Bollettino Legale n. 57 – Marzo 2023.

Telecamere intelligenti e biometria: quale sarà l'impatto della normativa relativa ai Giochi Olimpici?

Il 23 marzo, l'Assemblea nazionale ha adottato l'articolo 7 della legge sui Giochi Olimpici.

Il disegno di legge, approvato in un'assemblea scarsamente partecipata (erano presenti 73 membri su 577), ha già generato un ampio dibattito e certamente susciterà molte altre reazioni nei prossimi mesi.

Di fatto, legalizza l'uso della sorveglianza algoritmica fino a dicembre 2024, in un contesto definito eccezionale, ma per eventi che vanno oltre lo stretto quadro dei Giochi Olimpici.

La sorveglianza può riguardare "eventi sportivi, ricreativi o culturali" in generale, "esposti a rischi di atti terroristici o a gravi minacce alla sicurezza delle persone".

Può quindi essere testato in occasione di eventi sportivi come la Coppa del Mondo di Rugby di quest'autunno.

 

Che cos'è la sorveglianza algoritmica? Si tratta di una forma di sorveglianza biometrica soggetta ai rigidi obblighi del GDPR e del futuro regolamento europeo sull'intelligenza artificiale?

Il progetto prevede l'utilizzo di "telecamere aumentate" assistite dall'intelligenza artificiale, pilotate da droni, che saranno impiegate per analizzare automaticamente le immagini in tempo reale tramite algoritmi, al fine di rilevare eventi predeterminati, come movimenti di folla, bagagli, gesti o comportamenti sospetti.

Pur evidenziando le principali problematiche relative alle telecamere potenziate in termini di privacy e protezione dei dati personali, la CNIL, nelle sue osservazioni dell'8 dicembre, non sembra aver considerato il fatto che tali dispositivi sarebbero stati dotati di elaborazione biometrica.

Ha osservato che diverse misure erano in linea con le sue raccomandazioni:

• Svolgimento sperimentale, limitato nel tempo e nello spazio, per determinati scopi specifici e corrispondente a rischi seri per le persone,
• Mancanza di elaborazione dei dati biometrici e di riferimenti incrociati con altri file, e
• Decisioni soggette a previo intervento umano.

Per la società civile, tuttavia, la tecnologia utilizzata rientra chiaramente nella categoria della biometria.

Infatti, "identifica, analizza e classifica costantemente corpi, attributi fisici, gesti, sagome e andature, che sono innegabilmente dati biometrici".

La Quadrature du Net e una quarantina di organizzazioni internazionali hanno sviluppato questa prospettiva in una lettera aperta all'Assemblea Nazionale, coordinata e pubblicata dall'ECNL (Centro Europeo per il Diritto del Non Profit).

Il GDPR definisce i dati biometrici come "dati personali ottenuti mediante un trattamento tecnico specifico riguardante le caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che consentono o confermano la sua identificazione univoca" (articolo 4.14).

La lettera aperta osserva che le telecamere inevitabilmente cattureranno e analizzeranno tratti fisiologici e comportamenti delle persone presenti negli spazi pubblici monitorati e che isolare queste persone dal loro ambiente, operazione che si rivela essenziale per il raggiungimento dell'obiettivo del sistema, costituisce un'“identificazione univoca”.

Secondo il GDPR e l'interpretazione del Comitato europeo per la protezione dei dati in materia, la capacità di isolare una persona da una folla o dal suo ambiente, indipendentemente dal fatto che il suo nome o la sua identità siano noti o meno, costituisce un "identificativo univoco".

Classificare le persone in una categoria che raggruppi i comportamenti "a rischio" sulla base di questi dati costituirebbe quindi una categorizzazione biometrica che potrebbe essere in contraddizione con le disposizioni del futuro regolamento europeo sull'intelligenza artificiale.

A questo proposito, occorre richiamare il parere del 18 giugno 2021 delle autorità europee per la protezione dei dati, che chiede un divieto generale di qualsiasi utilizzo dell'intelligenza artificiale per il riconoscimento automatico delle caratteristiche umane negli spazi accessibili al pubblico.

Queste argomentazioni sono contenute anche in una lettera inviata all'Assemblea nazionale da 41 membri del Parlamento europeo, i quali sottolineano che con questa legge la Francia diventerebbe il primo Paese in Europa a legalizzare la sorveglianza di massa del proprio spazio pubblico.

La legislazione potrebbe quindi dover superare un test di compatibilità con il diritto europeo.

