Articoli

News #47: importante sanzione AGCM per chiamate indesiderate; diritto all’oblio valido in tutto il mondo; arrivano i regolamenti DORA e CHIPS

Immagine di copertina di Ash Edmonds grazie a Unsplash

MERCATI DIGITALI

AGCM vs ENEL ENERGIA – L’Autorità Garante della Concorrenza e del Mercato (AGCM) ha recentemente annunciato di aver sanzionato Enel Energia e le sue agenzie partner per un totale di oltre 5 milioni di euro. Il provvedimento si ricollega alla constatata natura ingannevole delle pratiche commerciali operate nella vendita di servizi energetici effettuate mediante servizi di segreteria telefonica automatizzata al fine di indurre i consumatori –  anche quelli che non avevano prestato un preventivo consenso alla telefonate di marketing – a stipulare contratti con la società. Più in particolare, la voce pre-registrata avrebbe diffuso false notizie circa la data prevista per la cessazione del cd. #mercatotutelato (fissata al 10 gennaio 2024 ma spacciata come “imminente”).  La natura ingannevole e l’insistenza delle telefonate hanno permesso all’Autorità di qualificare le pratiche commerciali come #aggressive e #scorrette.

TWITTER/1 – Ancora una settimana interessante per quanto riguarda la “nuova era Musk” di #Twitter.  All’esito di un sondaggio condotto sulla piattaforma, #DonaldTrump –  espulso dal social nel gennaio 2021, a seguito dei suoi tweet a sostegno dell’attacco a Capitol Hill –  è stato riammesso. Per dare il “bentornato” all’ex @potus – account ufficiale del “President of the United States” – #Musk ha deciso di pubblicare (senza permesso) una tavola di  #MiloManara,  ironizzando sulle capacità di Trump di non cadere nella “tentazione” di usare il social. La reazione del fumettista italiano non è tardata  ad arrivare: l’artista ha affermato sulle proprie pagine social (scrivendo, provocatoriamente, anche in inglese) l’intenzione di far causa a Musk per 44 miliardi così da poter comprare a sua volta Twitter.;

TWITTER/2 – Dopo l’ondata di licenziamenti che ha colpito oltre la metà dei dipendenti della società, Twitter procede ad una assunzione che fa (altrettanto) notizia. Per i prossimi tre mesi, infatti, lavorerà alle funzionalità della piattaforma George “geohot” Hotz, hacker famosissimo a livello mondiale anche per aver collaborato con le big Google e Facebook. Nel frattempo si segnala che il lancio dell’iniziativa “premium” (prevista per il 29 novembre) è stata nuovamente rinviata, stavolta a data da destinarsi.

META SOSPENDE “GALACTICA” – Meta ha sospeso “Galactica”, piattaforma AI language-based descritta come in grado di memorizzare, combinare e ragionare sulla conoscenza scientifica, riassumendo articoli, risolvendo equazioni ed eseguendo una serie di altri compiti. Scienziati ed accademici hanno presto rilevato, invece, che l’intelligenza artificiale genera una grande disinformazione, anche attraverso la citazione di autori di articoli scientifici che non esistono. Secondo gli esperti del Max Planck Institute of Intelligent Systems, Galactica avrebbe creato false citazioni attribuendole a ricercatori del mondo reale. Inoltre la piattaforma distingue fake news da evidenze scientifiche, tanto da risultare pericolosa nella diffusione di contenuti di vario tipo.

DORA (DIGITAL OPERATIONAL RESILIENCE ACT) – Il Parlamento europeo ha approvato il contenuto del Regolamento “DORA” (Digital Operational Resilience Act), riguardante la resilienza operativa digitale per il settore finanziario. Lo spirito del regolamento è promuovere la resilienza operativa, costruire modelli operativi solidi ed efficaci per offrire tutele ai consumatori e costruire una solida struttura del settore finanziario, innovato profondamente da digitalizzazione e sistemi informatici, attraverso intermediari che offrono i loro servizi online.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY & CYBERSECURITY

IL DIRITTO ALL’OBLIO VALE IN TUTTO IL MONDO – Con una recentissima pronuncia (ordinanza n. 34658, pubblicata lo scorso 24 novembre) la Suprema Corte di Cassazione si è pronunciata in materia di #dirittoalloblio. Accogliendo il ricorso proposto dal #Garante contro #Google (relativo alla diffusione, da parte del colosso di Mountain View, di informazioni inerenti ad una vicenda giudiziaria di natura penale – conclusasi con l’archiviazione – che ha coinvolto un manager italiano), gli Ermellini hanno stabilito che il diritto a non veder diffuse informazioni pregiudizievoli sul proprio conto deve essere esteso a tutte le piattaforme della società, anche quelle extraeuropee (il manager, infatti, risulta residente a Dubai). La decisione sconfessa dunque la ricostruzione fatta dal Tribunale di Milano, che aveva sostenuto la non extraterritorialità della legge italiana e dei provvedimenti della Garante per la protezione dei dati personali. A fondamento delle proprie ragioni, i giudici di piazza Cavour hanno richiamato la sentenza “Cnil” (resa dalla Corte di Giustizia dell’Unione il 24 settembre 2019) secondo la quale le autorità giudiziarie e di controllo devono in questi casi (i) procedere, innanzitutto, ad un bilanciamento tra #dirittodicronaca e diritto degli interessati a veder tutelata la propria sfera privata e (ii) richiedere ai gestori dei motori di ricerca di effettuare una #deindicizzazione dei contenuti su tutte le sue versioni. Lo standard valutativo per effettuare il bilanciamento – aggiunge in chiusura la Cassazione – deve essere quello proprio del diritto europeo o interno.

CENTRI UE PER LA SICUREZZA INFORMATICA – Come annunciato nella strategia europea del 2020 per la cybersicurezza, la Commissione europea e il Centro europeo di competenza sulla cybersicurezza (“ECCC”) hanno pubblicato un invito a selezionare gli enti che ospiteranno e gestiranno le piattaforme transfrontaliere per il rilevamento delle minacce informatiche negli Stati membri. All’interno degli organismi  collaboreranno enti pubblici competenti di diversi Stati membri insieme a soggetti privati. I centri operativi per la sicurezza transfrontaliera acquisteranno e utilizzeranno strumenti e servizi di individuazione delle minacce informatiche.

INFORMATIVE PRIVACY E INCLUSIVITA’ –  Il Gruppo di Lavoro per l’agevolazione dell’esercizio dei diritti dell’interessato di Federprivacy ha condotto una ricerca su un campione di 400 siti web in lingua italiana di settori diversi, verificando il livello di accessibilità delle informazioni presenti agli utenti con disabilità o limitazioni di altra natura. Nonostante la maggioranza dei siti esaminati abbia aggiornato la propria informativa, i risultati dal punto di vista dell’inclusività possono essere ampiamente migliorati, anche alla luce della recente strategia europea per le garanzie dei diritti umani delle persone svantaggiate, che dovrebbero comunque vedere rispettati i loro diritti sulla privacy. A questo fine, il Gruppo di Lavoro di Federprivacy ha preparato un vademecum per supportare gli enti pubblici e privati a redigere informative accessibili e inclusive.

CHIPS ACT – Gli Stati membri dell’UE hanno raggiunto un accordo, guidati dalla presidenza ceca nella sede del Consiglio, sulla legge europea sui semiconduttori (“Chips Act”). L’apposizione del sigillo da parte del Consiglio dell’Unione europea è fissata per il prossimo 1 dicembre, mentre è prevista per il prossimo anno l’approvazione del testo definitivo, a seguito di dibattito nel Parlamento europeo. Il Chips Act ha l’obiettivo di (i) rilanciare un settore ad alta innovazione dell’industria dell’Unione europea e (ii) allentare la dipendenza dai fornitori di semiconduttori di Stati Uniti e Asia, rendendo la catena di approvvigionamento più affidabile e resistente agli shock.

GUIDA ICO SUI TRASFERIMENTI INTERNAZIONALI – L’Information Commissioner’s Office (“ICO”) del Regno Unito ha pubblicato una guida sui trasferimenti internazionali (“TRA”, cioè “Transfer Risk Assessment”) che include uno strumento di sei domande utili per effettuare una valutazione sui trasferimenti internazionali. Le domande riguardano (i) le circostanze specifiche del trasferimento, (ii) il livello di rischio per i soggetti interessati in base ai dati personali trasferiti, (iii) la ragionevolezza e la proporzionalità del trattamento, (iv) rischi di violazione dei diritti umani (v) l’azionabilità del meccanismo di cui all’art. 46 UK GDPR (“garanzie adeguate”), (vi) dati con rischio significativo.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

CONTRASTO ALLA PROPAGANDA NAZIFASCISTA – Lo scorso ottobre sono state presentate in Parlamento due proposte di legge volte a emendare l’art. 604-bis c.p. ( rubricato “Propaganda e istigazione a delinquere per motivi di discriminazione razziale etnica e religiosa”) anche al fine di un suo inserimento nel novero dei reati-presupposto previsti dal #Decreto231. L’intento del legislatore sarebbe quello di includere all’interno della fattispecie la propaganda dell’ideologia nazifascista. La nuova fattispecie andrebbe dunque ad inserirsi nel già esistente articolo 25-terdecies (che attualmente trova il proprio fondamento esclusivamente nella legge n.654/1975, relativa alla eliminazione di tutte le forme di #discriminazionerazziale).

NOMINA DIFENSORE DELL’ENTE – I modelli di organizzazione, gestione e controllo (#MOGC) devono prevedere indicazioni specifiche per la nomina del difensore della società per tutti quei casi – chiaramente da scongiurare – in cui il rappresentante legale risulti indagato per uno dei reati-presupposto previsti dalla normativa #231. È quanto stabilito dalla Suprema Corte di Cassazione (con sentenza n. 35387, consultabile gratuitamente per gli iscritti all’associazione AODV231) al fine di assicurare alla società una difesa svincolata dal rischio di eventuali #conflittodiinteresse rispetto alle indagini a carico del rappresentante legale.

SUPERBONUS – Con sentenza n. 42012 (consultabile gratuitamente per gli iscritti all’associazione Aodv) la Corte di Cassazione ha affrontato la questione della rilevanza, dal punto di vista della responsabilità 231, dello sconto in fattura o cessione del credito nell’ambito delle ristrutturazioni agevolate dal #superbonus #110%. In particolare, secondo i giudici di piazza Cavour, la fatturazione in acconto di lavori non ancora eseguiti (o completati soltanto parzialmente) integra il reato di emissione di fatture per operazioni inesistenti: i crediti di imposta – idonei all’utilizzo a fini fiscali – sarebbero nella realtà assolutamente inesistenti.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

ROMANIA – L’Autorità nazionale di vigilanza per il trattamento dei dati personali rumena (“ANSPDCP”) ha sanzionato per 20.000 euro una banca locale per un incidente di sicurezza, che ha comportato la divulgazione e l’accesso ai dati personali dei clienti della banca senza previa autorizzazione. Nella decisione si legge, in particolare, che la banca non aveva posto in essere misure tecniche e organizzative adeguate per garantire la sicurezza dei diritti e delle libertà delle persone fisiche.

USA/1 – Un gruppo di Procuratori Generali di vari stati U.S.A. (tra gli altri, quelli di California e Massachusetts) ha di recente inviato una lettera ad #Apple per esprimere le proprie raccomandazioni (e preoccupazioni) affinché questa si metta in moto per garantire che le app terze presenti sull’ App Store agiscano nel rispetto degli standard privacy necessari per assicurare un adeguato livello di garanzia per i diritti degli interessati interessati (soprattutto quando in gioco c’è la raccolta di dati inerenti alla salute riproduttiva). In particolare, i Procuratori Generali hanno intimato ad Apple di chiedere agli sviluppatori delle varie app di garantire l’adozione di misure di tutela, tra cui l’eliminazione dei dati non necessari per l’utilizzo dell’app.

USA/2 – Il “National Do Not Call Registry” (anche “DNC Registry”) è lo strumento che – al pari del nostro Registro delle Opposizioni – consente ai consumatori statunitensi di inserire il proprio numero di telefono all’interno di una lista di contatti che non gradisce ricevere telefonate di #marketing. Una volta in lista, ogni telefonata molesta può essere segnalata direttamente alla Federal Trade Commission (FTC). Lo scorso 21 novembre la FTC – come ogni anno, da 14 anni – ha rilasciato il “National Do Not Call Registry Data Book”, documento che fornisce un resoconto dei reclami promossi dai consumatori iscritti al DNC Registry contro le chiamate di telemarketing ricevute nel corso dell’anno. Secondo i risultati condivisi, nel corso del 2022 sarebbero stati oltre 3 milioni i reclami presentati e oltre 2,5 milioni i consumatori di nuova iscrizione. 

ESTONIA – L’Autorità garante estone ha gestito tre reclami riguardanti lo stesso Titolare del trattamento, contestando loro di non aver risposto adeguatamente alle richieste del soggetto interessato e affermando che la richiesta di un documento d’identità a fini di verifica è accettabile se sussiste un ragionevole dubbio sull’identità dell’interessato. L’Autorità garante ha posto l’attenzione sul fatto che, ai sensi dell’articolo 5, paragrafo 1, lettera a), del GDPR , i dati devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato, e ai soggetti interessati non devono essere fornite informazioni fuorvianti in merito al trattamento dei dati. Ne parla anche GDPRHub, qui.

GERMANIA – Il Tribunale del lavoro di Heilbronn ha dichiarato invalida la risoluzione del contratto di lavoro di un DPO senza preavviso, a causa delle tutele garantite dalla legge tedesca sulla protezione dei dati (Bundesdatenschutzgesetz, “BDSG”) e della mancanza di prove di una concreta violazione dei doveri del DPO. Il tribunale ha dichiarato nullo il licenziamento del DPO, in quanto non sono stati riscontrati motivi ragionevoli per giustificare il licenziamento. La giustificazione della risoluzione del rapporto di lavoro si basava esclusivamente sull’incapacità del DPO di adempiere alle proprie responsabilità, in contrasto con la BDSG, che richiede una concreta violazione dei doveri del DPO, della quale deve essere data prova.

