Bollettino Legale n. 82 – Aprile 2025. 

Protezione dei dati e semplificazione degli standard: cosa dobbiamo aspettarci?

La questione della semplificazione degli standard, tema ricorrente di discussione in Europa, ha assunto particolare importanza dopo il cambio di leadership alla Casa Bianca.

Al vertice di Parigi sull'intelligenza artificiale (IA) dello scorso febbraio, la competitività è quindi diventata una priorità dichiarata di fronte alla deregolamentazione negli Stati Uniti.

Il programma di lavoro della Commissione europea per il 2025 si propone esplicitamente di promuovere la crescita economica sostenendo l'innovazione.

Quale sarà l'impatto di questa politica sugli standard europei in materia di protezione dei dati?

Nel campo dell'intelligenza artificiale, l'Europa si è innanzitutto impegnata a raggiungere gli obiettivi principali della regolamentazione, esaminando al contempo l'onere amministrativo per le imprese.

La Commissione richiederà il contributo del settore quando l'incertezza normativa ostacola lo sviluppo dell'IA e lo integrerà in un più ampio sforzo volto a rivedere ed eventualmente abrogare una serie di norme digitali entro la fine dell'anno.

La direttiva sulla responsabilità in materia di IA, che mirava ad aggiornare le norme UE sulla sicurezza dei prodotti per includere l'IA e l'automazione, è già stata ritirata.

La CCIA, il principale gruppo di pressione statunitense per le grandi aziende tecnologiche con sede a Bruxelles, ha accolto con favore questo approccio, pur auspicando un "attacco frontale" alla regolamentazione.

La Commissione europea ha inoltre informato gli Stati membri, alla fine di aprile, della bozza di linee guida relative al rapporto tra la normativa sull'IA e le altre normative, incluso il GDPR.

Sta lavorando allo sviluppo di un modello per le valutazioni d'impatto sui diritti fondamentali (FRIA) richieste dal regolamento sull'IA, al fine di evitare duplicazioni con la valutazione d'impatto sulla protezione dei dati prevista dal GDPR.

Da parte loro, gli Stati membri sottolineano la necessità di una maggiore cooperazione con le altre autorità per evitare che le due leggi principali portino a decisioni contraddittorie o a indagini sovrapposte.

Il Comitato europeo per la protezione dei dati (EDPB) sta inoltre elaborando linee guida sull'interazione tra il GDPR e il regolamento sull'IA e sta esaminando con la Commissione le possibilità di sinergie al fine di garantire coerenza interpretativa, certezza del diritto e chiarezza per gli operatori.

E per quanto riguarda il GDPR? Lo scorso luglio, la Commissione ha pubblicato una relazione di valutazione sull'argomento, che ha evidenziato una notevole frustrazione tra le PMI sotto diversi aspetti:

• Requisiti di documentazione eccessivi,
• Costo di assunzione o nomina di un DPO,
• Difficoltà nella scelta della base giuridica (interesse legittimo / consenso),
• Vincoli per le tecnologie emergenti e le startup.

Questa critica fa eco all'opinione dell'ex Primo Ministro italiano Mario Draghi, il cui rapporto economico dello scorso settembre evidenzia come le complesse normative europee impediscano all'economia italiana di colmare il divario con Stati Uniti e Cina, citando in particolare la regolamentazione sull'intelligenza artificiale e il GDPR.

La Commissione prevede di proporre un "pacchetto di semplificazione" per le piccole e medie imprese alla fine di maggio, sebbene la data sia da intendersi come indicativa: la proposta di semplificazione delle norme sulla privacy dovrebbe comunque essere presentata entro giugno.

Gli adeguamenti potrebbero includere la limitazione dei requisiti per la tenuta dei registri delle attività di trattamento dei dati, oppure la riforma delle valutazioni d'impatto sulla protezione dei dati, due norme considerate particolarmente onerose per le PMI.