A questo proposito, occorre sottolineare che il progetto di regolamento sull'intelligenza artificiale è all'ordine del giorno della sessione plenaria del Parlamento europeo di fine maggio.

 

E anche

CNIL    

 La CNIL ha pubblicato il suo elenco di temi di controllo della priorità Per il 2023: quest'anno si concentrerà su:

• L'uso di telecamere “potenziate” da parte di soggetti pubblici,
• L'utilizzo del fascicolo degli incidenti di credito al consumo,
• La gestione delle cartelle cliniche dei pazienti e
• Applicazioni mobili.

Ha inoltre pubblicato il suo primo dossier tematico alla fine di marzo riguardante identità digitale, presentando i principi chiave e le sue posizioni in merito.

Il dossier è destinato al grande pubblico, nonché a organizzazioni pubbliche e private e a ricercatori.

A questo proposito, è opportuno ricordare che in una pubblicazione del 22 febbraio, la CNIL ha esaminato la sperimentazione, in corso dal 2019, della tessera sanitaria elettronica ("e-carte Vitale"), che sarà offerta facoltativamente a tutti i beneficiari della previdenza sociale entro la fine del 2025.

Oltre al suo utilizzo quotidiano, la "e-Carte Vitale" rappresenterà un'alternativa a FranceConnect per il settore della sanità digitale.

Il 16 marzo 2023, la CNIL ha imposto una multa di 125.000 euro alla società CITYSCOOT.

La CNIL ha scoperto che l'azienda geolocalizzava i propri clienti in modo quasi permanente durante il noleggio di uno scooter e conservava questi dati.

La Commissione ha inoltre rilevato che gli accordi di subappalto non includevano alcune clausole essenziali, tra cui la natura dei dati raccolti, le misure di sicurezza da adottare e il destino dei dati in caso di risoluzione dei contratti.

L'azienda ha inoltre utilizzato un meccanismo reCAPTCHA che trasmetteva i dati raccolti a Google per l'analisi, senza fornire alcuna informazione all'utente e senza ottenere il suo previo consenso.

 

istituzioni e organismi europei

EDPB

Il Comitato europeo per la protezione dei dati (EDPB) ha avviato la sua azione di ispezione annuale coordinata.

Nei prossimi mesi, 26 autorità nazionali per la protezione dei dati dello Spazio economico europeo (SEE) parteciperanno a questa iniziativa relativa alla designazione e alla posizione dei responsabili della protezione dei dati.

Le indagini mireranno ad accertare se la posizione dei delegati sia conforme ai requisiti degli articoli da 37 a 39 del GDPR e se dispongano delle risorse necessarie per svolgere i propri compiti.

Verranno inviati loro dei questionari al fine di delineare la loro situazione e stabilire se sia giustificata un'indagine formale.

DSA

Ai sensi del Regolamento sui servizi digitali (DSA), l'Unione europea ha stabilito nuove norme che impongono alle piattaforme online di grandi dimensioni (piattaforme online di grandi dimensioni e motori di ricerca di grandi dimensioni) con più di 45 milioni di utenti di registrarsi presso la Commissione europea entro il 17 febbraio.

Secondo un'analisi condotta da un professore della London School of Economics and Political Science, sarebbero coinvolti 18 soggetti: AliExpress, Amazon Marketplace, Apple App Store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, Bing e Google.

TikTok

A metà febbraio, il social network TikTok ha annunciato la sua intenzione di conformarsi al DSA (Digital Security Act), che entrerà in vigore a metà del 2023.

TikTok ha inoltre annunciato l'installazione di data center in Europa al fine di limitare i flussi di dati transfrontalieri.

Questo annuncio giunge mentre le istituzioni dell'UE, così come i governi dei Paesi Bassi, del Canada e la Casa Bianca negli Stati Uniti, hanno recentemente chiesto ai propri dipendenti di disinstallare l'applicazione dai loro dispositivi professionali e personali, citando preoccupazioni in materia di protezione dei dati personali.

DMA

Alla fine di marzo, la Commissione europea ha istituito un gruppo di alto livello per garantire l'applicazione coerente del Regolamento sui mercati digitali (DMA) con le altre normative europee.

Tra i nominati figurano il Garante europeo della protezione dei dati (EDPS) e il Comitato europeo per la protezione dei dati (EDPB).

La legge sui mercati digitali si applica specificamente alle grandi piattaforme online designate come "gatekeeper".

ENISA 

L'agenzia europea ENISA pubblicherà il 29 marzo uno studio sulle minacce alla sicurezza informatica fino al 2030.