UK E COREA DEL SUD – Il Dipartimento per il digitale, la cultura i media e lo sport (DCMS) del Regno Unito ha recentemente annunciato di aver preso la decisione di stipulare un accordo di adeguatezza (il primo da “solista”, dopo l’uscita dall’UE) per il trasferimento dei dati personali con la Corea del Sud, ai sensi dell’art. 45 dell’UK GDPR. La decisione è stata presa a seguito di un iter di valutazione, al termine del quale è stato possibile affermare che – in virtù di una solida normativa in materia di privacy – la Corea offre adeguate tutele ai dati personali dei cittadini britannici. Sulla decisione è intervenuto anche l’ICO (Autorità garante locale) con un parere nel quale – oltre a concordare con la decisione – suggerisce, tra le altre cose, di tenere monitorate eventuali modifiche alla normativa sud coreana in materia (modifiche che potrebbero, eventualmente, impattare sulla sopravvivenza della decisione di adeguatezza).

HONG KONG – L’Office of the Privacy Commissioner for Personal Data (PCPD) ha annunciato di aver arrestato un uomo sospettato del reato di #doxxing, e cioè per aver divulgato – con intenzioni malevole – dati personali senza il consenso dell’interessato. Dalle indagini sarebbe emerso che l’uomo – un 48enne cinese, agente di approvvigionamento di lavori part-time che aveva organizzato per la vittima diversi lavori – aveva divulgato, in seguito ad una controversia, dati personali della vittima su una app di messaggistica istantanea. La divulgazione dei dati (tra i quali il nome, il numero di telefono e una copia del documento di identità) era stata inoltre accompagnata da un messaggio in cui l’imputato affermava che il soggetto in questione non sarebbe mai più stato assunto. Attualmente le indagini sono ancora in corso, ma all’imputato è stata intanto concessa la libertà su cauzione.

GERMANIA (BASSA SASSONIA) – Dopo aver ricevuto numerose segnalazioni circa l’uso di #GoogleFonts, la LfD Niedersachsachsen (Autorità garante della Bassa Sassonia) ha recentemente invitato gli operatori dei siti web a progettarli in maniera conforme alle norme dettate in materia di protezione dei dati personali. L’origine delle segnalazioni è da rinvenirsi in una sentenza (LG München I – 3 O 17493/20) resa lo scorso 20 gennaio dal tribunale regionale di Monaco, con la quale veniva riconosciuto alla parte attrice – promotrice di una causa contro un gestore di siti web –  un risarcimento del danno per utilizzo di Google Fonts in violazione delle disposizioni a tutela dei dati personali. L’integrazione di tali Fonts, infatti, può avvenire in due modi: (i) integrandoli online – con la conseguenza, però, di un automatico trasferimento dei dati degli utenti verso gli U.S.A. – o (ii) scaricandoli e memorizzandoli localmente sul server dell’utente del sito web – soluzione consigliata dall’Autorità garante in quanto maggiormente tutelante per gli interessati. 

News #46: Twitter ha un nuovo DPO (provvisorio..); il Garante blocca il riconoscimento facciale per il 2023; le App della World Cup tracciano troppi dati..

Immagine di copertina di Rhett Lewis grazie a Unsplash.

MERCATI DIGITALI

TWITTER – Ha fatto notizia la nomina di un Data Protection Officer temporaneo dopo che tre dei più alti dirigenti del social network – tra cui il CISO, il Chief Compliance Officer e proprio il CPO/DPO – hanno dato le dimissioni: come tutto a Twitter, anche la funzione privacy al momento è “provvisoria”. E dopo aver visto i (catastrofici) risultati della fase beta del progetto di attribuzione – a pagamento, ma pur sempre indiscriminata – della famosa #spuntablu – strumento utilizzato nel mondo dei social network per garantire che l’utente sia “verificato”, cioè che corrisponde esattamente alla persona cui si riferisce -, #ElonMusk decide di rinviare al prossimo 29 novembre il lancio ufficiale dell’iniziativa “premium”. La questione si aggiunge ad una lista già abbastanza lunga di criticità che hanno caratterizzato la nuova era di Twitter, che infatti perde consensi (la rivale #Mastodon conta già 1,6 milioni di utenti attivi). Va segnalata, tuttavia, anche una “buona notizia”: il governo USA ha fatto sapere che – almeno per il momento – l’amministrazione Biden non ha intenzione di indagare sull’operazione di acquisto, nonostante dei 44 miliardi offerti da Musk, almeno 7,1 sarebbero stati finanziati da investitori provenienti dall’Arabia Saudita e dal Qatar: la questione potrebbe avere, infatti, implicazioni dal punto di vista della #sicurezzanazionale.

AMAZON – Secondo le indiscrezioni, anche #Amazon si starebbe preparando ad affrontare un’ondata di licenziamenti – proprio mentre il suo CEO, #JeffBezos, si impegna pubblicamente in grandiose campagne di beneficenza. Sebbene in termini percentuali il licenziamento coinvolgerebbe solo il 3% dei dipendenti – il New York Times parla di circa 10 mila posti di lavoro a rischio – il dato preoccupante riguarda, più in generale, il trend negativo che sta investendo l’occupazione nella Silicon Valley. Nel frattempo, Amazon deve affrontare in USA anche l’annuncio di una #classaction che l’Electronic Privacy Information Center (“EPIC”) ha intenzione di avviare nel distretto di Washington, in relazione a pratiche sleali e ingannevoli che sfrutterebbero l’impiego di Dark Pattern al fine di confondere e fuorviare i consumatori, inducendoli a rinnovare i loro abbonamenti Amazon Prime fuorviando gli utenti che desiderano terminarli.

GOOGLE – Mathew J. Platkin, procuratore generale del New Jersey, ha recentemente reso noto che, insieme ai procuratori generali di altri 40 stati americani, ha stipulato un accordo con #Google del valore di 391,5 milioni di dollari (il più grande accordo multi-stato in materia di privacy della storia americana). L’accordo si colloca all’esito di una indagine aperta qualche anno fa in seguito ad un articolo pubblicato dall’Associated Post, nel quale si accusava Google di registrare i movimenti (e dunque, raccogliere dati di localizzazione) dei consumatori anche quando gli stessi consumatori avevano, in realtà, negato il relativo consenso. Oltre al pagamento della cifra pattuita, Google si è anche impegnato tra le altre cose a (i) divulgare in modo più chiaro e trasparente le informazioni relative al tracciamento della posizione dei consumatori e (ii) creare una pagina ad hoc in cui gli utenti possono ottenere informazioni dettagliate sui dati di posizione raccolti.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

RICONOSCIMENTO FACCIALE E COMUNI ITALIANI – Il Garante per la protezione dei dati personali ha recentemente aperto un’istruttoria nei confronti di due comuni italiani per valutare e prevenire possibili violazioni connesse all’utilizzo di strumenti di #videosorveglianza. Nel mirino dell’Autorità sono finite iniziative (non attuate ma solo annunciate) dei comuni di Lecce e Arezzo relative, rispettivamente, all’utilizzo (i) di sistemi di #riconoscimentofacciale ( dunque,trattamento di dati biometrici – particolari ai sensi del GDPR) e (ii) di #superocchiali dotati di tecnologia ad #infrarossi, capaci di rilevare infrazioni stradali e validità dei documenti del guidatore dalla sola lettura di una targa. Spetta ora ai comuni presentare all’Autorità tutta la documentazione a supporto della liceità delle loro iniziative: nella giornata di domani pubblicheremo un #approfondimento su questa news, corredato dai dettagli delle due istruttorie.

PARERE EDPS SUL “EU MEDIA FREEDOM ACT” – Il 14 novembre 2022 l’European Data Protection Supervisor (“EDPS”) ha annunciato la pubblicazione del parere n. 24/2022 sulla proposta di regolamento che istituisce un quadro comune per i servizi di media nel mercato interno (“European Media Freedom Act”). L’EDPS ha accolto con favore gli obiettivi perseguiti nel progetto per proteggere la libertà, l’indipendenza e il pluralismo dei media in tutta l’Unione europea. L’EDPS ha raccomandato che il progetto di legge includa basi giuridiche esplicite e chiare, e preveda la cooperazione tra le pertinenti autorità di controllo dell’Unione europea, comprese le autorità garanti degli Stati membri, secondo le rispettive competenze.

PARERE EDPS CYBERSICUREZZA – Col parere n. 23/2022 l’EDPS, Garante Europeo, si è pronunciato su una proposta di regolamento in materia di requisiti di #cybersicurezza per i prodotti con elementi digitali. Pur esprimendosi favorevolmente nei confronti delle intenzioni e delle misure suggerite dal regolamento, l’EDPS non manca di sottolineare, tuttavia, l’importanza – in un’ottica di maggior tutela – deii principi di  #PrivacybyDesign e #PrivacybyDefault (auspicando, dunque, per un loro inserimento).

SEGNALAZIONI TELEMARKETING AL GARANTE – E’ operativo il nuovo servizio #telematico per segnalare al Garante la ricezione di telefonate indesiderate, disponibile a questo link: esso sostituisce la modalità di segnalazione precedente, che avveniva tramite un – piuttosto desueto e scarsamente utilizzato – modulo #cartaceo.

VALUTAZIONE DEL RISCHIO INFORMATICO – La BCE (Banca Centrale Europea) ha di recente diffuso online una pubblicazione in materia di valutazione del #rischioinformatico dal titolo “Towards a framework for assessing systemic cyber risk” (“Verso un quadro per la valutazione del rischio informatico sistemico”). Il documento si sofferma, in particolare, sui possibili “effetti collaterali” che i rischi informatici – il cui numero è sempre crescente- possono generare in termini di stabilità dei sistemi finanziari.

F.A.Q. DATA SERVICES ACT – Si segnala che dallo scorso 14 novembre è disponibile online sul sito dell Commissione Europea la versione aggiornata delle domande e risposte più frequenti in materia di #DSA.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

COMPROMISSIONE  DI UN SITO GIÀ INQUINATO – La Suprema Corte di Cassazione ha di recente affermato (nella sentenza n. 39759, consultabile gratuitamente per gli iscritti all’associazione AODV231) che non vale ad escludere il reato di #inquinamentoambientale (di cui all’452-bis c.p.) il fatto che un sito sia già compromesso a livello ambientale. Rigettando il corso, i giudici di piazza Cavour hanno fornito la loro interpretazione del concetto di “misurabilità” della compromissione inserito nella norma, chiarendo che (i) con tale termine il legislatore non si riferisce ad una procedura di “calcolo numerico degli effetti prodotti”, ma richiama l’astratta possibilità di valutare in termini quantitativa l’entità della compromissione e (ii) il fatto che un sito sia già inquinato non esclude che sia possibile causare un ulteriore aggravamento.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

NORVEGIA – L’autorità garante norvegese per la protezione dei dati (“Datatilsynet”) ha rilasciato, il 14 novembre 2022, una dichiarazione mettendo in guardia chi si reca in Qatar per la #CoppadelMondo FIFA sull’installazione delle applicazioni “Hayya” ed “Ehteraz”. L’autorità garante si è preoccupata, in particolare, dell’ampio accesso ai dati personali richiesto dalle applicazioni, spiegando che non è chiaro cosa facciano effettivamente o per cosa potrebbero essere utilizzati i dati personali degli utenti.

REGNO UNITO – L’ICO, Autorità garante del Regno Unito, ha annunciato di aver reso disponibile online un aggiornamento della sua guida ai trasferimenti internazionali di dati al fine di includere una nuova sezione dedicata valutazioni sul rischio del trasferimento, nonché per aggiungere un nuovo strumento di valutazione, il #TRA (scaricabile gratuitamente in formato word sul sito dell’Autorità). Lo strumento – che vuole porsi come alternativa in materia all’approccio dell’EDPB – ai compone di sei domande (poche ma ben strutturate) e di tabelle e linee guida che aiutano le società a interpretare i risultati della valutazione.

FRANCIA (SANZIONE CNIL A DISCORD) – L’autorità garante francese (“CNIL”) ha sanzionato per 800.000 euro. DISCORD Inc. – piattaforma che fornisce un servizio per chattare tramite microfono e/o webcam su Internet e messaggistica istantanea, in cui gli utenti possono creare server, canali di testo, voce e video – ritenendo commesse le seguenti violazioni: (i) aver conservato i dati personali per un periodo eccessivo (ii) violazione del diritto di informazione sui tempi di conservazione (iii) violazione degli obblighi di privacy by default e (iv) mancanza di misure di sicurezza adeguate. Il comunicato della CNIL sulla decisione è disponibile a questo link.

ARGENTINA – L’Autorità argentina per la protezione dei dati (“AAIP”) ha pubblicato (i) un progetto di legge per l’aggiornamento della normativa sulla protezione dei dati personali, a seguito di una consultazione pubblica e (ii) un report sullo sviluppo del progetto, in cui si sottolinea che l’aggiornamento della legge è un passo decisivo per aumentare le garanzie necessarie per la protezione dei dati personali nella società dell’informazione, e per stabilire regole chiare per promuovere l’innovazione e lo sviluppo dell’economia in Argentina.

SPAGNA – L’autorità spagnola per la protezione dei dati personali (“AEPD”) ha inflitto una sanzione di 70.000 euro a una banca, successivamente ridotta a 48.000 euro, a seguito di un reclamo di un privato. Il ricorrente aveva richiesto un certificato di proprietà per proprio conto alla banca, ricevendo una copia di un contratto di terzi per un errore operativo. Il ricorrente ha prontamente informato la banca, ma continuava ad avere accesso al documento attraverso la chat di contatto. Nella sua decisione, l’AEPD ha tenuto conto che la banca ha, in seguito, eliminato l’accesso del cliente al fascicolo del contratto e che, sebbene la conversazione tra la banca e il ricorrente sia stata salvata, il collegamento al fascicolo è stato rimosso. La decisione dell’AEPD, in spagnolo, è disponibile a questo link.