Vale anche la pena ricordare che il deputato Axel Voss e il presidente dell'ONG Noyb, Max Schrems – due figure le cui opinioni sull'argomento sono state storicamente contrapposte – hanno unito le forze lo scorso marzo per proporre una revisione importante del GDPR, volta a

• Semplificare la conformità per le PMI e le organizzazioni non profit,
• Stabilire regole più chiare e più facili da gestire per le grandi organizzazioni,
• Rafforzare le capacità di controllo per garantire una protezione dei dati più efficace.

Sebbene questa proposta rifletta un cambiamento di rotta verso soluzioni pragmatiche che conciliano la tutela della privacy con le esigenze aziendali, altri sottolineano i rischi di riaprire il testo, che potrebbe crollare sotto la pressione delle lobby, come evidenziato dal gruppo per la difesa dei diritti digitali EDRi.

Vale la pena ricordare che i negoziati relativi allo sviluppo del GDPR hanno innescato una delle più grandi campagne di lobbying che Bruxelles abbia mai visto.

Le aziende tecnologiche hanno speso milioni cercando di influenzare le regole durante la fase di stesura e la proposta è stata oggetto di oltre 3.000 emendamenti al Parlamento europeo, un record.

L'attuale lavoro sul regolamento procedurale GDPR, che mira a rafforzare la cooperazione tra le autorità di protezione dei dati (DPA) e ad accelerare il processo decisionale nei casi transfrontalieri, potrebbe benissimo confermare che la strada per l'inferno è lastricata di buone intenzioni.

Mentre proseguono i colloqui (trilogo) tra la Commissione, il Parlamento europeo e il Consiglio, alcuni mettono in guardia dal rischio di giungere a un compromesso che non solo non riesca a realizzare le riforme necessarie, ma che potrebbe anche introdurre nuove vulnerabilità.

Il 17 aprile, l'ONG Noyb ha dichiarato che il Trilogo ha generato un caos legislativo che probabilmente renderà le procedure più complesse, più lente e soggette a contestazioni legali.

 

    

Il 29 aprile la CNIL ha pubblicato la sua relazione annuale per il 2024.

Tra i temi chiave figurano la sicurezza informatica, che si sta affermando come priorità strategica per i prossimi anni a fronte di un notevole aumento delle violazioni dei dati (+20 %), e il rafforzamento delle azioni repressive.

Il rapporto sottolinea inoltre l'importanza del rispetto dei diritti dei minori, del controllo delle pratiche di prospezione commerciale e della regolamentazione della videosorveglianza.

Parallelamente, la CNIL sta rafforzando la cooperazione europea per una migliore regolamentazione delle grandi piattaforme digitali e prosegue il suo lavoro sull'intelligenza artificiale.

La Commissione ha inoltre pubblicato il 30 aprile le proprie linee guida per rafforzare la sicurezza dei grandi database.

Queste misure estendono e rafforzano le precauzioni di sicurezza di base.

Analogamente alle misure prioritarie di sicurezza informatica dell'ANSSI o a quelle volte a prevenire le fughe di dati, queste non intendono elencare tutte le misure sufficienti, ma richiamano l'attenzione dei titolari del trattamento dei dati sulle misure di sicurezza che la CNIL ritiene necessarie quando sono coinvolti grandi database, in particolare per quanto riguarda i rischi di esfiltrazione massiva di dati.

Duecento testate giornalistiche francesi hanno presentato una denuncia contro Meta per "pratiche illegali": secondo Le Monde, "diversi gruppi editoriali (Prisma, Les Echos-Le Parisien, CMI), quotidiani nazionali e regionali, nonché emittenti pubbliche e private (TF1, RMC-BFM, France Télévisions e Radio France) accusano Meta di aver approfittato del periodo in cui stavano implementando il consenso degli utenti per la raccolta dei loro dati personali al fine di realizzare pubblicità mirata".

 

istituzioni e organismi europei

Il 23 aprile, la Commissione europea ha emesso le prime due sanzioni previste dal Regolamento sui mercati digitali (DMA).

Nello specifico, Apple e Meta sono state multate rispettivamente per 500 milioni e 200 milioni di euro.