Questo studio si propone di individuare e raccogliere informazioni sulle future minacce che potrebbero incidere sulle infrastrutture e sui servizi dell'Unione, nonché sulla sua capacità di garantire la sicurezza digitale della società e dei cittadini europei.

L'ENISA pubblica anche un rapporto sulla sicurezza informatica e la standardizzazione dell'IA.

L'obiettivo del documento è fornire una panoramica degli standard esistenti e futuri, valutarne la portata e individuare le lacune nella standardizzazione.

Tiene conto delle specificità dell'IA, e in particolare dell'apprendimento automatico, e adotta un'ampia visione della sicurezza informatica, che comprende i requisiti di riservatezza, integrità e disponibilità, nonché il concetto più ampio di affidabilità dell'IA.

Infine, la relazione esamina come la standardizzazione possa supportare l'implementazione degli aspetti di cybersicurezza integrati nella proposta di regolamento UE sull'IA.

COMMISSIONE EUROPEA

Il 6 marzo, la Commissione europea ha annunciato che, a seguito di un dialogo con le autorità europee per la tutela dei consumatori, WhatsApp si è impegnata a essere più trasparente in merito alle modifiche apportate ai suoi termini di servizio.

L'azienda renderà inoltre più semplice per gli utenti rifiutare gli aggiornamenti qualora non siano d'accordo con essi, e spiegherà quando tale rifiuto comporterà l'impossibilità per l'utente di utilizzare i suoi servizi.

WhatsApp ha inoltre confermato che i dati personali degli utenti non vengono condivisi con terze parti o altre società del gruppo Meta per scopi pubblicitari.

IAPP

Il sito web dell'IAPP presenta una tabella ("Iniziative UE in materia di dati nel contesto") che elenca le normative europee in materia di protezione dei dati e le iniziative in corso, dal GDPR e dal DSA alla strategia europea per la cybersicurezza. Questo elenco è stato aggiornato a marzo 2023.

 

Notizie nazionali

• REGNO UNITO : Giovedì 9 marzo, il governo britannico ha presentato al Parlamento una bozza di legge "ammorbidita" sulla protezione dei dati e sulle informazioni digitali. La riforma proposta consentirebbe in particolare alle aziende di raccogliere dati più facilmente senza il consenso degli utenti, ad esempio nell'ambito delle proprie politiche di ricerca e sviluppo.

Saranno inoltre semplificati gli obblighi relativi al consenso per l'installazione dei cookie e non sarà più obbligatorio nominare un responsabile interno della protezione dei dati.

Sempre nel Regno Unito:

• Il Centro nazionale per la sicurezza informatica ha pubblicato un articolo che valuta i rischi e formula raccomandazioni sull'utilizzo di LLM (Large Language Models) come ChatGPT.

Se i dati della query non vengono utilizzati oggi per alimentare il modello, potrebbero esserlo nelle versioni future.

L'articolo evidenzia l'aumento dei rischi in termini di criminalità informatica, come la produzione di email di phishing più convincenti o l'apprendimento di nuove tecniche di attacco.

Raccomanda di non includere informazioni sensibili nelle richieste indirizzate ai LLM pubblici.

• L'autorità britannica per la protezione dei dati, da parte sua, ha aggiornato le proprie linee guida sull'intelligenza artificiale e la protezione dei dati su richiesta del settore.

Le linee guida chiariscono i requisiti di equità nell'ambito dell'intelligenza artificiale.

• ITALIA : Con l'inizio della primavera, i modelli di apprendimento basati sulla leadership (LLM) sono al centro dell'attenzione. Il 31 marzo, il Garante per la protezione dei dati personali ha emesso un provvedimento contro OpenAI, bloccando ChatGPT in Italia per mancanza di trasparenza, assenza di una base giuridica legittima per il trattamento, mancata garanzia dell'accuratezza dei dati trattati, assenza di verifica dell'età e violazione generale del principio di "privacy by design".
• REPUBBLICA CECA: L'azienda di sicurezza informatica e antivirus Avast è stata multata di 13,7 milioni di euro dall'Autorità ceca per la protezione dei dati per aver violato il GDPR.

I dati degli utenti raccolti tramite Google Maps, YouTube, LinkedIn e, più in generale, le ricerche web su Google, sono stati venduti attraverso la sua controllata Jumpshot.

L'indagine dell'Autorità ceca per la protezione dei dati riguarda il trattamento storico dei dati personali precedente al gennaio 2020, data in cui Avast ha chiuso Jumpshot.

