Bollettino legale n. 67 – Gennaio 2024.

Ruolo e risorse dei DPO: risultati di un anno di audit

Il 17 gennaio, la CNIL e le sue controparti europee hanno pubblicato i risultati delle loro indagini sul ruolo e le risorse dei responsabili della protezione dei dati (DPO) nel contesto dell'applicazione del GDPR.

Questo tema è stato oggetto di un'azione europea coordinata da parte del Comitato europeo per la protezione dei dati (EDPB) nel 2023.

Le principali funzioni del DPO, come previsto dagli articoli da 37 a 39 del GDPR, includono informare e consigliare il titolare del trattamento su questioni relative alla protezione dei dati (compresa l'esecuzione di valutazioni d'impatto), sensibilizzare e formare il personale e monitorare le violazioni dei dati.

Il DPO collabora con l'autorità di controllo ed è il punto di contatto per le persone i cui dati vengono trattati.

Le indagini condotte dalle autorità per la protezione dei dati si sono basate su un questionario elaborato congiuntamente da tutte le autorità che le compongono.

In Francia, la CNIL ha verificato 14 titolari del trattamento dei dati e ha integrato l'invio del questionario con diverse verifiche in loco.

I controlli hanno riguardato enti pubblici come ospedali, università, comuni, centri di gestione e soggetti privati operanti nei settori del lusso e dei trasporti.

Il numero particolarmente basso di funzionari sottoposti a verifica è degno di nota.

Come diverse autorità europee, la CNIL ha scelto di condurre un numero limitato di indagini approfondite, mentre altre autorità hanno contattato decine di migliaia di dirigenti, senza effettuare controlli così approfonditi.

Il rapporto dell'EDPB tiene conto di queste differenze di approccio nella sua analisi.

La CNIL esprime un giudizio complessivamente positivo sul ruolo e sulle risorse assegnate al responsabile della protezione dei dati (DPO).

Sottolinea che, in genere, dispongono di risorse sufficienti.

Tuttavia, la studiosa evidenzia le notevoli disparità tra le risorse allocate ai DPO (Organizzazioni per la protezione dei dati) nelle strutture pubbliche, che spesso lavorano da soli, soprattutto nelle piccole comunità, e i DPO del settore privato, che generalmente dispongono di un team.

Tale osservazione trova conferma a livello europeo.

Tra le carenze riscontrate, si segnala il rischio di conflitti di interesse tra le funzioni del DPO e gli altri compiti a lui assegnati, nonché la scarsa partecipazione del DPO alle decisioni in materia di protezione dei dati.

A questo proposito, la CNIL segnala di aver sanzionato (al di fuori di questa indagine) un'organizzazione del settore sociale con una multa di 10.000 euro perché il suo delegato non era in grado di svolgere correttamente le sue funzioni: non era sufficientemente coinvolto nelle questioni relative alla protezione dei dati personali e le sue funzioni non erano sufficientemente visibili ai dipendenti dell'organizzazione.

Il rapporto europeo conclude questa analisi rilevando che i DPO stanno assumendo sempre più, oltre al loro ruolo in relazione al GDPR, ruoli chiave nel contesto delle nuove normative europee, come quelle riguardanti l'intelligenza artificiale, i servizi digitali, il mercato digitale o i dati. 

Vengono inoltre loro assegnati nuovi ruoli relativi all'etica, alla governance dei dati e agli spazi dei dati.

Alla luce di questa tendenza, il Comitato mette in guardia dal crescente rischio di conflitti di interesse o dall'insufficienza di risorse a disposizione dei DPO.

Sottolinea che le autorità di protezione dei dati, così come i titolari del trattamento, hanno un ruolo essenziale da svolgere affinché il DPO possa adempiere pienamente al suo ruolo.