La Commissione ritiene che Apple non abbia rispettato i propri obblighi in merito alla disponibilità delle applicazioni sull'App Store.

Per quanto riguarda Meta, l'azienda è stata multata di 200 milioni di euro a causa del suo sistema "consenso o pagamento".

La Commissione ha ritenuto che questo modello non offrisse agli utenti la possibilità specifica di optare per un servizio equivalente che utilizzasse meno dati personali.

Si noti che, a seguito di questa indagine, Meta ha introdotto una terza opzione, quella degli "annunci meno personalizzati", che non è stata ancora valutata dalla Commissione.

Nell'ambito del programma Europa digitale (DIGITAL), la Commissione ha pubblicato quattro nuovi bandi di gara per un valore di 140 milioni di euro, volti a promuovere la diffusione dell'intelligenza artificiale, incentivare le competenze digitali avanzate, ampliare la rete degli hub europei per l'innovazione digitale (EDIH) e contrastare la disinformazione.

In tale contesto, il 9 aprile ha pubblicato un invito a presentare contributi in merito alla futura legislazione sul cloud e sull'intelligenza artificiale (Cloud and AI Development Act – CAIDA).

L'obiettivo sarebbe quello di colmare la lacuna di un'offerta europea di servizi cloud competitiva e di dimensioni sufficienti per applicazioni altamente critiche con requisiti di sicurezza particolarmente elevati.

L'EDPB e l'EDPS hanno presentato le loro relazioni annuali per il 2024 alla fine di aprile.

Il Garante europeo della protezione dei dati (EDPS) ha evidenziato l'evoluzione del proprio ruolo alla luce del regolamento europeo sull'intelligenza artificiale, che lo designa come autorità di controllo e di notifica per le istituzioni dell'UE.

La relazione dell'EDPB fornisce una panoramica del lavoro svolto nel 2024, compresa l'adozione della strategia 2024-2027, l'aumento dei pareri nell'ambito del meccanismo di coerenza ai sensi dell'articolo 64(2) e gli sforzi in corso per fornire orientamenti e consulenza giuridica, in particolare alle PMI.

Nella sua sessione plenaria dell'aprile 2025, il Comitato europeo per la protezione dei dati (EDPB) ha adottato linee guida sul trattamento dei dati personali tramite tecnologie blockchain.

Il documento sottolinea l'importanza di implementare misure tecniche e organizzative fin dalle prime fasi della progettazione del processo e di definire al contempo i ruoli e le responsabilità dei vari attori coinvolti nel processo.

Il documento ribadisce l'importanza delle valutazioni d'impatto sulla protezione dei dati e fornisce esempi di tecniche di minimizzazione dei dati, nonché informazioni sul trattamento e la conservazione dei dati personali. Le linee guida sono consultabili fino al 9 giugno.

Per quanto riguarda l'accesso ai documenti amministrativi, la Corte di giustizia dell'Unione europea (CGUE) ha adottato una sentenza relativa al bilanciamento da trovare tra tale diritto e la tutela dei dati personali menzionati in tali documenti.

Ha ritenuto che l'articolo 6(1)(c) ed (e) del GDPR non precludono ulteriori obblighi di informazione e di consultazione dell'interessato prima di qualsiasi divulgazione di dati personali che lo riguardano.

Tuttavia, questi obblighi aggiuntivi non devono avere l'effetto di limitare in modo sproporzionato l'accesso del pubblico a questi documenti.

La Corte di giustizia dell'Unione europea pubblica un aggiornamento del suo documento tematico sulle sentenze più importanti in materia di protezione dei dati.

Il documento esamina la giurisprudenza relativa alle normative generali in materia di protezione dei dati e alle normative settoriali (comunicazioni elettroniche e diritto penale). Presenta inoltre una selezione di sentenze riguardanti le normative trasversali, evidenziando il ruolo della Carta nello sviluppo della giurisprudenza.

Ad aprile, gli utenti europei delle piattaforme Meta hanno ricevuto una notifica che li informava dell'utilizzo dei loro dati da parte di Facebook e Instagram a fini di addestramento dell'intelligenza artificiale, insieme a un link a un modulo di opposizione.