TANZANIA – Il Parlamento della Tanzania ha recentemente approvato il disegno di legge in materia di protezione dei dati personali. Il documento mira a stabilire un livello minimo di protezione dei dati nelle fasi di raccolta e trattamento degli stessi, nonché alla creazione di una Commissione ad hoc per la loro protezione. Vengono in tal modo fissati i criteri in base ai quali le informazioni personali possono formare oggetto di divulgazione e/o trasferimento internazionale – recependo, peraltro, anche il concetto di #adeguatezza di matrice comunitaria. Tra le altre novità, anche la proposta della emanazione del Personal Information Protection Act 2022. In tema di sanzioni, il tetto massimo viene fissato 100 milioni (corrispondenti a poco più di 41 mila euro).

CALIFORNIA – Il tribunale distrettuale della California, a seguito di una class action, ha approvato un accordo da 90 milioni di dollari con Meta, e ha imposto un ordine di sequestro e cancellazione di tutti i dati raccolti impropriamente entro il 10 febbraio 2023. I ricorrenti hanno denunciato che Meta aveva consapevolmente intercettato e tracciato l’attività Internet degli utenti su pagine che mostravano un pulsante “Mi piace”, utilizzando i cookie. L’accordo è disponibile a questo link.

L’effetto Bruxelles come chiave di lettura dei Regolamenti europei sui dati

Quando si parla di “effetto Bruxelles”, ci si riferisce alla capacità dell’Unione europea di influenzare e regolamentare i mercati globali in modo unilaterale.

In questo senso, si può parlare di “extraterritorialità” delle norme europee, che plasmano il contesto normativo internazionale senza la necessità di ricorrere a imposizioni o a strumenti di cooperazione ulteriori.

Questa dinamica consente all’Unione europea di esercitare indirettamente un’influenza profonda sul comportamento delle aziende, e di trasformare, in questo modo, i mercati globali.

Quali sono i modi e gli strumenti con cui l’Unione europea realizza l’effetto Bruxelles?

Capacità regolativa locale

La capacità dell’Unione europea di trasferire nel mondo le sue preferenze normative non dipende esclusivamente dalla dimensione del proprio mercato, che giustificherebbe, in astratto, la capacità dell’Unione europea di “calare dall’alto” normative dirette agli Stati membri.

La dimensione del mercato non dà conto, di per sé, della capacità dell’Unione europea di trasferire ad altri le sue preferenze normative, proprio come non tutti gli Stati con un mercato grande diventano fonti di standard univoci.

Invece, bisogna considerare che nuove normative vedono la luce raramente su impulso centrale dell’Unione europea, e in genere hanno origine in iniziative regolatorie intraprese dai singoli Stati membri.

Gli Stati europei sono importanti centri di sviluppo locale di norme che potrebbero dar forma a regolamenti Europei, e in seguito avere ricadute applicative in tutto il mondo attraverso l’effetto Bruxelles.

Si colloca, piuttosto, in una seconda fase, la capacità della giurisdizione europea di promulgare e far rispettare le regole, che contribuisce a garantire la loro extraterritorialità.

Poteri sanzionatori

La capacità regolativa dell’Unione europea è spesso connessa a un’altra condizione: la propensione a promulgare norme stringenti, alle quali siano associate sanzioni certe.

L’Unione europea, in questa ottica, ha delegato l’applicazione di molte normative europee, tra le quali il GDPR, agli Stati membri, mantenendo comunque in capo alla Commissione il potere di perseguire le violazioni dei singoli Stati che non implementano o non applicano integralmente le leggi dell’Unione europea.

In questo modo, anche la Commissione può garantire che gli Stati membri siano motivati ad adempiere al loro mandato, e quindi contribuire fattivamente alla capacità regolativa dell’Unione europea.

Adeguamento spontaneo delle aziende

Le aziende e, in particolare, le multinazionali, tendono a preferire l’uniformità normativa, e finiscono spesso per estendere volontariamente le regole europee a tutte le proprie attività nel mondo, evitando il costo di doversi adeguare a molteplici sistemi di regolazione diversi.

L’effetto Bruxelles ha influito su molte attività regolatorie, tra le quali quella del mercato digitale: le normative europee determinano, ad esempio in che modo le Big Tech raccolgono, gestiscono, conservano e monetizzano i dati personali.

Facebook, Google e Microsoft hanno scelto di adottare un’unica privacy policy globale – che rispecchia molto da vicino la normativa di matrice europea.

Allo stesso modo, il Codice di condotta europeo contro l’illecito incitamento all’odio online influenza il tipo di linguaggio che le aziende del web permettono sulle rispettive piattaforme: invece di far riferimento al Primo Emendamento statunitense in materia di libertà di espressione, aziende come Facebook, Twitter o YouTube si ispirano alla definizione europea di “linguaggio dell’odio” per decidere quale contenuto rimuovere dalle proprie piattaforme.

Una chiave di lettura per i nuovi regolamenti europei in materia di dati personali

Con la pubblicazione del Digital Services Act nella Gazzetta Ufficiale dell’Unione europea, insieme a quella del recente Digital Markets Act, viene arricchito ulteriormente il quadro normativo per creare uno spazio digitale in cui siano tutelati i diritti fondamentali di tutti gli utenti dei servizi, oltre ad essere garantite condizioni di parità per promuovere l’innovazione, la crescita e la competitività, nel mercato unico europeo e a livello mondiale.

Si vuole ambire, con lo spirito e il metodo descritto, sia a regolamentare soggetti extra europei sulla base del criterio dell’offerta di servizi a destinatari e utenti ubicati nel territorio dell’Unione, sia a innalzare uno standard per analoghe iniziative estere.

Si tratta di ambizioni elevate, che coinvolgono la costruzione di un regime composito, che andrà a intersecarsi con altrettanto complesse discipline e che terrà probabilmente molto impegnate le Corti, nazionali e non, per chiarire la sua applicazione.

________________________________________________

Immagine di copertina di Paolo Margari grazie a Unsplash

News #45: le Big Tech licenziano come non era mai successo prima; cambia la privacy policy di TikTok; si consolida la proposta di AI Act.

Immagine di copertina di Brett Zeck grazie a Unsplash.

MERCATI DIGITALI

FACEBOOK – Dopo giorni di indiscrezioni, arriva la notizia ufficiale: Facebook licenzia 11 mila dipendenti. Si tratta, indiscutibilmente, della più grande campagna di licenziamenti della storia delle #bigtech – più grande addirittura, in termini assoluti, del maxi licenziamento di Twitter di cui abbiamo parlato nella newsletter della scorsa settimana. Per stessa ammissione del CEO di Meta – Mark Zuckerberg – le ragioni dei licenziamenti andrebbero ricercate in un errore di valutazione delle entrate attese, connesso inevitabilmente alla attuale e generale crisi economica mondiale. In ogni caso, è stato chiarito che ciascuno degli ex dipendenti riceverà una indennità pari a 16 settimane di retribuzione (più due settimane extra per ogni anno di servizio svolto presso Facebook). Inoltre – notizia gradita soprattutto per gli statunitensi coinvolti – agli ex dipendenti e ai loro familiari sarà garantita, per i prossimi sei mesi, una copertura assicurativa per spese sanitarie, completamente a spese della società. Ma il metaverso, forse, perde consensi..

ONU vs MUSK – Volker Türk, Alto Commissario dell’ONU, ha recentemente inviato una lettera aperta a Elon Musk per esortarlo – all’indomani del maxi licenziamento che ha investito i dipendenti di Twitter – al rispetto dei diritti umani. L’appello si sarebbe reso necessario a fronte dell’ormai nota presa di posizione nei confronti della #libertàdiespressione, intesa da Musk in termini assoluti. Tale atteggiamento estremamente permissivo potrebbe infatti comportare quale conseguenza non gradita l’avallo di pratiche spiacevoli, come ad esempio il #hatespeech

RENDICONTAZIONE DI SOSTENIBILITÀ – Lo scorso 10 novembre il Parlamento Europeo ha adottato la proposta di Direttiva in materia di rendicontazione di sostenibilità aziendale. La nuova normativa impone a grandi aziende e multinazionali una serie di obblighi relativi alla rendicontazione circa l’impatto della loro attività sull’ambiente. Al fine di assicurare l’adempimento delle nuove disposizioni, sono inoltre previsti controlli e revisioni indipendenti. Dopo l’ok del Parlamento, il prossimo 28 novembre toccherà al Consiglio dell’Unione esprimersi sulla proposta. In caso di conferma ed entrata in vigore, le nuove regole entreranno in vigore tra il 2024 ed il 2028. 

AGCOM E NUOVE REGOLE ANTI TRUFFA – Sono state emanate nuove regole dall’Autorità per le Garanzie nelle Comunicazioni (“AGCOM”) per il cambio della SIM, con l’obiettivo di arginare le truffe legate al cambio dell’operatore della scheda telefonica. Innanzitutto, l’operazione di cambio SIM potrà essere effettuata solo dall’intestatario dell’utenza, a differenza di quanto succedeva finora con le deleghe – sarà possibile procedere ancora per delega solo nel caso di SIM aziendali. La verifica dell’identità, inoltre, dovrà essere effettuata attraverso due diverse procedure – una con un documento di identità e una tramite un codice ricevuto via SMS sul numero interessato, e oggetto di cambio operatore.

CGUE E CONSUMATORI – La Corte Federale di Giustizia tedesca ha domandato alla Corte di Giustizia dell’Unione Europea (“CGUE”) di pronunciarsi sulla posizione giuridica delle associazioni di tutela dei consumatori in relazione a potenziali violazioni del trattamento dei dati da parte di Meta. La Corte ha dichiarato che è in corso di decisione se un’eventuale mancata informazione da parte di Meta sulla portata, lo scopo e l’utilizzo dei dati degli utenti possa dare luogo a richieste di provvedimenti ingiuntivi ai sensi del diritto della concorrenza, e possa essere seguita da azioni di associazioni di tutela dei consumatori.

LOTTA ALLA PIRATERIA – Alcune case discografiche italiane hanno riportato una notevole vittoria nella lotta contro la pirateria online: il Tribunale di Milano ha respinto il ricorso di CloudFlare contro l’inibitoria cautelare che gli imponeva di interrompere la fornitura del suo servizio Dns pubblico a tre siti BitTorrent, che in precedenza erano stati bloccati dall’AGCOM. CloudFlare è uno dei principali intermediari internet sfruttati dalla pirateria online, ed era stato destinatario, a luglio 2022, di un’ingiunzione cautelare per implementare le misure tecniche che impedissero agli utenti di accedere ai siti identificati tramite il suo servizio. I servizi di CloudFlare consentivano infatti agli utenti di accedere a siti web in violazione del copyright, sottraendo ricavi a coloro che investono e creano musica. Così, confermando l’ordinanza originaria contro CloudFlare, il Tribunale di Milano ha stabilito un precedente importante secondo cui gli intermediari online possono essere obbligati a prendere provvedimenti efficaci se i loro servizi sono utilizzati per la pirateria musicale.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY & CYBERSECURITY

PRIVACY POLICY DI TIKTOK – La piattaforma TikTok ha annunciato un aggiornamento della propria privacy policy per lo Spazio Economico Europeo (“SEE”), che sarà effettivo a partire dal 2 dicembre 2022. L’obiettivo è quello di migliorare la trasparenza del servizio e la sicurezza dei dati trattati dalla società per tutti gli utenti europei. A tale scopo, l’aggiornamento alla policy si occupa soprattutto di modificare le sezioni dedicate al luogo di conservazione dei dati e alle modalità di trattamento dei dati di geolocalizzazione. Per quanto riguarda i trasferimenti internazionali – punto cruciale delle preoccupazioni sul tema – la piattaforma va nella direzione di investire le proprie risorse nella risoluzione delle problematiche sollevate dalla sentenza Schrems II, anche al fine di evitare le pesanti sanzioni che le autorità hanno già applicato nei confronti di altre piattaforme, sprovviste di misure di sicurezza che consentissero l’effettiva tutela dei dati dei propri utenti dall’accesso delle autorità governative.

TESTO DI COMPROMESSO SUL “AI ACT”  – Il Consiglio ha reso pubblica la versione finale del testo di compromesso sulla proposta di Regolamento recante norme armonizzate sull’intelligenza artificiale (“AI Act“), e lo sottoporrà all’adozione dell’orientamento generale al Comitato dei Rappresentanti Permanenti durante la prossima riunione del Consiglio Trasporti, Telecomunicazioni ed Energia (“TTE”) dell’8 novembre 2022. Il testo di compromesso sottolinea che la presidenza del Consiglio intende presentare alcune modifiche alla legge sull’AI, e invita le delegazioni a formulare le loro osservazioni finali prima che il documento sia presentato.

NEWSLETTER EDPS – E’ stata pubblicata la newsletter dell’European Data Protection Supervisor (“EDPS”), che raccoglie alcuni temi privacy tra i quali (i) la protezione dei dati personali da phishing e attacchi ransomware; (ii) i recenti Audit del EDPS; (iii) Intelligenza Artificiale; (iv) Machine Learning, e molto altro consultabile al link qui indicato.

SICUREZZA INFORMATICA UE – In occasione dei negoziati relativi alla nuova Direttiva europea sulla #cyberdifesa, Joseph Borrell – alto rappresentante della politica estera e della difesa dell’Unione – ha annunciato l’imminente creazione di un Centro europeo di coordinamento per la cyberdifesa. Per il raggiungimento di tale finalità, e a fronte dei sempre più numerosi #cyberattacchi, l’Unione si impegna ad incoraggiare collaborazioni e sinergie tra gli Stati membri in settori critici, tra i quali energia e sanità.

PROPOSTA REGOLAMENTO UE – Lo scorso 7 novembre è stato annunciato che la Commissione Europea ha adottato una proposta di regolamento finalizzata a rafforzare la trasparenza in materia di raccolta e condivisione dei dati relativi ai servizi di #affitto e #alloggioabrevetermine. Tra gli obiettivi, (i) armonizzare i requisiti di registrazione delle proprietà offerte in affitto, (ii) semplificare la condivisione di dati tra piattaforme online e autorità pubbliche, (iii) consentire il riutilizzo dei dati in forma aggregata. Al fine di illustrare con maggiore chiarezza la nuova proposta, la Commissione ha messo a disposizione online una scheda informativa e una serie di Q&A.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

DECIMO ANNIVERSARIO DELLA LEGGE SEVERINO – A dieci anni dall’entrata in vigore della legge Severino, risulta quanto mai evidente che investire nell’Anticorruzione è un’utilissima e indifferibile manovra economica. Come ha affermato il Presidente dell’ANAC, intervistato per l’occasione, negli ultimi anni l’Italia ha fatto importanti passi avanti, scalando dieci posizioni nella classifica di Transparency International. Eppure, nonostante il balzo dell’ultimo periodo, la strada da percorrere è ancora lunga per prevenire e reprimere la corruzione e l’illegalità nella Pubblica amministrazione, oltre che per promuovere la trasparenza. L’obiettivo è prioritario, con i fondi del PNRR e l’attenzione dell’Unione europea sull’Italia per una corretta gestione di tali finanziamenti. Restano rilevanti criticità sui temi del whistleblowing e della regolamentazione del lobbying, fenomeni rispetto ai quali l’Italia non è ancora in linea con le direttive europee.