 

     

• Nelle ultime settimane la CNIL ha imposto diverse sanzioni significative.
• Il 29 dicembre 2023, Yahoo è stata multata di 10 milioni di euro per non aver rispettato la scelta degli utenti che rifiutavano i cookie sul suo sito web e per non aver permesso agli utenti del suo servizio di messaggistica di revocare liberamente il consenso all'utilizzo dei cookie.
• A seguito di ispezioni in loco presso i magazzini di Amazon France Logistique, l'autorità francese per la protezione dei dati (CNIL) ha riscontrato, il 27 dicembre, diverse violazioni del GDPR relative all'esteso monitoraggio dei luoghi di lavoro, multando la multinazionale per 32 milioni di euro. Secondo la CNIL, Amazon ha implementato un sistema di monitoraggio "eccessivamente invasivo", che opera senza fornire informazioni e non è sufficientemente sicuro.
• Il 29 dicembre, la CNIL ha inoltre inflitto una multa di 105.000 euro a NS Cards France, distributore di moneta elettronica, per eccessiva conservazione dei dati personali, politiche sulla privacy incomplete, misure di sicurezza insufficienti e mancanza di consenso da parte degli utenti in merito ai cookie non essenziali.
• Infine, è in corso una consultazione pubblica su una bozza di guida riguardante la valutazione d'impatto dei trasferimenti di dati al di fuori dello Spazio economico europeo: prima di qualsiasi trasferimento verso un paese che non disponga di una decisione di adeguatezza, è necessario effettuare una valutazione del livello di protezione dei dati nel paese ricevente, nonché una valutazione delle garanzie da prevedere per tale trasferimento. I contributi possono essere inviati entro il 12 febbraio 2024.
• L'Agenzia nazionale francese per la sicurezza informatica (ANSSI) ha annunciato il lancio di Hackropole, una nuova piattaforma pensata per avvicinare le persone alle professioni nel campo della sicurezza informatica. La piattaforma offre oltre 300 sfide aperte a tutti, che coprono tutti gli ambiti della sicurezza informatica, dalla crittografia all'hacking.

 

istituzioni e organismi europei 

• Il Belgio ha assunto la presidenza del Consiglio dell'Unione europea all'inizio di gennaio per sei mesi con lo slogan "Proteggere, rafforzare e preparare".

Tra i temi da affrontare nel 2024 figurano la resilienza informatica dei prodotti connessi, l'identità digitale, gli spazi dati, l'applicazione transfrontaliera del GDPR e l'intelligenza artificiale.

 Il 2024 sarà anche un anno di attuazione per molte leggi finalizzate lo scorso anno, tra cui la legge sui servizi digitali, Là diritto dei mercati digitali e il legge sulla governance dei dati.

• Il 2 febbraio, gli ambasciatori dei 27 paesi dell'Unione europea hanno approvato all'unanimità, ma non senza difficoltà, il normative sull'intelligenza artificiale, approvando così, a livello governativo, l'accordo politico raggiunto a dicembre.

A seguito del voto delle commissioni del Parlamento europeo a metà febbraio, l'adozione in seduta plenaria è provvisoriamente prevista per il 10 e l'11 aprile.

Il regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta Ufficiale.

I divieti relativi alle pratiche proibite entreranno in vigore sei mesi dopo, mentre gli obblighi relativi ai modelli di intelligenza artificiale entro un anno.

• Parallelamente, il 24 gennaio la Commissione europea ha annunciato la creazione di un ufficio europeo sull'IA per contribuire all'attuazione e all'applicazione del futuro regolamento.

Questo ufficio si prefigge l'obiettivo di pubblicare linee guida per stabilire norme armonizzate in tutta l'UE e di incoraggiare e agevolare lo sviluppo di codici di condotta e di prassi a livello dell'Unione.

• Il processo legislativo relativo a Regolamenti CSAR Poiché il sistema di controllo delle chat è ben lungi dall'essere completato, l'Unione Europea ha proposto di estendere una soluzione temporanea che consente ai giganti della tecnologia di scansionare i dispositivi dei propri clienti alla ricerca di materiale pedopornografico su base volontaria.

Tale misura ha suscitato critiche, in particolare da parte del Garante europeo della protezione dei dati (EDPS). In un parere pubblicato il 29 gennaio, l'EDPS ha espresso preoccupazione per gli obiettivi di questo regolamento, che limiterebbe il diritto degli individui alla riservatezza delle proprie comunicazioni.