L'Autorità norvegese per la protezione dei dati (APD) ha pubblicato un post sul blog in cui spiega le conseguenze di questa decisione e i rimedi legali a disposizione dei singoli. Ha inoltre affermato di aver chiesto a Meta, insieme ad altre APD, se avesse esaminato la compatibilità dell'addestramento dell'IA con l'obiettivo originario di raccogliere messaggi e immagini degli utenti.

L'Associazione internazionale dei professionisti della privacy (IAPP) pubblica una tabella che offre una panoramica dei requisiti per la notifica degli incidenti di sicurezza digitale e la condivisione delle informazioni in diverse legislazioni europee.

Tiene conto del GDPR, della direttiva "polizia", della direttiva ePrivacy, del regolamento sulla governance dei dati, del regolamento sulla protezione dei dati, della direttiva NIS2, del regolamento sulla resilienza operativa digitale, della direttiva 2 sui servizi di pagamento, del regolamento sulla resilienza informatica e del regolamento sull'intelligenza artificiale.

Microsoft ha implementato ufficialmente il suo principio europeo di delimitazione dei dati per i servizi cloud, impegnandosi a memorizzare ed elaborare i dati personali dei propri clienti esclusivamente all'interno dell'UE e dell'EFTA.

I dati provenienti da alcuni servizi Azure potrebbero tuttavia essere trasferiti al di fuori dell'UE qualora Microsoft lo ritenga necessario per indagini sulla sicurezza informatica.

Inoltre, va notato che il Cloud Act consente alle autorità statunitensi di accedere ai dati delle aziende americane indipendentemente da dove siano archiviati.

 

Notizie dai paesi membri dell'Unione europea.

La Corte federale di giustizia tedesca Si è ritenuto che le entità qualificate (come le organizzazioni dei consumatori) abbiano il diritto di avviare un'azione legale per violazione degli obblighi di informazione previsti dal GDPR ai sensi della normativa sulla tutela dei consumatori, indipendentemente dalla specifica violazione e senza un mandato da parte degli interessati.

Il caso riguardava l'inadempimento da parte di Meta Platforms Ireland Ltd (Meta) degli obblighi di legge relativi all'ottenimento del consenso degli utenti.

In BelgioUna sentenza ricorda che l'ambito di applicazione del GDPR si estende ai dati professionali: l'APD ha inflitto una multa di 20.000 euro a un intermediario di dati B2B per aver raccolto e divulgato l'indirizzo email del socio amministratore di un'azienda.

L'APD ha inoltre ricordato che un titolare del trattamento dei dati non può obbligare un individuo a creare un account online se non è necessario, in questo caso per presentare un reclamo.

In questo caso, l'azienda ha violato i principi di minimizzazione e protezione dei dati, sia per impostazione predefinita che per progettazione.

In Spagna, Una società (Marina Salud) che gestisce dati ospedalieri per conto del governo autonomo della Comunità Valenciana è stata multata di 500.000 euro per aver incaricato subappaltatori secondari senza l'autorizzazione del titolare del trattamento dei dati, in violazione dell'articolo 28(2) del GDPR.

Anche in Spagna una banca è stata multata di 120.000 euro per il trattamento illecito dei dati personali di un cliente, in violazione dell'articolo 6(1) del GDPR, a seguito della falsificazione della firma del cliente da parte di un dipendente su un accordo sulla protezione dei dati.

TikTok è stato condannato il 2 maggio da Autorità irlandese per la protezione dei dati a una multa di 530 milioni di euro per aver inviato illegalmente dati personali di cittadini europei in Cina e averli nascosti ai propri utenti.

TikTok ha sei mesi di tempo per adeguare le proprie pratiche al GDPR.

Un tribunale irlandese ha confermato la decisione dell'Autorità per la protezione dei dati (DPA), la quale aveva stabilito che il datore di lavoro non è il titolare del trattamento dei dati non professionali contenuti nel telefono aziendale di un suo dipendente.