DELUDENTE MONITORAGGIO ANTICORRUZIONE – Lo scorso 9 settembre l’Autorità Nazionale Nazionale Anticorruzione (“A.N.AC.”) aveva provveduto all’aggiornamento del Piano Triennale di Prevenzione della Corruzione e della Trasparenza in vigore per il triennio 2019-2021, (i) modificando la parte relativa alla mappatura delle attività degli uffici dell’A.N.AC., (ii) individuando i comportamenti a rischio e la relativa valutazione, (iii) programmando misure specifiche. Poco tempo dopo, è emerso da una specifica ricerca su tutti gli uffici giudiziari dislocati sul territorio nazionale (Procure della Repubblica, Tribunali, Procure Generali, Corti d’Appello e Corte di Cassazione) che gli stessi Tribunali chiamati a giudicare sull’adeguatezza dei presidi di contrasto alla corruzione di società private ed enti pubblici, sono a loro volta privi dei Piani anticorruzione e di adeguati canali di whistleblowing.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

UE vs. MICROSOFT –  Sulla scia dell’Antitrust britannico, anche la Commissione Europea ha di recente annunciato l’apertura di un’indagine nei confronti di Microsoft in ragione della sua proposta (del valore di ben 69 miliardi di dollari) di acquistare Activision Blizzard, colosso mondiale dei videogiochi, nonché “mamma” del famosissimo Call of Duty. Le preoccupazioni sono connesse, più in particolare, alla possibilità che Microsoft precluda, in concreto, ad altre società l’accesso ai videogiochi di Activision Blizzard. La durata dell’istruttoria è di 90 giorni: la decisione dovrà pertanto arrivare entro il 23 marzo 2023. 

USA: LINEE GUIDA SULLE RISORSE DIGITALI  Il governo USA ha pubblicato delle nuove linee guida dedicate alle risorse digitali, comprese le criptovalute, sulla protezione di consumatori, investitori e imprese, insieme alla promozione della stabilità finanziaria, della sicurezza nazionale e dell’ambiente, riconoscendo che le risorse digitali, incluse le criptovalute, presentano evidenti opportunità per rafforzare la leadership degli Stati Uniti nel sistema finanziario globale e che, al contempo, esse comportano rischi significativi. Le linee guida, in questo senso, promuovono l’innovazione (i) avviando la ricerca e lo sviluppo del settore privato, (ii) supportando le aziende statunitensi all’avanguardia a trovare un punto d’appoggio nei mercati globali e (iii) ponendo misure per mitigare i rischi con una più severa applicazione delle leggi esistenti e la creazione di standard di efficienza.

BASSA SASSONIA – L’autorità garante della Bassa Sassonia ha recentemente emesso un comunicato stampa per ricordare alle società che trasferiscono dati fuori dallo Spazio Economico Europeo o verso organizzazioni internazionali che alla fine di quest’anno – più precisamente il 27 dicembre –  dovranno essere obbligatoriamente aggiornate all’ultima versione (quella del 27 settembre 2021) le Clausole Contrattuali Standard (#SCC), lo strumento che consente alle società di esportare i dati in sicurezza, nel rispetto della normativa e delle tutele dettate dal GDPR, pur in mancanza di una decisione di adeguatezza. L’ obbligo vige, più in particolare, per tutti i contratti conclusi prima del 27 settembre 2021, quelli cioè che fino al prossimo 27 godranno di un “periodo di favore”, scaduto il quale ogni trasferimento non allineato alle nuove Clausole sarà illegale.

BELGIO  La commissione parlamentare belga per l’economia, la protezione dei consumatori e l’agenda digitale ha approvato il disegno di legge sulla protezione delle persone che segnalano violazioni del diritto dell’Unione o del diritto nazionale riscontrate all’interno di un Ente (“whistleblowing”), recependo la Direttiva sulla tutela delle persone che segnalano violazioni del diritto dell’Unione.

AUSTRALIA (NEW SOUTH WALES) – La Commissione per l’Informazione e la Privacy (“IPC”) ha pubblicato la relazione annuale 2021/2022 documentando i risultati raggiunti ed evidenziando alcune statistiche riguardo a (i) iniziative strategiche e regolamentari; (ii) richieste di accesso, revisioni e reclami sulla privacy; (iii) pareri in tema di privacy per supportare la conformità da parte degli Enti; (iv) audit proattivi sull’accesso ai dati personali e (v) sensibilizzazione sulla privacy e sui diritti dei soggetti interessati.

CINA  Dall’8 al 10 novembre prende il via la seconda edizione della Digital China Week, evento di formazione in cui diversi esperti del settore e aziende presenti sul mercato proporranno spunti per sviluppare un business di successo in Cina. L’evento è considerato particolarmente significativo nel settore, anche dal momento che il digitale in Cina rappresenta un imprescindibile stile di vita, con piattaforme differenti da quelle occidentali e tendenze come il live streaming o il social commerce.

REGNO UNITO – L’Information Commissioner’s Officer (ICO), autorità garante inglese, ha annunciato di aver avvertito – o meglio, rimproverato- il Dipartimento per l’Istruzione locale per violazione dell’art. 5 del Regolamento Europeo 2016/679 (GDPR). Dalle indagini sarebbero infatti emersi accessi non autorizzati ad LRS (database che fornisce un registro delle qualifiche degli alunni – quasi 30 milioni – a cui i fornitori di servizi di istruzione possono accedere e memorizzare dati). Più in particolare, è stato rilevato l’accesso di Trust Systems Software UK Ltd (“Trustopia”), società di screening che utilizzava il database per aiutare le società di gioco d’azzardo a confermare che i clienti fossero maggiorenni. Concedendo l’accesso al database a Trustopia, il Dipartimento per l’Istruzione si è sostanzialmente reso responsabile di un uso illegale dei dati (che venivano, di fatto, trattati per scopi diversi da quelli consentiti). La decisione di non irrogare alcuna sanzione – che avrebbe sfiorato i 10 milioni di sterline, a fronte della gravità della violazione – è stata giustificata da John Edwards, sesto commissario dell’ICO, con il fatto che i soldi delle multe ritornano al Governo. L’impatto per il Dipartimento, pertanto, sarebbe stato sostanzialmente minimo.

BADEN-WÜRTTEMBERG – L’Autorità garante locale ha recentemente emanato una guida rivolta a società ed enti pubblici finalizzata ad impartire istruzioni per una corretta integrazione di video sui propri siti web in perfetta compliance con la normativa europea sulla protezione dei dati personali. Più in particolare, la guida si sofferma sul rispetto dei requisiti fissati dalla legge federale (21 giugno 2021) sulla protezione della privacy nelle telecomunicazioni e nei telemedia (TTDSG). 

GERMANIA (ASSIA) – L’HBDI, Autorità garante dell’Assia, ha di recente rilasciato una dichiarazione in merito all’utilizzo di #GoogleFonts. Secondo quanto chiarito dall’Autorità, quando i fonts di Google sono integrati online, i dati dell’utente utilizzatore vengono trasferiti a Google. L’accento della questione viene posto sulla necessità che tale trasferimento sia supportato da una adeguata #basegiuridica, così come richiesto dall’art. 6 del GDPR. In particolare, le maggiori problematiche riguardano il fatto che un trasferimento di dati a Google si sostanza, nella pratica, in un trasferimento verso gli Stati Uniti (paese “particolarmente attenzionato” in seguito alla sentenza Schrems II e conseguente caduta del Privacy Shield).

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) del Regno Unito ha annunciato una consultazione pubblica fino al 19 dicembre sulla priorità che l’autorità garante dà ai reclami in materia di libertà di informazione. L’ICO ha indicato che la consultazione è stata stimolata da finanziamenti limitati e da una maggiore necessità di sostenere le autorità pubbliche in difficoltà, che insieme hanno creato una “tempesta perfetta”. L’autorità di regolamentazione ha spiegato che il nuovo schema prenderà in considerazione i reclami in cui vi sia un chiaro interesse pubblico per le informazioni.

IRLANDA  La Commissione irlandese per la protezione dei dati ha presentato una bozza di decisione sulla conformità di Yahoo agli obblighi del GDPR, in materia di trattamento dei dati personali. Il vice commissario Graham Doyle ha dichiarato che l’indagine, iniziata nell’agosto 2019, ha esaminato la conformità dell’azienda ai requisiti di fornire informazioni trasparenti agli interessati ai sensi delle disposizioni del GDPR. Le autorità di controllo interessate avranno tempo fino al prossimo 24 novembre per opporsi al progetto di decisione.

CANADA  I governi di Canada, Singapore e Regno Unito hanno annunciato l’impegno congiunto ad aumentare le misure di sicurezza informatica per i dispositivi dell’Internet degli oggetti. I governi hanno dichiarato che i vantaggi delle tecnologie IT possono essere realizzati con requisiti di sicurezza informatica appropriati, che sono integrati nei prodotti fin dalla fase di progettazione, piuttosto che far ricadere questo onere sui consumatori. Il lavoro congiunto dei tre Paesi eviterà la frammentazione e ridurrà la duplicazione di test e valutazioni simili. 

News #44: il Data Markets Act è legge (e il 2 maggio 2023 sarà applicabile); colpa di organizzazione e modello 231 per la Cassazione; TwitterSaga, again..

Immagine di copertina di Andrea Vaiuso grazie a Unsplash.

PRIVACY

DIGITAL MARKETS ACT – Con la sua entrata in vigore lo scorso 1 novembre, il DMA diventa ufficialmente legge. La nuova legge sui mercati digitali si prefigge l’obiettivo di porre fine alle pratiche sleali poste in essere da quelle aziende definite #gatekeeper – quelle cioè che, fungendo da punto di incontro tra utenti commerciali e consumatori, godono di una posizione privilegiata che, sostanzialmente, consente loro di “dettare le regole del gioco”, col rischio di compromettere il delicato l’equilibrio dell’economia digitale. Tre i criteri fissati dal DMA per qualificare un’impresa come gatekeeper: (i) le dimensioni in termini di fatturato, (ii) il numero di utenti finali raggiunti (45 milioni su base mensile o almeno 10 mila su base annua) e (iii) l’aver raggiunto una posizione consolidata e duratura, attraverso il raggiungimento degli obiettivi fissati dal secondo criterio per almeno tre anni. Nel mirino dell’UE rientrano quindi sicuramente le #bigtech americane – come Facebook, Google, Amazon – nei confronti delle quali l’UE fissa specifici obblighi e divieti. Il DMA comincerà ad essere applicato il 2 maggio 2023: da tale momento i potenziali gatekeeper avranno due mesi per comunicare alla Commissione i propri risultati al fine di consentire una loro corretta qualificazione ai fini delle nuove regole comunitarie.

CODICE DI CONDOTTA SIC – Lo scorso 4 novembre il Garante per la protezione dei dati personali ha comunicato sulle proprie pagine di aver definitivamente approvato il testo del #Codicedicondotta degli operatori del settore di informazione creditizia. Il Codice, che entrerà in vigore il giorno successivo alla sua pubblicazione in Gazzetta Ufficiale, va a definire un pacchetto di garanzie e tutele finalizzate ad assicurare il corretto funzionamento del mercato creditizio e finanziario, nel rispetto dei diritti degli interessati. In quest’ottica il Codice specifica, tra le altre cose, le tipologie di dati che possono formare oggetto di trattamento, i tempi di conservazione e le modalità con cui mantenere informati gli interessati. Il nuovo Organismo di Monitoraggio (#OdM) è stato investito del compito di vigilare sull’osservanza delle regole fissate dal Codice e di tutelare i consumatori in caso di problemi con i Sistemi di informazione creditizia: a tale organo dovrà essere proposto reclamo in caso di violazioni, ferma restando la possibilità di adire il Garante, per tutto quanto di sua competenza.

“AI ACT” –  La presidenza ceca del Consiglio dell’Unione ha presentato agli altri paesi membri la versione finale del #AIACT, il nuovo strumento europeo finalizzato a regolamentare l’#intelligenzaartificiale in relazione al “rischio potenziale”, secondo quanto riporta Euractiv. Il testo, solo lievemente modificato rispetto alla precedente versione proposta qualche settimana fa, si sta dunque avviando verso l’approvazione definitiva da parte dei Ministri dell’UE, prevista per il prossimo 6 dicembre in occasione della riunione del Consiglio Telecomunicazioni.

AGGIORNAMENTO ISO – A fronte dei sempre più frequenti e sofisticati attacchi informatici e nell’ottica di una migliore gestione della sicurezza delle informazioni, l’Organizzazione Internazionale per la Standardizzazione (ISO) ha recentemente annunciato di aver rilasciato una nuova versione della sua ISO/IEC 27001.

Non è stato fornito nessun testo alternativo per questa immagine

D.LGS. 231

RINVIATA LA RIFORMA CARTABIA – Nel Consiglio dei Ministri del 31 ottobre il Governo ha approvato il D.L. 162/2022, con cui è stata posticipata l’entrata in vigore del D.Lgs. 150/2022 recante norme per l’efficienza del processo penale, nonché in materia di giustizia riparativa e disposizioni per la celere definizione dei procedimenti giudiziari. La riforma, pubblicata in Gazzetta Ufficiale lo scorso 17 ottobre, sarebbe dovuta entrare in vigore il 1° novembre, modificando il termine per la pubblica accusa per richiedere il decreto penale di condanna nei confronti dell’ente. Il D.L. 162/2022 ha invece rinviato di due mesi la data di efficacia delle modifiche, fissandola – al momento – al prossimo 30 dicembre.