• NORVEGIA: L'Autorità norvegese per la protezione dei dati (APD) ha multato Argon Medical Devices per 220.000 euro per aver ritardato la notifica di una violazione dei dati a causa del ricorso sistematico ed estensivo a consulenti esterni.

Si riteneva che tale ricorso a terzi rallentasse indebitamente il processo di notifica delle violazioni della sicurezza.

Ancora la Norvegia:

• A seguito di una delle 101 denunce presentate dall'ONG NOYB in merito a trasferimenti di dati verso gli Stati Uniti, l'Autorità norvegese per la protezione dei dati ha notificato a un titolare del trattamento la sua intenzione di sanzionarlo per l'utilizzo di Google Analytics e il conseguente trasferimento di dati personali negli Stati Uniti, in violazione dell'articolo 44 del GDPR.
• Anche in Norvegia, il Comitato di appello per la privacy ha confermato la decisione dell'Autorità per la protezione dei dati di multare un comune con 352.555 euro per violazione dell'articolo 5, paragrafo 1, lettera f), e degli articoli 24 e 32 del GDPR, a seguito di un attacco ransomware che ha causato la perdita irrecuperabile di dati personali altamente sensibili e la loro vendita sul dark web.
• AUSTRIA: L'Autorità austriaca per la protezione dei dati (APD) ha stabilito che l'utilizzo del pixel di tracciamento di Facebook viola il GDPR e la sentenza "Schrems II" della Corte di giustizia dell'Unione europea in materia di flussi di dati transatlantici.
• BELGIO: In Belgio, un'autorità pubblica è stata autorizzata a invocare l'articolo 6, paragrafo 1, lettera e) del GDPR per geolocalizzare le auto aziendali dei propri dipendenti, poiché non esistevano altre soluzioni meno invasive e il tracciamento era necessario per un uso efficiente delle sue risorse limitate.

In questo caso, tuttavia, il responsabile del trattamento dei dati è stato rimproverato per diverse altre violazioni del regolamento.

• IRLANDA: La Bank of Ireland è stata multata di 750.000 euro. L'Autorità per la protezione dei dati (DPA) ha riscontrato che il titolare del trattamento non aveva valutato adeguatamente i rischi associati al trattamento dei dati, né aveva implementato misure di sicurezza appropriate.
• SPAGNA: L'Agenzia spagnola per la protezione dei dati (APD) ha multato Orange Spagna di 100.000 euro per aver violato il principio di minimizzazione dei dati, richiedendo una foto fronte e retro del documento d'identità del cliente per la consegna di un telefono acquistato online.
• Sempre in Spagna, il titolare del trattamento dei dati che non risponde a una richiesta di accesso a causa di un errore del dipendente è comunque responsabile della violazione dell'articolo 15 del GDPR.

 

• STATI UNITI: Il 25 marzo, la Federal Trade Commission ha pubblicato sul suo blog un articolo intitolato "Chatbot, deepfake e cloni vocali", ovvero l'inganno tramite intelligenza artificiale.

La FTC segnala una preoccupante minaccia emergente che le aziende dell'ecosistema digitale devono affrontare.

L'ufficio tecnologico della FTC ha inoltre pubblicato un'analisi e delle linee guida sui pixel di tracciamento di terze parti, basate sulle sue recenti decisioni riguardanti i fornitori di servizi sanitari digitali.

• Il NIST (National Institute of Standards and Technology) sta lanciando un Centro risorse per un'intelligenza artificiale affidabile e responsabile.

L'obiettivo è supportare gli attori del settore dell'intelligenza artificiale nello sviluppo di queste tecnologie.

È accompagnato da un quadro di riferimento per la gestione del rischio e da un manuale operativo e mira a fornire accesso a una vasta gamma di risorse pertinenti sull'argomento.

• COREA DEL SUD: La Commissione sudcoreana per la protezione dei dati personali ha multato McDonald's, British American Tobacco e Samsung per violazioni della privacy.

McDonald's è stata multata di 484.000 euro per aver archiviato i file di backup relativi agli utenti del suo servizio McDelivery su un server con la condivisione attiva, consentendo così agli hacker di accedere ai dati di 4.876.106 clienti.

In un altro episodio, sono stati rubati i dati di 766.846 acquirenti di hamburger, il che ha comportato per l'azienda una sanzione iniziale di 7.000 euro.

• ALGERIA: La legge n. 18-07 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali entrerà in vigore nell'agosto del 2023.