La polizia maltese pubblica una serie di domande frequenti (FAQ) sulla gestione degli account di posta elettronica dei dipendenti quando lasciano l'organizzazione.

La guida incoraggia i datori di lavoro ad adottare un approccio proattivo e strutturato alla gestione degli account, sia durante il rapporto di lavoro che dopo la cessazione del rapporto di lavoro, e ad affrontare le questioni chiave relative a pratiche comuni come l'inoltro automatico delle email e le risposte automatiche.

Nel contesto delle elezioni presidenziali rumene del 4 e 18 maggio, TikTok ha annunciato nuove misure volte a prevenire una campagna di disinformazione paragonabile a quella che avrebbe contribuito a portare il candidato Călin Georgescu in testa al primo turno lo scorso novembre.

L'applicazione ha inoltre lanciato un "Centro Elettorale" che presenta informazioni come date importanti e link al sito web dell'Autorità Elettorale Permanente, e ha pubblicato strumenti di sensibilizzazione sulla disinformazione.

Queste misure vengono adottate in seguito all'avvio, da parte della Commissione europea, di un'indagine ai sensi del Digital Services Act (DSA) per fare luce sugli eventi di novembre.

 

In Cina, l'Amministrazione per il Cyberspazio ha appena annunciato l'avvio di una campagna di tre mesi per contrastare l'uso improprio delle tecnologie di intelligenza artificiale. I dipartimenti responsabili della regolamentazione di Internet dovranno guidare le piattaforme online affinché rispettino i requisiti della campagna, rafforzando i meccanismi di revisione dei contenuti generati dall'IA, migliorando le capacità di rilevamento e garantendo la corretta attuazione delle misure correttive.

Negli Stati Uniti, i membri della Commissione Energia e Commercio della Camera dei Rappresentanti hanno avviato un'indagine sui legami di Deepseek con il Partito Comunista Cinese. Il chatbot è accusato non solo di inviare dati in Cina, ma anche di condividere le informazioni personali degli utenti con altre entità legate al partito, tra cui ByteDance Ltd. L'applicazione basata sull'intelligenza artificiale è inoltre sospettata di raccogliere i dati relativi alla frequenza cardiaca dei suoi utenti.

Il Future of Privacy Forum (FPF) è finito nel mirino dell'amministrazione Trump. Il presidente della Commissione Commercio del Senato, Ted Cruz (repubblicano del Texas), ha chiesto spiegazioni all'FPF, accusato di aver utilizzato fondi federali per fare pressione sugli stati affinché adottassero leggi sull'intelligenza artificiale di stampo "di sinistra". Il senatore Cruz teme che il gruppo stia apertamente promuovendo normative sull'IA in linea con l'agenda politica dell'amministrazione Biden. Sta inoltre esaminando attentamente i finanziamenti federali concessi all'organizzazione.

Secondo Euractiv, che cita informazioni del Financial Times, la Commissione europea sta dotando il proprio personale inviato negli Stati Uniti di telefoni usa e getta a causa di preoccupazioni relative alla sorveglianza. "Le nuove linee guida emanate dall'esecutivo UE, che raccomandano anche l'uso di computer portatili di base per i viaggi negli Stati Uniti, sono simili a quelle per i viaggi in Ucraina o in Cina. A tutto il personale viene consigliato di spegnere i propri dispositivi e di riporli in un'apposita custodia anti-spionaggio una volta entrati nel Paese."

La CNN riporta che l'amministrazione Trump, con l'aiuto di Palantir, sta creando un "database generale per accelerare l'applicazione delle leggi sull'immigrazione e le deportazioni, combinando dati sensibili provenienti da tutto il governo federale", creando "liste di bersagli" e arrestando le persone individuate. Wired aveva precedentemente riportato che "il Dipartimento per l'Empowerment Generale (DOGE) sta aggregando i database sull'immigrazione provenienti da tutto il Dipartimento per la Sicurezza Interna (DHS) e scaricando dati da agenzie esterne, tra cui la Social Security Administration (SSA), nonché registri elettorali", che sarebbero ospitati su un software sviluppato da Palantir.