REATI COLPOSI – E’ stata pubblicata la sentenza della Cassazione n. 39615/2022 sui reati colposi in materia 231, a seguito del ricorso presentato da una società, condannata sia in appello che in primo grado, per lesioni colpose patite da un proprio dipendente, rimasto schiacciato nel 2008 durante lavori all’interno di un silos. Per quanto riguarda la #colpa di #organizzazione, in primo luogo, essa deve essere specificamente provata in giudizio, avendo riguardo (i) al concreto assetto organizzativo adottato dall’impresa in tema di prevenzione e (ii) al nesso causale tra la carenza organizzativa e il verificarsi del reato presupposto. La sentenza dei giudici di legittimità, inoltre, ripercorre e sintetizza l’evoluzione giurisprudenziale in materia di norme sulla sicurezza sul lavoro in ambito 231, ponendo l’attenzione su (i) il c.d. criterio di #compatibilità, in virtù del quale, per potersi apprezzare l’interesse o il vantaggio dell’Ente, va effettuata una valutazione rispetto alla condotta e non all’evento; (ii) sulla #natura #soggettiva del criterio dell’interesse, dato che esso rappresenta l’intento del reo di procurare un beneficio all’ente mediante la commissione del reato, tale valutazione va fatta solo a priori; (iii) sul #vantaggio, che è un criterio oggettivo, da analizzare a posteriori perché legato all’effettiva realizzazione di un profitto in capo all’ente come conseguenza della commissione del reato.

DIRETTIVA PIF – È entrato ufficialmente in vigore ieri il D. Lgs. 156/2022 – pubblicato in Gazzetta Ufficiale lo scorso 22 ottobre, recante “Disposizioni correttive e integrative del decreto legislativo 14 luglio 2020, n.75, di attuazione della direttiva (UE) 2017/1371, relativa  alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale” – c.d. #correttivoPIF. Con i suoi sei articoli, il Decreto apporta modifiche a reati quali, tra gli altri, quelli #tributari previsti dall’art. 25-quinquiesdecies del D. Lgs. 231/2001.

COMMISSARIAMENTO E PATTEGGIAMENTO – Una società indagata per corruzione può, comunque, accedere all’applicazione della pena su richiesta delle parti (“patteggiamento”): lo ha affermato la Cassazione con la sentenza n. 40563/2022, stabilendo che il commissariamento non può essere inserito tra le sanzioni amministrative applicabili, ma rappresenta una misura diversa che non impedisce di patteggiare.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TRUFFE VIA SMS –  Sono state segnalate dalla Consob, da ultimo con la comunicazione del 31 ottobre, numerose truffe via SMS, che fanno indebitamente leva sulla notorietà del marchio #Amazon per estorcere ai risparmiatori denaro o dati personali, e prospettano opportunità di guadagno irrealistiche legate al presunto acquisto di azioni della piattaforma e-commerce. La Consob precisa che le truffe, non realmente riconducibili ad Amazon, risultano finalizzate all’acquisizione di dati personali e/o somme di denaro degli utenti. Amazon stessa conferma l’accaduto, e precisa che le comunicazioni via e-mail, sms o telefono da parte di Amazon non includono mai richieste di informazioni personali e/o proposte di investimenti finanziari finalizzati ad opportunità di guadagno.

MULTA A MEDIAWORLD PER PRATICHE COMMERCIALI INGANNEVOLI – L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha sanzionato Mediaworld per aver messo in atto una prassi commerciale nei confronti di prodotti IT particolarmente desiderati dai consumatori (smartphone, pc, iPad, playstation, smart tv) che, in media, presentano un prezzo non irrisorio e che vengono di frequente esposti al pubblico in “offerta”. Secondo l’AGCM, infatti, nei volantini e nei cartelli in negozio la società ha utilizzato modalità ingannevoli per promuovere tali prodotti, spesso presentati come in promozione e invece abbinati e venduti insieme ad un prodotto accessorio, facendo pagare così al consumatore un prezzo superiore e diverso rispetto a quello pubblicizzato.

TWITTER SAGA – Dopo i vertici societari, tocca a dipendenti: #Musk continua a licenziare. Dai dati disponibili online pare che ad essere colpiti dalla nuova mossa di Mr. Tesla sarebbero oltre 3 mila persone (ben il 50% dei dipendenti!). A colpire non è solamente il merito della scelta – che, secondo Musk, sarebbe “obbligata” a fronte delle perdite che stanno investendo la società – quanto, soprattutto, le modalità di comunicazione prescelte. È stata infatti una semplice e-mail a comunicare ai dipendenti le sorti della loro permanenza in #Twitter. I lavoratori licenziati non hanno comunque aspettato a fare la loro mossa: una class action è già stata presentata al Tribunale Federale di San Francisco per violazione della legge californiana in materia di licenziamento (in spregio all’obbligo di preavviso di licenziamento fissato a 60 giorni, Twitter ha, immediatamente dopo la comunicazione, bloccato gli account dei dipendenti coinvolti). La gestione del caos con i dipendenti si aggiunge, per altro, alla delicata questione dei rapporti della società con i suoi investitori, molti dei quali – come L’Oreal e Volkswagen – cominciano ad abbandonare la nave.

DATA ACT – E’ stato pubblicato il report dell’European Telecommunications Network Operators (“ETNO”) sul #impatto del Data Act – la proposta di regolamento relativo a norme armonizzate in materia di accesso equo ai dati e di loro uso – sugli operatori di telecomunicazioni europee. Lo studio #analizza come le nuove regole proposte influenzeranno i modelli di business, sia quelli già esistenti che quelli emergenti, nei mercati B2B, B2C, business-to-government (“B2G”), cloud e edge computing. Le fonti di dati per realizzare lo studio sono state raccolte attraverso un sondaggio e varie interviste.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

UK GDPR vs. UE GDPR – Dal 2 al 4 novembre alcuni eurodeputati membri della LIBE (Commissione per le libertà civili) sono volati a Londra per discutere con alcune importanti figure britanniche (tra cui funzionari di governo e membri delle Camere) delle possibili conseguenze della riforma in materia di protezione dei dati personali. In particolare, la missione esplorativa consentirà all’Unione di valutare l’effettiva adeguatezza dell’UK alla luce del GDPR e del LED (direttiva in materia di trattamento dei dati personali da parte delle autorità competenti per finalità di prevenzione, investigazione e repressione di reati).

GIAPPONE – Il Paese punta a un deciso rafforzamento della propria unità di difesa informatica: secondo quanto reso noto in un comunicato del ministero della Difesa, Tokyo rinforzerà notevolmente il proprio organico di esperti in materia di cybersecurity, puntando a contare anche su più di cinquemila addetti militari specializzati, entro il 2027.

SPAGNA – L’Autorità garante spagnola, AEPD, si è recentemente pronunciata nei confronti di una società per il trattamento di dati personali di soggetti minori (infraquattordicenni) in violazione delle disposizioni #GDPR nonché della legge locale in materia di servizi della società dell’informazione e del commercio elettronico (LSS). Dai rilievi dell’Autorità sarebbe in particolare emerso, tra le altre cose, che la Società (i) raccoglieva dati personali in assenza di consenso, (ii) procedeva a conservarli senza prevedere un idoneo tempo di conservazione, (iii) forniva le informazioni di trattamento esclusivamente in inglese (lingua non ufficiale del Paese e, in quanto tale, di non facile comprensione per la gran parte degli utenti). Inoltre, in violazione dell’art. 8 del Regolamento, le pagine web della società risultavano sforniti dei meccanismi idonei a raccogliere il consenso dei genitori o tutori dei minori. Alla luce di tali gravi violazioni, l’AEPD ha irrogato alla società una importante sanzione, di oltre mezzo milione di euro.

PERÙ – L’Autorità garante peruviana, ANPD, ha di recente approvato la “Guida all’implementazione delle Clausole Contrattuali Tipo per il trasferimento dei dati personali”, strumento che consentirà un trasferimento di dati personali sicuro ed in linea con gli standard internazionali.

INDIA – Pubblicate nella Gazzetta Ufficiale le nuove modifiche alle norme sugli intermediari IT,  che puntano a rafforzare i requisiti di due diligence e a garantire la responsabilità dei social media e di altri intermediari online.

USA – Il 31 ottobre la Cybersecurity and Infrastructure Security Agency (“CISA”) ha pubblicato due schede che illustrano le minacce contro i sistemi che utilizzano l’autenticazione a più fattori (“MFA”). La CISA ha esortato tutte le organizzazioni a implementare l’autenticazione multifattoriale resistente al phishing o la corrispondenza dei numeri come misura di mitigazione provvisoria.

UCRAINA – È stato presentato al Parlamento ucraino un progetto di legge sulla protezione dei dati, volto a disciplinare il trattamento dei dati personali, nonché di altri tipi di dati, comprese le informazioni biometriche. La legge si rende necessaria soprattutto in quanto la legislazione attuale non garantisce pienamente la protezione dei dati personali in Ucraina, alla luce dello sviluppo degli standard internazionali in questo settore.

News #43: il diritto UE non favorisce la conservazione degli indirizzi IP; siti web aziendali “sicuri”​, o è sanzione; molte novità per la 231

Immagine di copertina di Paul Green grazie a Unsplash.

PRIVACY

CONSERVAZIONE DEGLI INDIRIZZI IP – E’ stato pubblicato il 27 ottobre il parere dell’Avvocato Generale nella causa C-470/21 della Corte di Giustizia dell’Unione europea, che ha sostenuto che il diritto dell’Unione europea non deve essere #interpretato in un’ottica di #conservazione generale e indiscriminata degli indirizzi IP assegnati alla fonte di una connessione; piuttosto, essi devono essere conservati per un periodo di tempo #limitato e strettamente #necessario ai fini della prevenzione dell’indagine, dell’accesso e del perseguimento di reati online, in mancanza di altri mezzi di indagine.

NEWSLETTER DEL GARANTE – Pubblicata lo scorso 24 ottobre l’ultima newsletter del Garante per la protezione dei dati personali. Tra le notizie, il parere positivo nei confronti del #Bonusvista, l’iniziativa del Ministero della Salute che prevede l’elargizione di un contributo una tantum per l’acquisto di occhiali da vista o di lenti a contatto correttive. Nel corpo della newsletter il Garante rende inoltre nota la sottoscrizione della Convenzione attuativa del #Protocollodintesa Garante – CINI (Consorzio Interuniversitario Nazionale per l’Informatica), avente l’obiettivo di stimolare occasioni di confronto e approfondimento di tematiche particolarmente rilevanti nel settore informatico con particolare riguardo al rispetto dei principi e della normativa applicabile in materia di protezione dei dati personali.

NIENTE SSL SUL SITO? AHI AHI AHI AHI – L’Autorità Garante italiana ha sanzionato un’azienda per 15.000 Euro per non aver protetto adeguatamente i dati dei clienti registrati sull’area riservata del proprio #sitoweb. Per scongiurare il rischio di furti d’identità e garantire adeguata tutela dei dati personali, infatti, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli tecnologici di sicurezza almeno adeguati agli #standard più diffusi (come SSL / HTTPS). Tali obblighi, ha precisato il Garante, si applicano anche ai sistemi preesistenti alla data di efficacia del GDPR.

CYBERSECURITY SENZA SCOPO DI LUCRO – E’ stata istituita la Cyber Security Italy Foundation, un ente senza scopo di lucro che si propone di diffondere e promuovere la #cultura della #cybersicurezza. La fondazione, nell’ottica di fornire supporto alla collettività mediante lo svolgimento di programmi e progetti di intervento, organizzerà iniziative nei settori della formazione, della sicurezza dei dati informatici, dell’intelligenza informatica e della ricerca scientifica e tecnologica.

DATA E AI ACTS – Oltre alla pubblicazione del “DSA” nella Gazzetta Ufficiale dell’UE, avvenuta lo scorso 27 ottobre, il Consiglio dell’Unione europea ha presentato #revisioni sui primi cinque capitoli della nuova legge sui dati, che chiariscono la possibilità per gli utenti di accedere ai dati che hanno contribuito a generare, indipendentemente dal luogo di stabilimento. Con riguardo all’intelligenza artificiale (#IA), i co-legislatori del Parlamento europeo stanno valutando una posizione comune e proponendo modifiche alla formulazione originale. In tema di #riservatezza, i deputati hanno proposto che i principi di limitazione delle finalità e minimizzazione dei dati si applichino alla richiesta di informazioni presentata dalle autorità competenti al fornitore di Intelligenza Artificiale.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

MODIFICHE SULLA LOTTA ALLA FRODE CHE LEDE GLI INTERESSI FINANZIARI DELL’U.E. – E’ stato pubblicato in Gazzetta Ufficiale il D. Lgs. 156/2022 (in vigore dal 6 novembre 2022), che modifica (i) il D. Lgs. 75/2020 – di attuazione della direttiva relativa alla #frode che lede gli interessi finanziari dell’Unione europea mediante il diritto penale – e (ii) il relativo reato 231 (Art. 25-quinquiesdecies), che, in relazione alla commissione dei reati tributari, li estende all’ambito di sistemi fraudolenti #transfrontalieri connessi al territorio di almeno un altro Stato membro dell’Unione europea. 

MODIFICA 231 DALLA RIFORMA CARTABIA – L’art. 68 del D. Lgs. 150/2010, recante norme per l’efficienza del processo penale, nonché in materia di giustizia riparativa e disposizioni per la celere definizione dei procedimenti giudiziari (“Riforma Cartabia”, in vigore dal 1 novembre) ha modificato l’art. 64 del D. Lgs. 231/2001 e ha esteso da sei mesi a un anno il termine per la pubblica accusa per richiedere il decreto penale di condanna nei confronti della persona giuridica. La relazione illustrativa alla Riforma Cartabia spiega che tale termine si adegua (i) al termine, anch’esso annuale, di durata delle indagini preliminari per i delitti diversi delle contravvenzioni e (ii) al termine previsto per i delitti di cui all’art. 407 co. 2 c.p.p., per i quali il termine è un anno e sei mesi.

