Bollettino Legale n. 65 – Novembre 2023.

Reclami e sanzioni: qual è l'agenda 2024 per le autorità di protezione dei dati?

L'entrata in vigore del GDPR ha portato a una maggiore consapevolezza in materia di protezione dei dati, sia tra i titolari del trattamento che tra i singoli individui.

Ciò ha comportato un aumento delle denunce presentate alle agenzie governative competenti, che a volte vengono accusate di non dare seguito a tali denunce per mancanza di risorse sufficienti.

Mentre nel Regno Unito il "Commissario per l'Informazione" ha deciso di non occuparsi più di alcune tipologie di reclami considerati non prioritari, nell'Unione Europea le autorità sono in linea di principio tenute a esaminare qualsiasi reclamo, a condizione che sia ovviamente ammissibile.

Pertanto, la Commissione norvegese per i ricorsi in materia di privacy ha ribaltato una decisione dell'Autorità per la protezione dei dati personali di chiudere un caso di reclamo con una semplice lettera informativa al titolare del trattamento, obbligando quest'ultimo a valutare la liceità del trattamento e sottolineando che l'autorità per la protezione dei dati non può scegliere liberamente quali casi esaminare e quali no.

In Francia, la CNIL ha introdotto nel 2022 una procedura sanzionatoria semplificata, che le consente di trattare più rapidamente alcune tipologie di reclami.

Si tratta di casi per i quali esiste una giurisprudenza consolidata, decisioni precedentemente emesse dal collegio ristretto, oppure questioni di fatto o di diritto di facile risoluzione.

La procedura è scritta, ma consente all'organizzazione interessata di essere ascoltata e di presentare osservazioni orali.

In questa configurazione, le sanzioni sono più limitate e possono consistere in un avvertimento, in un ordine di regolarizzazione del trattamento dei dati – inclusa una sanzione fino a 100 euro al giorno di ritardo – o in una sanzione amministrativa fino a 20.000 euro.

La CNIL ha appena sanzionato dieci soggetti, tra enti pubblici e privati, con multe complessive per un totale di 97.000 euro per violazioni commesse:

• All'obbligo di rispondere alle richieste della CNIL;
• Alla minimizzazione dei dati;
• Informazioni sul trattamento effettuato e sulle sue finalità;
• L'obbligo di rispettare i diritti delle persone, e in particolare di rispondere a una richiesta di opposizione.

La CNIL sottolinea che due questioni in particolare emergono dalle denunce che ha dovuto esaminare: la geolocalizzazione e la videosorveglianza permanente dei dipendenti.

Il trattamento dei dati effettuato avviene spesso in violazione del principio di minimizzazione dei dati previsto dal GDPR.

La Commissione osserva in particolare che «la registrazione continua dei dati di geolocalizzazione, senza la possibilità per i dipendenti di interrompere o sospendere il dispositivo durante le pause, costituisce, salvo specifica giustificazione, una violazione eccessiva della libertà di movimento e del diritto alla privacy dei dipendenti».

Lo stesso vale per i sistemi di videosorveglianza che riprendono costantemente i dipendenti alle loro postazioni di lavoro.

"La prevenzione degli infortuni sul lavoro e la raccolta di prove non giustificano l'implementazione di una videosorveglianza continua delle postazioni di lavoro", e i dati personali raccolti non sembrano essere adeguati o pertinenti.

Il monitoraggio costante dei dipendenti è, salvo rare eccezioni, sproporzionato rispetto agli obiettivi perseguiti.

La CNIL annuncia l'intenzione di intensificare la propria politica repressiva nel 2024 e di prendere decisioni in tempi più brevi.

Occorre sottolineare che, nell'ambito della loro collaborazione a livello europeo, le autorità di protezione dei dati membri del Comitato europeo per la protezione dei dati hanno deciso di dare priorità ai diritti degli individui il prossimo anno. La loro azione coordinata si concentrerà su come i titolari del trattamento dei dati rispondono alle richieste degli individui di accedere ai propri dati, un argomento che dovrebbe essere incluso nelle prossime procedure semplificate di sanzione della CNIL.

 

  

• La CNIL ha pubblicato il 15 novembre un Guida di riferimento sui periodi di mantenimento per i trattamenti più comuni nei settori sociale e medico-sociale. e una guida pratica che offre una metodologia ai professionisti interessati.
• In collaborazione con l'Autorità francese per la concorrenza (AdlC) e la Toulouse School of Economics, la CNIL organizza il 12 dicembre un evento dal titolo "Protezione dei dati e concorrenza: un obiettivo comune". Durante questo evento di mezza giornata, rivolto a regolatori, ricercatori e professionisti, l'AdlC e la CNIL adotteranno e presenteranno una dichiarazione congiunta.
• Il 9 novembre 2023, la CNIL (Autorità francese per la protezione dei dati) ha emesso un avvertimento al Ministero della Trasformazione e del Servizio Pubblico e al Ministero dell'Economia, delle Finanze e della Sovranità Industriale e Digitale per l'utilizzo del Informazioni di contatto di oltre due milioni di funzionari pubblici al fine di comunicare e giustificare il progetto di riforma pensionistica allora in fase di adozione.

