il periodo “di favore” concesso alle aziende private allo scopo di fornire un accesso allo smart working – o, abbandonando ogni inglesismo, al cd. “lavoro agile” – semplificato dal punto di vista procedurale.
Nel corso degli ultimi due anni, infatti, l’accesso a tale modalità di lavoro è avvenuta attraverso un iter estremamente celere e scorrevole, rivelandosi sufficiente l’invio al Ministero del Lavoro e delle Politiche Sociali di apposito modulo contenente l’elencazione di tutti i lavoratori dell’azienda coinvolti nel passaggio di modalità.
Quindi, dal 1° settembre 2022 toneranno in vigore le regole dettate dalla legge n. 81/2017, integrate da quanto in ultimo stabilito dal “Protocollo nazionale sul lavoro in lavoro agile” del 7 dicembre 2021.
Tuttavia, alla luce dell’imminente cambio di normativa, ci sembra opportuno rispolverarne i passaggi fondamentali.
Nell’ultimo paragrafo, invece, trovate le attività concrete e operative da effettuare prima del 31 agosto, al fine di continuare ad accedere al “lavoro agile” correttamente.
Legge 81/2017
La legge 22 maggio 2017, n. 81 reca – al capo II e con l’obiettivo di bilanciare le esigenze private e professionali del lavoratore – disposizioni in materia di lavoro agile, per tale intendendosi una modalità di lavoro flessibile, caratterizzata dall’assenza di particolari vincoli in termini di luogo e di orari di lavoro.
Rispetto alla procedura semplificata di matrice emergenziale, la legge sul lavoro agile risulta sicuramente più rigida e vincolante: la comunicazione complessiva dei nominativi sarà soppiantata dalla sottoscrizione di un accordo individuale con ciascuno dei lavoratori coinvolti.
Vincoli vengono poi imposti al datore di lavoro anche per quanto riguarda il contenuto di tale accordo.
Dovrà infatti figurare nel testo:
la previsione di tempi di riposo del lavoratore e diritto alla sua disconnessione (art. 19);
la previsione del diritto recesso dall’accordo (art. 19, secondo comma);
una garanzia di un trattamento economico e normativo non inferiore a quello applicato ai colleghi che eseguono le mansioni in modalità ordinaria (art. 20);
la disciplina poteri di controllo del datore di lavoro ex art.4 Statuto dei lavoratori (art.21).
Il datore di lavoro, inoltre, deve inoltre fornire al lavoratore agile una informativa scritta per la sicurezza, una tutela contro gli infortuni sul lavoro e le malattie professionali per rischi connessi alla prestazione lavorativa resa all’esterno dell’azienda, nonché una tutela contro gli infortuni sul lavoro occorsi durante il normale percorso di andata e ritorno dal luogo di abitazione a quello prescelto.
Protocollo Nazionale sul Lavoro Agile
Ad integrare la normativa è intervenuto, lo scorso 7 dicembre, il Protocollo nazionale sul lavoro agile, dettando regole e vincoli ulteriori.
Innanzitutto, vengono individuate informazioni aggiuntive da inserire nell’accordo di cui alla legge n.81/2017. Tra queste figurano, tra le altre, la durata dell’accordo e i luoghi eventualmente esclusi ai fini della prestazione lavorativa, l’alternanza con periodi di lavoro in sede e gli strumenti di lavoro, nonché i tempi di riposo e le forme di esercizio dei diritti sindacali.
Ribadisce inoltre gli elementi caratterizzanti il lavoro agile:
l’assenza di un preciso orario di lavoro (art.3);
il rispetto della normativa relativa alla protezione dei dati personali (art.12);
la libertà del lavoratore di scegliere il luogo in cui svolgere la prestazione lavorativa (art.4);
la fornitura, di regola, da parte del datore di lavoro di tutta la strumentazione tecnologica e informatica necessaria allo svolgimento della prestazione lavorativa (art.5);
Suggerimenti operativi
Per un passaggio lineare allo smart working – o per un suo mantenimento, laddove sia attualmente attivo –, un primo aspetto da tenere ben in conto attiene alla comunicazione: è difatti importantissimo avvisare i lavoratori di tale possibilità, preferibilmente attraverso l’organizzazione di incontri di approfondimento, finalizzati anche a comprendere, tra le altre cose, le preferenze e le disponibilità per quanto riguarda la il numero di giornate lavorative da destinarsi all’una o all’altra modalità di lavoro.
Allo stesso modo, particolare attenzione va riservata alla gestione della contrattazione individuale. Ogni lavoratore è difatti portatore di esigenze e desideri diversi, che diversamente impattano sulla buona riuscita del progetto.
Dovranno pertanto essere attentamente analizzati i bisogni di ciascun lavoratore, in modo tale da garantire che l’obiettivo fissato dal Legislatore – bilanciamento vita privata/lavoro, ma anche incremento della produttività – venga efficacemente raggiunto.
Alla luce di quanto detto, appare evidente che gli aspetti da tenere in conto sono numerosi e diversi, che non si limitano al solo ambito della normativa lavoristica ma ricomprendono anche aspetti privacy e sicurezza sul lavoro.
Al di là dei singoli accordi individuali, è consigliato – anzi, quasi necessario – stilare un regolamento interno che riporti le logiche aziendali poste alla base dell’organizzazione dello smart working nonché predisporre e/o revisionare il regolamento d’uso degli strumenti aziendali e il codice disciplinare.
Per questa ragione, il suggerimento è quello di coinvolgere, sempre e sin dall’inizio, tutti i consulenti e i referenti aziendali di volta in volta interessati dall’innovazione o cambiamento, in modo tale staccarsi sempre più dal concetto di “emergenza”, rendendo sempre più “normale” il ricorso a questa forma agile di lavoro.
https://projectin.legal/wp-content/uploads/2022/07/austin-distel-gUIJ0YszPig-unsplash-scaled.jpg17072560Francesca Di Bellohttps://projectin.legal/wp-content/uploads/2023/05/Logo-esteso-chiaro-300x80.pngFrancesca Di Bello2022-07-20 19:50:002022-08-04 12:10:41Novità in materia Smart Working: il 31 agosto (al momento) è la data.