NOMINA DIFENSORE DELL’ENTE – Con sentenza n. 38149 (consultabile gratuitamente per gli iscritti all’associazione AODV231) i giudici della Suprema Corte di Cassazione hanno ribadito l’esistenza di un generale e assoluto #divieto di #rappresentanza #processuale dell’ente anche nei confronti degli amministratori indagati per il reato presupposto – e dunque, non solamente per gli amministratori indagati. La nomina del difensore dell’ente, infatti, anche laddove operata da parte dell’amministratore indagato, può in concreto essere produttiva di effetti potenzialmente dannosi per la società.

ILLECITA INTERMEDIAZIONE DI MANODOPERA E FATTURAZIONE- Secondo quanto stabilito dalla Cassazione con la sentenza n. 33994 (consultabile gratuitamente per gli iscritti all’associazione AODV231), l’illecita #intermediazione di #manodopera – qualora posta in essere sotto le mentite spoglie di appalto di servizi – comporta come ulteriore conseguenza la produzione di fatture oggettivamente false, da cui discende la relativa responsabilità 231 tanto per il soggetto che le emette quanto per quello che le riceve e le utilizza.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

FACEBOOK – È stato recentemente reso pubblico da Meta (prontamente ripreso dalla stampa specializzata) un rapporto secondo il quale sarebbe stata rilevata l’esistenza di oltre 400 app progettate per #rubare le informazioni di accesso degli utenti di Facebook. La società di Menlo Park fa sapere che i risultati sono già stati condivisi con Google e Apple, che gli utenti potenzialmente coinvolti sono stati contattati e, in ultimo, che le app – già prima della pubblicazione del rapporto – sono state #rimosse.

TWITTER – “Qual è il grado di vitalità di Twitter?” è stato il quesito posto qualche mese fa da Elon Musk sul suo account, che ha ricevuto risposta da un report interno del social network, dal titolo “Dove sono finiti i tweeter?”. Il report rivela, tra le altre cose, che, a livello di contenuti, gli interessi degli utenti stanno #cambiando: il mondo delle criptovalute e i cosiddetti contenuti “non sicuri per il lavoro” (Nsfw), che includono nudità e pornografia, sono oggi fra gli argomenti di maggiore interesse (13% del totale). Allo stesso tempo, l’interesse per notizie, sport e intrattenimento sta #diminuendo tra questi utenti. I tweet su questi argomenti sono molto desiderabili per gli inserzionisti.

TWITTER/2 – “The bird is freed”, l’uccellino è stato liberato. L’annuncio arriva giusto qualche ora prima dell’inizio del processo dinanzi al Tribunale del Delaware (che dunque non prenderà mai le mosse): per la cifra di 44 milioni di dollari, il social è stato ufficialmente acquistato dal patron di Tesla. Dopo mesi di reciproche offensive mediatiche, la #controversia “Twitter vs Musk” volge finalmente al termine. La nuova era del social di  viene inaugurata da un’importantissima e significativa decisione del suo nuovo “numero uno”, la #destituzione dei quattro dirigenti più importanti, compreso il CEO Parag Agrawal. Rimaniamo ora in attesa di scoprire le #prossime #mosse di Mr. “Chief Twit”.

TELECOMUNICAZIONI E NUOVE RETI – L’indagine annuale dell’Area studi di Mediobanca sul settore delle telecomunicazioni ha mostrato una netta #diminuzione nel traffico di SMS e di telefonate (la rete mobile in drastico calo rispetto alla fissa), causata dalla evidente diffusione delle reti di nuova generazione per la banda ultra-larga fissa e del 5G. I dati mostrano che, però, il nostro Paese resta #indietro sull’accesso a queste tecnologie e sulle competenze digitali di base. L’indagine paragona anche l’andamento italiano alla media dell’Unione europea, che rimane indietro rispetto a Cina e Stati Uniti, i quali hanno #potenziato gli investimenti per diffusione delle nuove reti mobili.

DIGITALIZZAZIONE E TV – Si è tenuto a Milano il 26 ottobre l’evento “Buongiorno Advanced Tv”, organizzato da AudienceXpress, sul tema della #digitalizzazione e del cambiamento che alimenta i formati della televisione. Si è discusso, tra i vari temi, di targettizzare l’utente per le #campagnepubblicitarie con la possibilità di raggiungere audience ampie e sempre più precise. E’ stata anche rilevata una sensibilità in crescita rispetto al mercato: dalla ricerca condotta da AudienceXpress, è risultato che l’83% dei responsabili marketing italiani si aspetta un incremento dei budget in Advanced TV nel 2023, con il 95% disposto a investire sulle piattaforme supportate dalla pubblicità. Si tratta di percentuali sopra la media europea, che lasciano immaginare un #futuro sistema in grado di offrire opportunità a inserzionisti ed editori.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

44° GLOBAL PRIVACY ASSEMBLY – Questa settimana la Turchia ha ospitato la 44° Assemblea globale sulla privacy. L’evento ha riunito #autorità di regolamentazione, funzionari governativi e molte altre parti interessate provenienti da tutto il mondo. Fra i temi trattati, (i) entro la fine dell’anno l’EDPB chiuderà la sua prima azione coordinata di #enforcement sull’uso dei servizi cloud nel settore pubblico, e aprirà la sua seconda azione incentrata sul ruolo dei responsabili della protezione dei dati all’inizio del prossimo anno; (ii) i delegati statunitensi hanno confermato che l’Organizzazione per la Cooperazione e lo Sviluppo Economico (“OCSE”) sta raggiungendo un punto di svolta nelle #discussioni sulle pratiche di accesso dei governi membri dell’OCSE. Questi colloqui sono stati oggetto di attenzione da parte della comunità, in quanto potenzialmente in grado di sciogliere alcuni attriti sui trasferimenti di dati tra le varie giurisdizioni. Ulteriori sviluppi sul tema potrebbero essere approvati formalmente durante la riunione ministeriale dell’OCSE di dicembre.

AUSTRALIA – A fronte dell’inefficacia dimostrata dalle misure attualmente esistenti, Mark Dreyfus, procuratore generale dell’Australia, ha recentemente annunciato che il Governo locale è in procinto di introdurre una #nuova #legislazione finalizzata ad aumentare le sanzioni connesse a gravi violazioni della normativa privacy.  Il disegno di legge si inserisce in un progetto di più ampio respiro, una riforma completa della legge sulla privacy che dovrebbe vedere la luce già alla fine di quest’anno.

BADEN-WÜRTTEMBERG – L’autorità garante del Baden-Württemberg ha recentemente reso disponibili per il #download (gratuito!) delle icone da includere nelle informative privacy al fine di rendere fruibili in maniera più semplice le informazioni in esse contenute. Attraverso l’uso di questo nuovo #strumento, i titolari del trattamento saranno messi in condizione di poter spiegare agli interessati, in modo chiaro e comprensibile, tutti gli avvisi relativi al trattamento e alla protezione dei dati personali. Le #icone, presentate negli scorsi giorni a Stoccarda, dovranno essere presentate prossimamente anche al Comitato Europeo per la protezione dei dati (EDPB) in modo tale da valutare possibili ed ulteriori usi nel resto d’Europa.

SPAGNA – L’AEPD, autorità garante spagnola, ha recentemente inflitto una sanzione di 12 mila euro (poi ridotta a 9 mila e 600 euro) a Vodafone España per violazione dell’art. 48.1(b) della legge generale sulle telecomunicazioni e, più segnatamente, per #chiamate di #marketing #illegali. Secondo i risultati dell’istruttoria condotta dall’autorità, Vodafone avrebbe ripetutamente inoltrato chiamate di marketing anche nei confronti di chi, essendo registrato all’interno della Robinson list (l’equivalente del nostro Registro delle opposizioni), vi si era preventivamente opposto. 

SPAGNA/2 – Lo scorso 25 ottobre il Garante spagnolo ha annunciato il lancio di un nuovo strumento di consulenza. Si tratta di #AsesoraBrecha, un tool gratuito in grado di supportare i titolari del trattamento e guidarli affinché, caso per caso, capiscano se è necessario o meno effettuare una notifica di #databreach all’autorità competente.

REGNO UNITO – L’Information Comissioner’s Office (“ICO”) ha pubblicato una #dichiarazione il 26 ottobre in cui (i) esprime preoccupazione per l’incapacità degli #algoritmi con tecnologie biometriche di rilevare adeguatamente gli aspetti emotivi delle persone (così creando dei “bias” nei sistemi) e (ii) specifica che una #analisi delle #emozioni nelle tecnologie biometriche si basa sulla raccolta, l’archiviazione e l’elaborazione di una serie di dati personali, tra i quali le risposte comportamentali o emotive e, in alcuni casi, dati particolari. L’ICO ha sottolineato che sta predisponendo una #guida sull’utilizzo delle tecnologie biometriche già utilizzate con successo nell’industria, che sarà pubblicata nella primavera del 2023.

FRANCIA & SUD COREA – L’autorità francese per la protezione dei dati (“CNIL”) e la Commissione sudcoreana per la protezione delle informazioni personali (“PIPC”) hanno annunciato, il 26 ottobre 2022, un accordo di #cooperazione che prevede (i) ricerche congiunte sulle nuove tecnologie e sulle questioni relative alla protezione dei dati; (i) condivisione di best practice ed esperienze, anche nell’ambito delle loro indagini; (iii) organizzazione di seminari e formazione; e (iv) scambio di funzionari tra le due autorità.

I dati (personali) dei defunti: quale privacy?

Cosa accade ai nostri dati quando non ci siamo più?

Quali sono i diritti legati ai contenuti di persone decedute?

Il Regolamento europeo sulla Protezione dei Dati Personali (“GDPR” o “Regolamento”) si applica anche alle persone decedute?

Normativa applicabile

Il Considerando n. 27 del GDPR esclude l’applicazione del Regolamento ai dati delle persone decedute; ma è presente una clausola di salvaguardia, subito dopo, che prevede la facoltà, per gli Stati membri dell’Unione europea, di emanare norme per regolare il trattamento di questi dati personali.

In Italia è l’art. 2-terdecies del D. Lgs. 196/2003, aggiornato dal D. Lgs 101/2018 (“Nuovo Codice Privacy”) a prevedere che i diritti spettanti agli interessati ai sensi degli artt. 15-22 GDPR (cioè l’accesso, la cancellazione, le limitazioni al trattamento, la portabilità dei dati – da qui in avanti “i diritti dell’interessato”) che si riferiscono ai dati personali riguardanti le persone decedute, possono essere esercitati (i) da chi ha un interesse proprio, o (ii)  agisce a tutela dell’interessato, (iii) in qualità di suo mandatario, o (iv) per ragioni familiari meritevoli di protezione.

L’esercizio di questi diritti non è ammesso, oltre che nei casi previsti dalla legge, quando l’interessato ne ha espressamente fatto divieto con dichiarazione scritta presentata o comunicata al Titolare del trattamento.

La volontà di vietare l’esercizio dei diritti dell’interessato deve risultare in modo non equivoco e deve essere specifica, libera e informata, e può riguardare anche solo l’esercizio di alcuni dei diritti dell’interessato.

In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio, da parte dei terzi, dei diritti patrimoniali che derivano dalla morte dell’interessato, e non può impedire loro di difendere in giudizio i propri interessi.

Giurisprudenza

Fino a qui si è risposto ad alcune delle domande iniziali.

Ma sembra ora interessante, per vedere effettivamente cosa accade ai dati personali dopo il decesso di una persona, raccontare anche una recente sentenza sul tema.

Il 10 febbraio 2021, il Tribunale di Milano, in via cautelare, ha ordinato ad Apple Italia S.r.l. di fornire al figlio – ricorrente – i dati di una persona deceduta – il padre. Il Tribunale di Milano ha ritenuto illegittima la pretesa di Apple, fondata su norme americane in materia di sicurezza, che negava tale accesso.

Infatti, l’art. 2-terdecies del Nuovo Codice Privacy demanda alla persona la scelta, in vita, di lasciare o meno agli eredi la facoltà di accedere ai propri dati, e, in assenza di un espresso divieto, attribuisce agli eredi, o a chi agisce per “ragioni familiari meritevoli di protezione” l’esercizio dei diritti del defunto.

Il giudice di Milano ha ritenuto esistente anche un legittimo interesse da parte dei genitori, che prevale sulla sicurezza dei clienti opposta da Apple.

Qui il link diretto alla Sentenza.

Massime del Garante Privacy

Sembra infine utile concludere con qualche pillola sul tema, che è trasversale a diverse materie, dell’Autorità Garante per la Protezione dei Dati Personali italiana:

  • In tema di contratti bancari estinti dopo la morte di una persona, il relativo erede ha il diritto di accedere a tutti i dati personali concernenti il “de cuius”, ivi comprese le informazioni attinenti a pregressi rapporti obbligatori di cui egli sia stato contitolare- Garante 3 aprile 2002, in Bollettino n. 27, pag. 20 [doc. web n. 1065256]; e ancora l´erede ha diritto di conoscere tutti i dati personali riferiti al suo dante causa e detenuti da un istituto di credito. – Garante 10 dicembre 2003 [doc. web n. 1053648].
  • In tema di assicurazioni, il Titolare del trattamento è tenuto ad estrarre dagli atti e dai documenti detenuti – ivi comprese le polizze eventualmente sottoscritte – tutte le informazioni personali relative al defunto, mettendole a disposizione, in modo intelligibile, dell’erede, con esclusione dei dati relativi ai terzi beneficiari della polizza assicurativa Garante 31 marzo 2003 [doc. web n. 1053796].
  • In tema di atti giudiziari, il discendente del defunto ha pieno titolo ad accedere ai dati personali del “de cuius” a prescindere dalla concreta posizione attualmente rivestita in ambito successorio, senza che l’esercizio di tale diritto possa essere condizionato alla prova della qualità di chiamato all´eredità o all´esibizione di particolari documenti, quale la procura notarile rilasciata dagli eventuali altri eredi – Garante 19 novembre 2003 [doc. web n. 1152385].

____________________________________________

Immagine di copertina di David Menidrey grazie a Unsplash

News #42: cookie wall e “pagamento”​ con i dati, è rivoluzione; report OCSE sulla corruzione, l’Italia non brilla; TikTok apre il suo marketplace.