• Il 31 gennaio, la Commissione europea ha pubblicato il Quadro di valutazione della trasparenza del Digital Services Act (DSA). Questo documento fornisce una panoramica delle decisioni di moderazione dei contenuti prese dalle principali piattaforme online.
• Il regolamento europeo sulla protezione dei dati è entrato in vigore nel gennaio 2024.

Tra i suoi obiettivi figurano la promozione di una condivisione equa dei dati, la possibilità per gli enti del settore pubblico di utilizzare i dati detenuti dal settore privato per specifici scopi di interesse pubblico e la possibilità per i clienti di cambiare facilmente fornitore di servizi di elaborazione dati al fine di promuovere il mercato europeo del cloud.

• La Commissione europea indagherà sulla collaborazione tra Microsoft e OpenAI, nell'ambito del quale Microsoft prevede di integrare una suite di strumenti di intelligenza artificiale nei propri prodotti.

In un comunicato stampa del 9 gennaio, la Commissione invita tutte le parti interessate a condividere la propria esperienza e i propri commenti sul livello di concorrenza nel contesto dei mondi virtuali e dell'intelligenza artificiale generativa, nonché le proprie idee su come il diritto della concorrenza possa contribuire a garantire che questi nuovi mercati rimangano competitivi.

• La Commissione europea ha pubblicato il suo rapporto il 15 gennaio. la valutazione delle 11 decisioni di idoneità adottato ai sensi della Direttiva sulla protezione dei dati del 1995.

Si osserva che i dati personali trasferiti dall'Unione europea ad Andorra, Argentina, Canada, Isole Faroe, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera e Uruguay continuano a beneficiare di una decisione di adeguatezza ai sensi del GDPR.

• Il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato uno strumento di audit del sito web per garantire la conformità al Regolamento generale sulla protezione dei dati (GDPR) dell'UE.

Lo strumento è stato sviluppato dal gruppo di esperti dell'EDPB e può essere utilizzato dalle autorità di protezione dei dati, nonché dai titolari e responsabili del trattamento dei dati, per semplificare la preparazione, l'esecuzione e la valutazione degli audit. Si tratta di un software libero e open source, concesso in licenza EUPL 1.2, scaricabile dal sito code.europa.eu.

• Il Comitato europeo per la protezione dei dati (EDPB) ha inoltre pubblicato il 18 gennaio un documento documento sulla sicurezza del trattamento dei dati e sulla notifica delle violazioni dei dati.

Il documento analizza le decisioni adottate dalle autorità di controllo conformemente all'articolo 60 del GDPR nell'ambito del meccanismo dello sportello unico in materia di sicurezza del trattamento dei dati e violazioni dei dati personali.

• La Corte di giustizia dell'UE, con sentenza del 30 gennaio, ha stabilito che la conservazione generale e indiscriminata dei dati biometrici e genetici delle persone condannate per reati penali, fino al loro decesso, è contraria al diritto dell'Unione europea e in particolare al diritto all'oblio.
• La Corte di giustizia dell'Unione europea ha inoltre deciso il 16 gennaio che Il GDPR si applica alle commissioni parlamentari nazionali.

La Corte ha chiarito il concetto di sicurezza nazionale e ha affermato che, in assenza di prove di un obiettivo di sicurezza nazionale, i tribunali nazionali devono stabilire se si applica l'articolo 2, paragrafo 2, lettera a), relativo all'ambito di applicazione del GDPR.

• Le aziende leader nel settore tecnologico hanno tempo fino al 6 marzo per conformarsi alle disposizioni del regolamento europeo sui mercati digitali e, in particolare, devono consentire ai propri utenti di registrarsi a un singolo servizio senza che questo venga automaticamente collegato a un altro.

È in questo contesto che Meta ha annunciato il 22 gennaio che gli utenti di Instagram e Facebook potranno gestire i propri account separatamente, in modo che le loro informazioni non vengano più condivise tra i due account.

Google ha inoltre menzionato nella pagina del suo centro assistenza la possibilità per gli utenti europei di selezionare i servizi che desiderano mantenere collegati in termini di condivisione dei dati.