Il ministro aveva utilizzato ENSAP, una piattaforma digitale sulla quale sono disponibili documenti riservati dei funzionari pubblici, come ad esempio le loro buste paga mensili. 

Il ristretto gruppo di esperti della CNIL ha ricordato in particolare che la piattaforma ENSAP non può essere utilizzata per comunicazioni di natura politica.

• In una decisione datata 16 novembre, il Consiglio costituzionale censura attivazione remota dei telefoni cellulari per catturare suoni e immagini previsto dalla legge sull'orientamento e la programmazione della giustizia in merito alla legge organica relativa all'apertura, alla modernizzazione e alla responsabilità dell'organo giudiziario.

Il Consiglio ritiene che tale attivazione a distanza, senza la necessità per gli investigatori di accedere fisicamente a locali privati per installare dispositivi di sorveglianza, possa causare una violazione particolarmente significativa e sproporzionata del diritto al rispetto della vita privata.

Sottolinea inoltre che tale misura consente di monitorare sia le persone oggetto delle indagini sia terze parti. 

Tuttavia, il Consiglio costituzionale non censura l'attivazione a distanza di dispositivi elettronici a fini di geolocalizzazione.

• Con un'ordinanza provvisoria del 22 novembre 2023, il tribunale amministrativo di Caen ha stabilito che Sistema di videosorveglianza algoritmico Briefcam L'utilizzo da parte dell'autorità intercomunale di Cœur Côte Fleurie (inclusa Deauville-Trouville) costituisce una grave e manifesta violazione del diritto alla privacy, e ha ordinato ai responsabili di cancellare i dati personali derivanti dall'utilizzo del software.

Il giudice in camera di consiglio ha osservato che l'uso era al di fuori di qualsiasi quadro giuridico o regolamentare e ha ritenuto che "non è stato dimostrato, né tantomeno affermato, che non si sarebbero potuti adottare altri mezzi meno invasivi in termini di privacy al fine di preservare l'ordine pubblico".

• L'8 novembre 2023, una coalizione di sei organizzazioni, tra cui La Quadrature du Net ed EDRi, ha presentato ricorso al Consiglio di Stato contro il decreto francese di attuazione del regolamento relativo alla lotta contro la diffusione di contenuti terroristici online.

Chiedono al Consiglio di Stato di sottoporre alla Corte di giustizia dell'Unione europea (CGUE) una questione pregiudiziale sulla validità del regolamento TERREG in relazione ai diritti fondamentali tutelati dal diritto dell'Unione europea, e sottolineano le violazioni della libertà di espressione e del diritto all'informazione online.

 

 

istituzioni e organismi europei

• Le commissioni Ambiente e Libertà civili del Parlamento europeo hanno adottato la loro posizione il 28 novembre. creazione di uno spazio europeo dei dati sanitari al fine di promuovere la portabilità dei dati sanitari personali e una condivisione più sicura.

I membri del Parlamento desiderano, in particolare, rendere obbligatorio ottenere l'autorizzazione esplicita dei pazienti per l'utilizzo secondario dei loro dati sanitari.

• L'Unione europea ha adottato una revisione del regolamento eIDAS, aprendo la strada a l'introduzione di un'identità digitale in tutta l'UE.

Alcuni aspetti rimangono controversi, in particolare i "Certificati di Autenticazione Web Qualificati" (QWAC), che richiederanno ai browser di accettare certificati radice emessi dai governi e progettati per prevenire frodi e furti di identità. Alcuni esperti di sicurezza informatica considerano questi certificati un rischio di intrusione nell'autenticazione web: i produttori di browser non sarebbero in grado di rifiutare un QWAC, anche se rappresentasse una minaccia per la sicurezza.

• Mentre Sono in corso le trattative relative alla futura regolamentazione dell'IA. Al momento della stesura del presente documento, rimangono ancora senza risposta diverse questioni, tra cui la considerazione di modelli di base come ChatGPT all'interno della normativa.

Una dichiarazione di posizione della società civile, comunicata ai negoziatori europei il 16 novembre, evidenzia anche la questione dell'estensione della protezione contro i danni connessi all'uso dell'intelligenza artificiale per scopi di polizia, migrazione e sicurezza nazionale.