Immagine di copertina grazie a Dall-E (Alberto Scirè).

PRIVACY

PAYWALL E COOKIE WALL, ORA SI “PAGA” CON I DATI – Ha fatto molto rumore, anche al di fuori del “circolo” degli esperti privacy, l’iniziativa di Gruppo GEDI, Il Fatto Quotidiano e del Corriere di impostare un #banner cookie nel quale, in alternativa, l’utente può acquistare un abbonamento e rifiutare i #cookie, oppure accedere ai contenuti gratuitamente in cambio di un #consenso alla #profilazione. Senza entrare nel merito dell’impostazione – piuttosto “nuova” in Italia – non si può non rilevare un certo coordinamento tra testate, e una implementazione dei principi del GDPR in ottica alquanto ardita, seppure (almento in linea di principio) non illecita. Il #Garante Privacy ha dichiarato di monitorare attentamente la situazione di queste iniziative, e ha poi aperto una istruttoria.

AGGIORNAMENTO LINEE GUIDA EDPB 9/2022 SUL DATA BREACH – L’EDPB ha aggiornato le linee guida sulla notifica delle violazioni dei dati personali (“data breach”) emesse in precedenza, e poi già aggiornate, ai sensi del GDPR. Le #novità riguardano in particolare il paragrafo 73, in merito alla notifica da rivolgere alla/e Autorità del luogo ove si verifica la violazione, chiarendo che il luogo del rappresentante in UE non è sufficiente per attivare il meccanismo del #onestopshop: la notifica sarà da inviare a ciascuna Autorità locale interessata. Il testo resterà aperto alla consultazione pubblica fino al 29 novembre 2022: dopo tale data, anche in base ai commenti ricevuti, verrà pubblicata una versione aggiornata.

SANZIONE (ANCHE) DAL CNIL PER IL RICONOSCIMENTO FACCIALE – L’autorità francese per la protezione dei dati (“CNIL”) ha annunciato, in data 20 ottobre 2022 una sanzione di 20 milioni di euro a Clearview AI Inc., per violazione degli articoli 6, 12, 15, 17 e 31 del GDPR’, a seguito di denunce di privati e autorità per la protezione dei dati, tra le quali anche il Garante Italiano il 9 marzo 2022. In particolare, i reclami proposti riguardavano l’uso da parte di Clearview AI del software di riconoscimento facciale, e la CNIL ha sottolineato di aver ricevuto diverse denunce in merito alle difficoltà incontrate nell’esercizio dei propri diritti di accesso e cancellazione.

SURVEY SULLA PRIVACY DEI CONSUMATORI – Il sondaggio effettuato da Cisco ha rivelato che la trasparenza è la chiave della fiducia dei consumatori, e ha mostrato, sulla base delle rilevazioni effettuate e presenti nel report, l’aumento della #consapevolezza della privacy tra i consumatori. Il report mostra anche una #analisi approfondita dei risultati dell’indagine e #raccomandazioni su come le organizzazioni possono rispondere alle tendenze e ai desideri dei consumatori.

REGISTRO DELLE OPPOSIZIONI – Dopo tre mesi dall’entrata in vigore, il 27 luglio 2022, del Registro delle opposizioni, l’impressione rilevata dai feedback degli iscritti è che il sistema abbia un netto margine di miglioramento: nonostante la regolare iscrizione, accade spesso che si venga contattati comunque da numeri indesiderati. Le proposte per perfezionare il meccanismo comprendono la creazione di un portale, attraverso il quale gli utenti potranno anche monitorare la loro posizione personale, e l’accesso a tale portale tramite SPID.

USA – L’Interactive Advertising Bureau (IAB), la principale associazione di categoria che rappresenta oltre diverse aziende di comunicazione e pubblicità negli Stati Uniti, ha aggiornato l’accordo sulla Privacy valido per diversi stati (“MSPA”). Esso copre le nuove legislazioni di California, Colorado, Connecticut, Utah e Virginia e include disposizioni che riguardano le transazioni gap, la misurazione, il frequency capping e la pubblicità contestuale.

Non è stato fornito nessun testo alternativo per questa immagine

231

RAPPORTI TRA COLLEGIO SINDACALE E ODV – Pubblicato dall’Associazione AODV231 in collaborazione con AIDC Sezione di Milano un paper molto interessante che si occupa di supportare lo scambio di informazioni tra l’organo preposto al controllo del Modello 231 aziendale e il Collegio sindacale. Il testo ne riepiloga le rispettive esigenze informative e individua i focus e le informazioni che possono costituire il flusso informativo che le due entità si scambiano a supporto delle proprie attività, nel presupposto del continuo miglioramento del sistema di controllo interno.

INDEBITA COMPENSAZIONE – Con le due sentenze n. 32330 e n. 32331 la Corte di Cassazione ha espresso due precisazioni sul reato di #indebita #compensazione (art. 10 quater D.Lgs. 74/2000): (i) sulla natura dell’indebito risparmio che la norma incriminatrice mira a colpire, esso può riguardare non soltanto il mancato versamento di imposte dirette o dell’IVA, ma anche di #contributi assistenziali e previdenziali; (ii) l’evidente inesistenza del credito, che si desumeva dall’insufficiente descrizione dell’attività di Ricerca e Sviluppo dalla quale il credito sarebbe stato generato, rende #irrilevante la mancata acquisizione del parere del Ministero dello Sviluppo Economico ai fini della sussistenza del reato, che non stabilisce, quindi, alcuna pregiudiziale rispetto alle valutazioni del giudice.

REPORT DELL’OCSE SULLA CORRUZIONE INTERNAZIONALE IN ITALIA –  L’Organizzazione per la Cooperazione e lo Sviluppo Economico (“OCSE”) ha pubblicato il “Phase 4 Report – Italy”, monitorando il grado di applicazione della “Convenzione sulla lotta alla corruzione di pubblici ufficiali stranieri nelle transazioni commerciali internazionali”. La Convenzione è stata ratificata anche dall’Italia, che prevede il reato di corruzione di pubblici ufficiali stranieri (art. 322-bis, co. 2, n. 1) c.p.). Dal report emerge che l’Italia ha: rafforzato in modo significativo il proprio sistema normativo per la lotta alla corruzione internazionale (a) allungando i termini di prescrizione del reato; (b) aumentando la quantità delle pene detentive e delle sanzioni interdittive; (c) introducendo un sistema di tutela per i whistleblower; mostrato un livello di applicazione della legge con un ritmo crescente dal 2011; compiuto sforzi considerevoli per rinforzare il proprio quadro giuridico e politico per la cooperazione internazionale e l’estradizione, attraverso verifiche fiscali e collaborazione tra le autorità fiscali e le autorità italiane preposte all’applicazione della legge. Purtroppo, però, i casi di corruzione internazionale trattati in Italia hanno dato luogo a un elevato numero di archiviazioni o proscioglimenti, e quasi tutte le sanzioni penali per corruzione internazionale sono applicate attraverso il patteggiamento; in tema di responsabilità degli enti, le sanzioni pecuniarie sono così basse da essere inadeguate. I termini di prescrizione sono molto più brevi per le aziende che per le persone fisiche. L’Italia deve migliorare nella individuazione delle notizie di reato di corruzione internazionale, nella sensibilizzazione dell’opinione pubblica sul fenomeno, soprattutto verso i pubblici ufficiali e gli imprenditori, anche per promuovere l’adozione e l’applicazione di programmi di compliance anti corruzione internazionale. Il Report è disponibile a questo link.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TIKTOK – La piattaforma TikTok ha presentato il suo nuovo marketplace (“TTCM” o “TikTok Creator Marketplace”) in occasione del summit TikTok world. I nuovi strumenti offrono alle aziende e agli esperti di marketing un modo per ripensare il coinvolgimento con la community di TikTok, attraverso strumenti come (i) il TTCM Match, che crea suggerimenti; (ii) i link di invito, che consentono alle aziende di collaborare con qualsiasi creator; (iii) gaming e content anchors, che favoriscono collegamenti con aziende di gaming e permettono di bloccare un link per scoprire più informazioni sui prodotti e sui servizi.

DATA ACT – Proseguono i lavori del Parlamento europeo per l’approvazione del Data Act, che rappresenta il secondo step della strategia europea in materia di dati, dopo l’approvazione del Data Governance Act a maggio 2022, con entrata in vigore a settembre 2023. In materia di Data Act, Euractiv riporta che il relatore della commissione per il mercato interno e la protezione dei consumatori, Adam Bielan, ha proposto la #rimozione dalla bozza di atto la parte che obbligherebbe i fornitori di servizi cloud a consentire ai clienti di passare a un concorrente entro 30 giorni, garantendo però al contempo l’equivalenza funzionale.

PAGAMENTI SEMPRE PIÙ DIGITALI – L’Osservatorio “Innovative Payments” del Politecnico di Milano, che ha analizzato i trend tecnologici e le principali soluzioni nel mondo dei pagamenti innovativi, consultabile a questo link riporta che nei negozi e nelle attività commerciali la modalità di pagamento preferita è, sempre più frequentemente, quella “contactless”: il transato delle carte prepagate cresce del +19%, quello delle carte di debito del +24%, e anche le carte di credito beneficiano della ripresa dei consumi ad alto importo per i servizi, il turismo e i viaggi aziendali, con una crescita del +21%. 

RETE E BUSINESS AZIENDALE – Il report di NTT DATA (di cui una sintesi è disponibile a questo link) ha mostrato che la scarsa qualità della rete influenza negativamente il business delle aziende. Le aziende sono più performanti quando comprendono il valore di investire in tecnologie strategiche, come reti aziendali core, 5G, edge, intelligenza artificiale. Poiché la rete svolge un ruolo fondamentale nelle strategie di trasformazione digitale e nell’operatività ed elaborazione distribuite, è prevedibile un aumento del numero di aggiornamenti delle reti aziendali. Il report mostra anche che questo sviluppo sta spingendo le organizzazioni a passare a soluzioni di sicurezza centralizzate, basate sui cloud, e, in generale, ad aumentare gli investimenti nella cybersecurity.

INSTANT ARTICLES DI META – Instant Articles è il servizio di Facebook-Meta che permette agli utenti di accedere a siti web validati, che postano link a notizie sulla piattaforma. Ideato nel 2015, Instant Articles non ha avuto grande successo ed è stato utilizzato mediamente dal 3% degli utenti, come ha dichiarato il portavoce di Meta, spiegando che la piattaforma interromperà il supporto per il servizio.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

CALIFORNIA, USA – La CPPA (“California Privacy Protection Agency”) ha rivisto la bozza del California Consumer Privacy Act (“CCPA”), la più recente legge californiana sulla privacy, volta a migliorare i diritti dei consumatori per i residenti. Le revisioni includono modifiche alla definizione di “sforzo sproporzionato” e chiarimenti su come determinare se un ulteriore “scopo divulgato” è compatibile nel contesto della raccolta. 

NEW YORK, USA – La piattaforma e-commerce per la vendita di capi di abbigliamento SHEIN ha ricevuto una sanzione di 1.9 Milioni di dollari da parte dell’Attorney General di New York per un data breach avvenuto nel 2018, che non è stato gestito tempestivamente. Nel 2018 la piattaforma aveva subito un attacco informatico e il furto delle credenziali dei suoi utenti, tra i quali molti statunitensi, ma aveva potuto avvisare solamente una parte di essi. SHEIN ha dichiarato di aver collaborato con l’autorità americana e di aver implementato, dopo l’accaduto, misure di sicurezza adeguate.

BRASILE – L’autorità brasiliana per la protezione dei dati (“ANPD”) ha pubblicato il 18 ottobre 2022 una guida sui cookie, che cerca, in particolare, di identificare le pratiche positive e negative associate all’uso delle politiche sui cookie e sui cookie banner. 

ISLANDA – L’autorità islandese per la protezione dei dati (“Persónuvernd”) ha annunciato di aver firmato una dichiarazione sulla cooperazione continua con diverse autorità dei paesi nordici, tra le quali l’Ufficio del Mediatore per la protezione dei dati, l’Autorità svedese per la protezione della privacy, l’Autorità norvegese per la protezione dei dati, l’Autorità danese per la protezione dei dati, l’Ispettorato dei dati delle isole Åland e l’Autorità delle isole Faroe.

TEXAS, USA – L’Attorney General ha citato in giudizio Google per l’acquisizione e l’utilizzo non autorizzato di dati biometrici, affermando che l’acquisizione di dati come le impronte vocali, attraverso servizi come Google Assistant, senza consenso dell’interessato, viola la legge del Texas. La comunicazione pubblica è disponibile a questo link.

News #41: il metaverso sembra ancora un “deserto”​; Europrivacy approvata come prima certificazione GDPR; carcere per il CISO di Uber

Immagine di copertina di Remy Gieling grazie a Unsplash.

MERCATI DIGITALI

IL METAVERSO È PIUTTOSTO SOLITARIO (ALMENO, PER ORA) – Un interessante articolo di Coindesk, ripreso anche da diverse testate generaliste, racconta dell’ecosistema “Decentraland” – valutato ben più di un miliardo di dollari – in cui ci sarebbero circa 38 (!!) utenti attivi al giorno. Seppur il conteggio potrebbe essere leggermente più alto (se si considerassero non solo le transazioni in bitcoin, ma tutti gli utenti che fanno login, si arriverebe a circa 8.000 utenti al giorno), resta piuttosto evidente che al momento a “entrare nel metaverso” siano in pochissimi, e che il quoditiano sia ancora fortemente agganciato alla realtà “reale”. E a qualcuno, la mente corre subito a Second Life.

… ANCHE SE L’ONLINE DOMINA GLI ACQUISTI – Il report diffuso da BigCommerce, piattaforma ecommerce Open SaaS per marchi B2C e B2B, ha rilevato che molti consumatori (55%) fanno acquisti online più volte alla settimana, e ha sottolineato – forse, con una leggera forzatura – che il Metaverso, le criptovalute e gli NFT sono strumenti già pronti per rivoluzionare il commercio, e le esperienze di acquisto personalizzate e gli incentivi, come le spedizioni gratuite e gli sconti, diventeranno sempre di più dei fattori chiave per gli acquisti.

