Abbiamo selezionato per voi le ultime flash news legate alla normativa privacy e al tema della sicurezza dei dati.

  • Privacy e donazione del corpo alla scienza
    In esito all’attività di valutazione richiesta dal Ministero della Salute, il Garante Privacy Italiano si è espresso positivamente – con parere favorevole – in merito allo schema di decreto (e al relativo disciplinare tecnico) in materia di modalità di trasmissione telematica delle dichiarazioni con cui l’Interessato abbia acconsentito all’utilizzo del proprio corpo e dei tessuti post mortem per finalità di studio, di formazione e di ricerca scientifica. Gli incaricati della ASL di appartenenza provvederanno ad inserire le dichiarazioni di consenso degli Interessati-donatori all’interno di una specifica banca dati (DAT: banca dati delle disposizioni anticipate di trattamento) tenuta presso il Ministero della Salute, insieme ai seguenti dati personali e informazioni, che potranno essere conservati per un periodo non superiore ai 10 anni dal decesso del donatore ovvero, nel caso di minorenni, fino alla data di compimento della maggiore età:
    • dati relativi al donatore;
    • dati del fiduciario e del sostituto nominati dal donatore, e la relativa accettazione di nomina;
    • per i soli donatori minorenni, la dichiarazione di consenso di entrambi i genitori;
    • eventuali revoche.
    Le dichiarazioni potranno essere rese nelle forme che seguono, mediante consegna di persona all’Ufficio di Stato civile del comune di residenza o alle strutture sanitarie:
    • atto pubblico;
    • scrittura privata autenticata;
    • videoregistrazione o (nel caso di donatori affetti da disabilità) altri dispositivi di supporto.
  • Garante e webscraping: continua l’indagine
    Il Garante per la Protezione dei Dati Personali Italiano, con provvedimento del 21 dicembre 2023, ha deliberato l’avvio dell’indagine conoscitiva in materia di webscraping, ed ora ha pubblicato in Gazzetta Ufficiale (G.U.) l’Avviso di indagine, come annunciato lo scorso mese di novembre 2023: a decorrere dal 18 gennaio 2024, per 60 giorni, si è aperta la fase in cui Associazioni di categoria interessate, Associazioni dei consumatori, esperti ed accademici possono contribuire alle indagini presentando le proprie osservazioni, proposte operative e consigli utili per individuare le misure di sicurezza tecniche ed organizzative più idonee al contrasto del fenomeno, in risposta all’invito del Garante. Gli interventi devono pervenire presso l’indirizzo di posta elettronica webscraping@gdpd.it appositamente messo a disposizione dall’Autorità, entro e non oltre (calendario alla mano) il 22 marzo 2024. Trovate qui il link al provvedimento del Garante Privacy recante l’Avviso di indagine.
  • Nuove regole per gli influencer
    Sono da poco state approvate le linee guida Agcom per regolamentare le attività pubblicitarie online che si applicano, di conseguenza, anche agli/alle influencer, beniamini del web. Per quanto diversi comportamenti online siano stati reputati ovvi, la pubblicità ha richiesto una serie di regole volte a regolarizzare quanto ormai accade spesso, ossia manipolare le scelte dei consumatori con informazioni e contenuti inesatti e/o non specificando che si viene pagati per promuovere tale prodotto o servizio. Ma perché parliamo di questo in un contesto privacy? Guido Scorza, componente del Garante Privacy italiano, solleva una questione importante. Purtroppo, la gara tra regolamentazione e innovazione è sempre molto accesa ed è sempre difficile restare al passo, infatti vediamo da un lato l’approvazione di queste linee guida dell’Agcom che finalmente regolamentano l’influencer marketing, ma dall’altro troviamo l’evolversi di un altro fenomeno non di poco conto, ossia la nascita di influencer digitali non reali, creati mediante l’intelligenza artificiale. L’IA sta creando nuove figure e nuovi influencer nel quale le persone riversano la propria fiducia pur non sapendo che dietro tali creazioni sintetiche ci siano realtà più complesse. Ma i dati personali che le persone “consegnano” volontariamente ai loro riferimenti digitali, in realtà terminano nelle mani di queste realtà che stanno nel loro backend. Quali saranno le conseguenze? Come verranno trattati questi dati? Per quanto si sia raggiunto un traguardo importante nella regolarizzazione della pubblicità, sarà necessario ragionare sulle possibili conseguenze imputabili, in un futuro prossimo, all’intelligenza artificiale.
  • Violazione privacy: colpa del singolo o dell’organizzazione?
    Lo scorso dicembre 2023 la Corte di giustizia europea (CGUE)  ha emanato una sentenza (causa n. C-807/21) riferita ad una vicenda che ha avuto luogo in Germania, la quale vede come protagonista una holding immobiliare. Quest’ultima, detenendo diversi appartamenti e negozi, nonché partecipazioni in società, tratta dati dei locatari. Nel farlo, tuttavia, è emerso che tali dati siano stati trattati in maniera illegittima secondo quanto previsto dal GDPR, ad esempio con tempi di conservazione lunghi e non circoscritti. Indi per cui il Garante privacy tedesco ha avviato un contenzioso nei confronti della holding. La società immobiliare ha tentato di difendersi, affermando che un illecito amministrativo può essere imputato ad una persona giuridica solo nel caso in cui sia stata identificata la persona che ha commesso l’illecito. Possiamo considerarla una visione corretta?