• Il Comitato europeo per la protezione dei dati (EDPB) ha adottato il 14 novembre le linee guida relative all'ambito di applicazione tecnico dell'articolo 5, paragrafo 3, della direttiva ePrivacy.

Il Comitato spiega che L'emergere di nuovi metodi di tracciamento, volti a sostituire gli strumenti di tracciamento esistenti come i cookie e a creare nuovi modelli di business, è diventato motivo di grande preoccupazione. in termini di protezione dei dati.

Le linee guida trattano nello specifico il "fingerprinting del dispositivo" e le tecniche più comuni, come il tracciamento tramite URL e pixel, il tracciamento tramite solo IP, la segnalazione di Internet delle cose (IoT) e gli identificatori univoci.

• Il Garante europeo della protezione dei dati (EDPS) ha pubblicato a metà novembre un "TechDispatch" dedicato a intelligenza artificiale spiegabile ("IA spiegabile"), al fine di affrontare l'effetto "scatola nera" dell'IA.

Affronta il problema dei rischi dei sistemi di intelligenza artificiale opachi e descrive come l'IA possa integrare trasparenza, interpretabilità e spiegabilità.

L'EDPS ha inoltre pubblicato l'8 novembre uno studio sull'essenza dei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali.

Il presente documento esamina l'obbligo di rispettare "l'essenza" di tali diritti quando questi sono limitati dal diritto dell'Unione europea (UE).

• Con una decisione del 9 novembre, la Corte di giustizia dell'Unione europea ha chiarito la propria interpretazione dei dati personali.

Lei sentiva che I numeri di identificazione del veicolo non sono, di per sé, dati personali..

Tuttavia, diventano dati personali quando una persona (fisica) che vi ha accesso ha i mezzi per identificare il proprietario del veicolo.

• Il 7 dicembre la Corte di giustizia dell'Unione europea ha adottato due importanti sentenze riguardanti il fornitore dominante di servizi di informazione creditizia ("Schufa") in Germania.

La Corte ha affermato, in particolare, che La valutazione automatizzata della solvibilità ("scoring") è soggetta a un divieto generale ai sensi dell'articolo 22 del GDPR.

Aggiunge inoltre che un'azienda che elabora un punteggio di credito con mezzi automatizzati rimane soggetta all'articolo 22, anche se un'altra azienda si basa su tale punteggio per prendere decisioni che hanno un impatto (negativo) sulla persona interessata. – ragionamenti che potrebbero avere un impatto sui sistemi assistiti dall'intelligenza artificiale.

La Corte ha inoltre confermato che i tribunali nazionali dispongono di ampi poteri di vigilanza sulle autorità preposte alla protezione dei dati.

• La Corte europea dei diritti dell'uomo ha pubblicato a novembre un documento che elenca la sua giurisprudenza in materia di protezione dei dati personali.
• ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, ha pubblicato il Panoramica delle minacce informatiche per settore di attività nel 2023.

Secondo il rapporto "Threat Landscape 2023", la pubblica amministrazione e i governi rimangono obiettivi primari, seguiti dai settori sanitario, manifatturiero, dei trasporti e finanziario.

• Il 28 novembre, l'ONG noyb ha presentato una denuncia contro Meta all'autorità austriaca per la protezione dei dati.

LUNGO contesta la "scelta" offerta agli utenti europei tra acconsentire al tracciamento per finalità di pubblicità personalizzata o pagare fino a 251,88 euro all'anno "per tutelare il loro diritto fondamentale alla protezione dei dati su Instagram e Facebook." 

Nello stesso contesto, l'Organizzazione europea dei consumatori (BEUC) ha presentato il 30 novembre una denuncia al Consumer Protection Network (CPC) sostenendo che Meta sta attuando pratiche commerciali sleali.

Valuta inoltre se Meta viola il GDPR.

• Centocento organizzazioni della società civile chiedono ai responsabili politici dell'UE di respingere l'attuale riforma dell'EURODAC.

Il database, progettato per raccogliere e archiviare dati sui richiedenti asilo, "verrebbe trasformato in uno strumento di sorveglianza che tratterebbe le persone in cerca di protezione come sospetti criminali, compresi i bambini di appena 6 anni, le cui impronte digitali e immagini del volto verrebbero integrate nel database".

 

Notizie dai paesi membri dell'Unione Europea.

• In Belgio, il 23 novembre, l'APD ha ritenuto, in un caso di videosorveglianza sul luogo di lavoro, che il monitoraggio continuo dell'attività lavorativa tramite telecamere non sia conforme al principio del trattamento minimo dei dati.