NORMATIVA UNI PER I BRAND – Presentata al “Brand Festival” di Jesi la nuova normativa UNI/PdR 111:2022 per la progettazione e gestione della marca (o “brand” per gli amanti dell’inglese). Qui il testo completo scaricabile gratuitamente, mentre qui un approfondimento – sintetico e molto utile a capire di cosa si tratta – di Matteo Lusiani.

PHISHING AS A SERVICE – Durante le indagini sull’attività di phishing nei confronti dei propri clienti, gli esperti di Managed Defense hanno scoperto una piattaforma di Phishing-as-a-Service (“PhaaS”) chiamata Caffeine, che, con un’interfaccia intuitiva e un costo relativamente basso, fornisce una moltitudine di funzionalità e strumenti ai suoi clienti criminali per orchestrare e automatizzare gli elementi fondamentali delle loro campagne di phishing. Tra le altre cose, Caffeine fornisce anche modelli di e-mail di phishing destinati all’uso contro obiettivi cinesi e russi; una caratteristica generalmente non comune e degna di nota della piattaforma.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

EUROPRIVACY È LA PRIMA CERTIFICAZIONE GDPR – L’EDPB ha approvato (finalmente) il primo schema di certificazione – di Europrivacy – con il quale ciascun soggetto che lo desidera può seguire il tracciato dell’art. 42 GDPR e dimostrare la propria “compliance” con effetto in tutti gli Stati Membri. Per le aziende, quindi, non resta ora che trovare un (bravo/a) auditor certificato e iniziare il percorso!

GOOGLE RIMUOVE I TUOI RISULTATI DI RICERCA – E’ disponibile da poco il tool di Google “Results about you”, che permette di chiedere la rimozione dai risultati di ricerca di informazioni personali come il proprio numero di telefono o l’indirizzo email. Danny Sullivan di Google ha affermato in una intervista a Gizmodo che la risposta di Google alla crescente sensibilità degli utenti verso le informazioni online che li riguardano passa attraverso la #gestione delle loro richieste in modo attento e consapevole, con attenzione alla rimozione di informazioni che potrebbero avere un interesse per il pubblico. Questa strategia si completa, tra l’altro, con pubblicazioni come il recente paper a tema “privacy by design” in cui BiG prende posizione in merito a questa tematica.

DEEP FAKE, AVVIATA L’ISTRUTTORIA – Il nostro Garante ha avviato una istruttoria sull’app “Fakeyou” di The Storyteller Company, che permette di falsificare la voce di personaggi noti, anche italiani, facendo leggere un testo inserito dall’utente.

EDPB E L’ARMONIZZAZIONE DEL GDPR – Il 10 ottobre l’EDPB ha inviato alla Commissione europea una comunicazione con una lettera contenente una lista di aspetti procedurali, con la finalità di migliorare l’armonizzazione del GDPR e delle relative procedure. La lista contiene, tra le altre cose: lo status e i diritti delle parti nelle procedure amministrative; scadenze delle procedure; requisiti per l’ammissibilità o il diniego dei riscontri; i poteri investigativi delle Autorità Garanti; e l’implementazione pratica delle procedure di cooperazione.

CONDANNATO AL CARCERE IL CISO DI UBER – Il verdetto della giuria della Corte Federale di San Francisco ha condannato Joe Sullivan, (ex) Chief Information Security Officer di Uber licenziato dalla società nel 2017, per gravi responsabilità nell’insabbiamento di data breach subiti dalla startup che ha rivoluzionato il settore dei trasporti. La Corte ha affermato che le aziende che conservano i dati dei loro clienti hanno la responsabilità di proteggerli e di agire correttamente quando si verificano dei data breach; si è aggiunto anche un comunicato del Dipartimento di Giustizia della California, molto interessante. Qui i dati del processo.

IAPP TECH VENDOR REPORT – Pubblicato il report di IAPP sulle tendenze privacy del 2022, in cui si analizzano ben 346 fornitori di tecnologia attivi nel settore.

Non è stato fornito nessun testo alternativo per questa immagine

231

FONDI INAIL PER PROGETTI DI SICUREZZA SUL LAVORO – Il 16 novembre prossimo si terrà un “click day” durante il quale saranno assegnate le risorse del bando ISI INAIL 2021, destinato a fornire contributi a fondo perduto per progetti in materia di salute e sicurezza sui luoghi di lavoro: le iscrizioni saranno aperte dal 28 ottobre prossimo.

MODELLO ORGANIZZATIVO ADOTTATO MA NON ATTUATO – Con la recente sentenza n. 38025/2022 (disponibile per gli iscritti all’Associazione #AODV231) la Cassazione ha respinto il ricorso di una società, condannata in forza del D.Lgs. 231/2001, la quale lamentava la mancata riduzione della sanzione pecuniaria seppur a fronte dell’adozione di un Modello Organizzativo. La Suprema Corte ha sottolineato che l’ente può beneficiare di una riduzione della sanzione se, oltre ad aver adottato un Modello Organizzativo, lo ha reso anche operativo: e non è sufficiente la mera nomina di un Organismo di Vigilanza.

FRENA LA LOTTA ALLA CORRUZIONE – La pubblicazione del report di Transparency International “Exporting Corruption 2022 – Assessing Enforcement of the OECD Anti-Bribery Convention” ha visto attivi nella lotta alla corruzione sempre meno paesi (solo USA e Svizzera in maniera rigorosa), e sanzionato l’Italia con il passaggio di applicazione della convenzione da “moderato” a “limitato”. La insostenibile durata dei processi è al banco degli imputati insieme a inadeguati sistemi di whistleblowing.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

BELGIO – Il Garante belga si è pronunciato sui ricorsi presentati da diverse persone che venivano riprese da una videocamera privata, installata – senza previa registrazione agli uffici competenti – allo scopo di sorvegliare le motociclette del proprietario di un giardino. Dal provvedimento che ha sanzionato il Titolare del trattamento si comprende che le registrazioni delle persone fisiche con telecamere di sorveglianza sono dati personali; e ciò supera la non-applicabilità del Regolamento alle persone fisiche nell’esercizio di attività puramente personali o domestiche. all’art. 2(2)(c) del GDPR.

OLANDA (E FLORIDA) – Un tribunale olandese ha ordinato a un’azienda di sviluppo software con sede in Florida di pagare 75.000 euro a un ex dipendente che si era rifiutato di lasciare la webcam accesa. Il residente nei Paesi Bassi, che lavorava per CHETU, ha dichiarato che i requisiti di condivisione dello schermo e di utilizzo della webcam da parte dell’azienda erano “un’invasione” della privacy e violavano le norme sulla privacy dei dati.

AUSTRALIA – Approvata dal ACTU locale una risoluzione per la protezione dei dati personali dei dipendenti, in cui si delineano le linee guida per le aziende a tutela dei lavoratori. Tra i tanti spunti, il divieto di usare geolocalizzazione e biometria laddove non vi sia una necessità particolare, e l’obbligo di dotarsi di policy specifiche e chiare.

G7 – Pubblicato in seno all’OECD un documento relativo ai trasferimenti internazionali di dati personali, che punta a supportare l’agenda dei paesi più industrializzati e tende a uniformare – ove possibile – l’approccio. Molto interessante alla luce dei recenti cambiamenti in USA, in Cina e in Russia, oltre che delle novità legislative dell’Unione Europea (DMA).

Il diritto all’immagine: tutela e protezione su più fronti

L’immagine personale è senza dubbio considerata da ognuno di noi un diritto intimo, primario ed essenziale.

Forse, più di ogni altro diritto dell’essere umano.

La nostra immagine riflette al mondo esterno chi siamo, da dove proveniamo, se siamo tristi oppure felici. Ha la capacità di trasmettere così tanto di noi stessi agli altri che, inevitabilmente, ci fa sentire la necessità di preservare la sua riservatezza e controllarne la sua condivisione: vogliamo cioè essere noi a decidere se e quando diffondere la nostra immagine a terzi.

Negli ultimi anni, grazie all’evoluzione tecnologica e – soprattutto – all’avvento dei social network, abbiamo assistito ad una condivisione estremamente rapida di immagini personali veicolate a mezzo di video e fotografie.

Scattiamo foto e pubblichiamo contenuti: la vacanza con gli amici, la cena coi colleghi, il pranzo della domenica in famiglia.

La rapidità di approvvigionamento e di condivisione di immagini (personali) ci ha, tuttavia, allontanati da un concetto quanto mai essenziale: la legittimazione all’uso dell’immagine altrui.

La normativa di riferimento: dalla legge sul diritto d’autore al GDPR

Il diritto e la relativa tutela dell’immagine personale sono ben radicati nel nostro ordinamento, trovando le loro fonti tanto nel Codice civile quanto nella legge sul diritto d’autore, sfociando addirittura nella stessa Costituzione per via del rimando operato dall’art. 2 ai diritti inviolabili.

Con l’avvento della normativa privacy nazionale e, in ultimo, della regolamentazione europea del GDPR, la tutela dell’immagine è andata sempre più consolidandosi, tanto che pare importantissimo chiedersi: entro che limiti è possibile pubblicare e diffondere l’immagine altrui?

A livello cronologico, la prima fonte normativa ad occuparsi del tema è stata la legge 22 aprile 1941, n. 633 – cd. Legge sul diritto d’autore – che all’art. 96 stabilisce che “il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa, salve le disposizioni dell’articolo seguente”.

Con l’art. 97 il legislatore ha infatti voluto fissare una deroga alla regola generale dell’art. 96, stabilendo i casi in cui si può lecitamente diffondere l’immagine altrui prescindendo dal consenso dell’interessato.

Per il legislatore, dunque, non occorre il consenso della persona ritratta quando “la riproduzione dell’immagine è giustificata (i) dalla notorietà o dall’ufficio pubblico coperto, (ii) da necessità di giustizia o di polizia, da scopi scientifici, didattici o culturali, o (iii) quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico”.

Più di recente, con il Regolamento Europeo 2016/679 (GDPR) viene introdotta in Italia una nuova normativa in materia di protezione dei dati personali, normativa che indubbiamente si riflette anche sulla protezione dell’immagine personale in quanto dato personale.

Secondo la definizione offerta dall’art. 4, n.1 GDPR, dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, considerandosi identificabile la persona fisica che “può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

L’immagine di ognuno di noi è un contenitore composito di dati personali, anche particolari (cioè sensibili). L’immagine personale trasmette infatti al mondo il genere, l’età, l’etnia di ognuno di noi. Addirittura, la presenza di qualche malattia. 

A mente dell’art. 9 GDPR, non è possibile – in via generale – trattare dati personali particolari salvo che, tra gli altri, in caso di consenso esplicito dell’interessato.

Entrambe le normative prevedono dunque, entro certi limiti, degli strumenti “abilitanti”, che consentono di diffondere in maniera legale l’immagine personale di un terzo: strumenti che si risolvono nella liberatoria e nella informativa privacy.

Informativa o liberatoria?

A fonte delle due normative maggiormente incisive in materia – legge sul diritto d’autore da un lato e GDPR dall’altro – è utile capire quale strumento sia, in concreto, più efficace.

L’informativa privacy è un documento all’interno del quale un soggetto, in qualità di titolare del trattamento, comunica all’interessato una serie informazioni riguardanti il trattamento dei propri dati personali.

Gli articoli 13 e 14 GDPR illustrano il contenuto tipico di una informativa, per cui il soggetto che intenda utilizzare l’immagine altrui dovrà comunicare – tra le altre cose– le finalità e le basi giuridiche del trattamento, il tempo di conservazione dei dati trattati, l’esistenza di una serie di diritti, tra cui è ricompreso anche il diritto di revocare il consenso.

In accordo con quanto stabilito dall’art. 7 GDPR, infatti, “l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento”.

Sebbene la revoca del consenso non pregiudichi la liceità dei trattamenti basati sul consenso già effettuati – avendo pertanto una efficacia ex nunc – impedirebbe di fatto l’uso futuro dell’immagine.

La liberatoria è, al contrario, un accordo bilaterale – un contratto! – in virtù del quale il soggetto ritratto in un documento video-fotografico presta il suo consenso affinché la propria immagine venga divulgata.

A differenza dell’informativa, la liberatoria non ha un vero e proprio contenuto tipico; tuttavia – per essere efficace anche dal punto di vista della tutela del predisponente – deve inevitabilmente informare il soggetto ritratto sullo scopo per il quale l’immagine viene utilizzata.

Una volta ottenuto un assenso con la firma della liberatoria, il predisponente sarà tutelato da eventuali future opposizioni all’uso.

Nell’ottica di una maggior tutela del soggetto che intenda usare e divulgare l’altrui immagine – fermo in ogni caso l’obbligo di fornire una adeguata informativa privacy – è sempre preferibile predisporre una liberatoria in modo tale da assicurarsi l’uso indisturbato dell’immagine in oggetto.

La tutela dell’immagine del lavoratore

Fatte queste premesse generali, proviamo in questa sede a rispondere ad una (importantissima) domanda: come utilizzare l’immagine di un dipendente dell’azienda?

La questione è particolarmente complicata: quanto può davvero definirsi libero il consenso – o meglio, l’ipotetico dissenso – di un lavoratore dipendente?

Il potere contrattuale delle parti, indiscutibilmente sbilanciato a favore del datore di lavoro, potrebbe comportare la spiacevole situazione per cui un soggetto possa sentirsi, nei fatti, “obbligato” a prestare il proprio consenso perché vincolato dal contratto di lavoro (per non parlare del caso limite in cui sia proprio il datore di lavoro a estorcere il consenso).

La liberatoria, risolvendosi in una vera e propria scrittura privata tra le parti, ha lo scopo di mettere nero su bianco le condizioni dell’accordo che, una volta sottoscritto, ha tra le parti valore di contratto.

È dunque la liberatoria il contratto al quale fare più correttamente riferimento nella informativa privacy, contratto che – prescindendo dal consenso (che nello specifico caso non sarebbe mai davvero “liberamente prestato”, come richiede la normativa vigente in materia di trattamento dei dati personali) consente un uso della immagine del lavoratore priva dei rischi connessi ad una eventuale revoca del consenso stesso.

______________________________________________

Immagine di copertina di Steve Gale grazie a Unsplash