    Il parere della CGUE

    Dunque, è stato chiesto alla CGUE di:
    • esprimersi in merito alla veridicità di quanto invocato dalla holding;
    • precisare se il Garante debba dimostrare che, per la “punizione”, l’infrazione sia stata commessa dall’organizzazione in modo doloso o colposo da parte di un dipendente o se sia già sufficiente che le possa essere imputata un’oggettiva violazione.
    La Cgue ha replicato:
    • non è corretto quanto impugnato dalla holding, ossia può essere inflitta una sanzione a persona giuridica (titolare del trattamento) pur non avendo identificato una persona fisica colpevole dell’accaduto;
    • la responsabilità oggettiva è esclusa e, dunque, la sanzione amministrativa pecuniaria può essere inflitta solo se la violazione è stata commessa in maniera dolosa o colposa.
    E’ importante precisare anche quanto pronunciato dalla Corte di cassazione in Italia, la quale, allo stesso modo, pone le sanzioni privacy direttamente a capo delle organizzazioni. Ma questo perché?

    La responsabilità privacy dell’ente

    La responsabilità dell’ente si definisce “colpa di organizzazione”, in quanto la violazione e la sua conseguente sanzione è imputata ad un’inosservanza dell’ente nel prevenire gli illeciti mediante cautele. Anche la CGUE volge l’attenzione sul punto specificando che le imprese devono avere interesse ad inserire cautele documentali che diano la possibilità di deviare la responsabilità per violazioni privacy commessi da propri collaboratori. Tra le cautele documentali troviamo, ad esempio, le lettere di nomina ad incaricato, le quali autorizzano il dipendente al trattamento dei dati personali e la formazione privacy degli stessi. Le stesse però devono essere dettagliate e specifiche relativamente a finalità perseguite, strumenti e modalità di utilizzo, finalità vietate e conseguenze delle stesse. Troviamo ancora la necessità di circoscrivere le modalità di accesso ai sistemi informatici, registrare i log access per controllare le attività, creare credenziali univoche per dipendente, fornire un Disciplinare per l’utilizzo degli strumenti informatici aziendali, etc. https://mondoprivacy.it/disciplinare-utilizzo-strumenti-elettronici/ A cappello di quanto detto e fornito ai dipendenti, occorre informare i dipendenti circa i trattamenti svolti; come? Mediante la consegna di un’informativa ad hoc. Dunque, care imprese, è fondamentale creare un corredo documentale che vada non solo a creare un sistema di gestione privacy, ma che dia anche la possibilità di difendersi in caso di illeciti causati dai singoli dipendenti.
  • 2024 e legge privacy
    L’anno inizia con tante novità in ambito privacy, soprattutto a livello legislativo. Di seguito elenchiamo le date da non perdere, save the date!

    Gennaio. Il prossimo giovedì 11 gennaio entra in vigore il Regolamento (UE) 2023/2854 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo e che modifica il regolamento (UE) 2017/2394 e la direttiva (UE) 2020/1828, anche detto Data Act. Tuttavia, il Data Act sarà applicabile a partire del 12 settembre 2025, ovvero venti mesi dopo la sua entrata in vigore, con l’eccezione relativa alla sezione sui requisiti per l’accesso semplificato ai dati per i nuovi prodotti, che si applicherà ai prodotti connessi e ai servizi collegati immessi sul mercato dopo il 12 settembre 2026.

    Attraverso questa nuova normativa, l’Unione Europea vuole imporre ai fabbricanti e ai fornitori di servizi l’obbligo di consentire ai loro utenti l’accesso ai dati generati dall’uso dei loro prodotti o servizi e di riutilizzarli, nonché di condividerli con terzi.

    Febbraio. A decorrere dal 17 febbraio entrerà in pieno regime il Regolamento (UE) 2022/2065 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE, conosciuto anche come Digital Services Act; fino a tale data saranno applicabili solo alcuni articoli del testo.

    La nuova normativa ha l’obiettivo di promuovere un ambiente online sicuro e affidabile, attraverso l’introduzione di tutele che possano proteggere gli utenti delle piattaforme da contenuti illegali nonché la previsione di obblighi di trasparenza e di non discriminazione in capo a coloro che offrono i propri servizi mediante le grandi piattaforme online.

    Giugno. Il 30 giugno entrerà in vigore il Regolamento (UE) 2023/1114 ai mercati delle cripto-attività e che modifica i Regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937 (MiCA). Questo regolamento ha un processo di implementazione che va dal 29 giugno 2023 al 30 giugno 2024 e al 30 dicembre 2024.

    Ottobre. Entro il 17 ottobre 2024 dovranno essere trasposte due normative europee che si prefiggono di innalzare il livello di cybersecurity e di migliorare il funzionamento del mercato interno dei Paesi Membri:

      • la Direttiva (UE) 2022/2555 relativa alle misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2).
      • la Direttiva (UE) 2022/2557 relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio.

    Cosa accade con il desiderato Artificial Intelligence Act?

    Dobbiamo attendere fino al prossimo 2026 per poter applicare in modo completo questa normativa. La pubblicazione del Regolamento sull’Intelligenza Artificiale dovrebbe avvenire a breve, e la sua applicazione sarà soggetta a un meccanismo simile a quello utilizzato dall’UE per altre norme del genere: effettiva applicazione decorsi 24 mesi dalla pubblicazione, eccetto per alcune previsioni specifiche, come è il caso dei divieti assoluti, i quali entreranno pienamente in vigore già dopo 6 mesi dalla pubblicazione.   https://mondoprivacy.it/blog/news-dpo-privacy/intelligenza-artificiale-parere-definitivo-edps/