La Camera delle controversie dell'APD ha dichiarato che si trattava di una grave violazione, ma, trattandosi di una piccola azienda, l'ha informata della violazione e le ha chiesto di adeguare le procedure di trattamento dei dati senza imporre una sanzione.

• L'Autorità danese per la protezione dei dati ha respinto il piano della città di Copenaghen di sviluppare strumenti di intelligenza artificiale per identificare i cittadini bisognosi di riabilitazione, poiché la legislazione nazionale invocata ai fini dell'articolo 6(1)(e) e dell'articolo 6(3) del GDPR non era sufficientemente specifica in merito all'ambito di applicazione dell'IA.
• La Corte federale del lavoro tedesca attuata la decisione C-453/21 della Corte di giustizia dell'UE, considerando che Il presidente del consiglio di fabbrica di una società controllata era stato giustamente rimosso dall'incarico di responsabile della protezione dei dati (DPO) del gruppo a causa di un conflitto di interessi tra i due ruoli.
• Nei Paesi Bassi, l'ODA ha imposto misure correttive il 24 novembre all'agenzia di assicurazione dei dipendenti (Uitvoeringsinstituut Werknemersverzekeringen – UWV) nei confronti di 703 persone beneficiarie di prestazioni.

Fino all'inizio di quest'anno, L'UWV stava monitorando illegalmente il comportamento online di queste persone che ricevevano sussidi di disoccupazione utilizzando un algoritmo.

• Nel contesto di una procedura ai sensi dell'articolo 60 del GDPR, L'Agenzia irlandese per la protezione dei dati (DPA) ha richiamato Airbnb Irlanda per aver violato i principi di minimizzazione dei dati e limitazione della conservazione. e per aver invocato in modo illegittimo l'articolo 6, paragrafo 1, lettera f) del GDPR come base giuridica per il trattamento dei dati personali, nel caso di conservazione dei documenti di identità dell'interessato.
• L'APD italiana ha avviato un'indagine alla fine di novembre sui siti web pubblici e privati per verificare l'adozione di Misure di sicurezza adeguate per prevenire la raccolta massiva (web scraping) di dati personalida terze parti allo scopo di addestrare algoritmi di intelligenza artificiale.
• Tribunale regionale di Berlino stimato che LinkedIn aveva posto in essere pratiche commerciali sleali e in violazione del GDPR, non considerando l'uso di Parametri "Do not track" (DNT) come obiezione al trattamento e preselezionando l'impostazione "visibilità off-LinkedIn" quando gli utenti creano un account per la prima volta.

I DNT (Do Not Track), nonostante la mancanza di standardizzazione, rappresentano, secondo la Corte, un'opposizione efficace al trattamento dei dati: in altre parole, il diritto di opposizione previsto dal GDPR può essere esercitato anche tramite mezzi automatizzati come le impostazioni del browser.

• I ministri del digitale e della tecnologia del G7 e dell'OCSE si sono incontrati virtualmente il 1° dicembre 2023 per proseguire le discussioni volte a rendere operativo il "Free Flow with Trust" (DFFT) al fine di agevolare i flussi di dati transfrontalieri.

I progressi compiuti e i prossimi passi sono descritti in un comunicato stampa disponibile online.

• Gli amministratori delegati delle più grandi piattaforme di social media compaiono davanti alla Commissione Giustizia del Senato degli Stati Uniti. il 6 dicembre per testimoniare sullo sfruttamento sessuale dei minori e sulla presunta incapacità delle aziende di proteggere i bambini sulle loro piattaforme.
• Il governo australiano ha risposto pubblicamente in relazione al Rapporto di revisione della legge sulla privacy pubblicato il 28 settembre 2023, e ribadisce il suo impegno a rafforzare gli standard australiani in materia di privacy per allinearli maggiormente agli standard globali.

 

Una serie di proposte mirerebbe a introdurre ulteriori tutele in materia di privacy dei minori.

• Elon Musk ha annunciato che Grok, il suo chatbot basato sull'intelligenza artificiale, sarà operativo all'inizio di dicembre.

Sviluppato da xAI, la società di intelligenza artificiale di Musk, il chatbot sarà una funzionalità integrata nell'app per gli abbonati a X Premium+.

• YouTube ha pubblicato un post sul blog annunciando diverse misure volte a etichettare i contenuti generati dall'intelligenza artificiale e a combattere i "deepfake".

L'azienda intende introdurre aggiornamenti che informeranno gli utenti quando il contenuto che visualizzano è sintetico.

YouTube chiederà quindi ai creatori di indicare se hanno creato contenuti realistici modificati o sintetici, anche utilizzando strumenti di intelligenza artificiale.