 

Notizie dagli Stati membri dell'Unione europea

• L'11 dicembre 2023, in collaborazione con la CNIL, l'Autorità olandese per la protezione dei dati (APD) ha emesso una sentenza contro le società Uber BV e Uber Technologies

La società Inc. è stata multata di dieci milioni di euro per diverse omissioni nell'invio di informazioni agli autisti. 

Tali carenze riguardano in particolare le procedure relative al diritto di accesso ai dati, ai trasferimenti al di fuori dell'UE, ai periodi di conservazione e al diritto alla portabilità dei dati.

• L'Autorità olandese per la protezione dei dati ha inoltre multato ICS, una società di carte di credito, per 150.000 euro per non aver effettuato una valutazione d'impatto sulla protezione dei dati (DPIA).

Nelle sue considerazioni, l'APD ha sottolineato che l'assenza di una DPIA costituisce di per sé una violazione del GDPR, ma che aumenta anche la probabilità di altre violazioni del regolamento, poiché non vi è alcuna valutazione dei rischi prima dell'attuazione del trattamento.

• L'Autorità belga per la protezione dei dati (APD) ha multato un intermediario di dati per 174.640 euro.

Tra le altre violazioni, il titolare del trattamento non ha potuto invocare un interesse legittimo per raccogliere dati da terzi.

Inoltre, non ha informato il richiedente circa le fonti e i destinatari dei dati nell'ambito di una richiesta di accesso. 

• L'autorità belga ha inoltre indagato sulle pratiche di un titolare del trattamento dei dati a seguito di una violazione dei dati che ha interessato quasi 90.000 persone.

Non ha adottato alcuna sanzione, considerando che la violazione dei dati era un episodio isolato e che il titolare del trattamento aveva rispettato l'articolo 33 del GDPR.

• L'Autorità austriaca per la protezione dei dati (APD) ha multato un titolare del trattamento dei dati per 10.000 euro per non aver collaborato con essa in una procedura di reclamo, violando così l'articolo 31 del GDPR.
• In Germania, un ricercatore nel campo della sicurezza informatica è stato multato di 3.000 euro il 17 gennaio per aver scoperto e segnalato una falla di sicurezza in un database di e-commerce che esponeva quasi 700.000 dati di clienti.

Scoprire una password in chiaro e utilizzarla senza autorizzazione in una ricerca è considerato un reato.

Questa decisione, contro la quale verrà presentato ricorso, è criticata da un esperto di sicurezza per il suo effetto dissuasivo sulla ricerca legittima in materia di vulnerabilità dei sistemi.

• Alla fine di gennaio, l'Autorità danese per la protezione dei dati (APD) ha riscontrato che un comune aveva violato le norme di sicurezza del GDPR non crittografando i dischi rigidi dei propri computer.

Un computer aziendale era stato rubato dall'abitazione di un dipendente e conteneva dati personali sensibili, dati relativi alla previdenza sociale e dati riguardanti minori.

Il disco rigido non era crittografato.

L'indagine ha rivelato che quasi 1.200 computer portatili del comune non erano crittografati.

• Il 24 gennaio, il National Cyber Security Centre del Regno Unito ha pubblicato un rapporto preoccupante sull'impatto a breve termine dell'intelligenza artificiale sulla minaccia informatica.

Il rapporto rileva in particolare che Nei prossimi due anni, l'intelligenza artificiale aumenterà sicuramente il volume e l'impatto degli attacchi informatici, grazie al perfezionamento delle tattiche, delle tecniche e delle procedure esistenti.

Sottolinea inoltre che l'intelligenza artificiale riduce le difficoltà per i cybercriminali dilettanti, i quali presto saranno in grado di lanciare sofisticati attacchi di phishing difficili da identificare per i destinatari.

 

• Alla fine di gennaio, Thierry Breton, Commissario per il Mercato Interno, e Alejandro N. Mayorkas, Segretario della Sicurezza Interna degli Stati Uniti, hanno discusso Piano d'azione congiunto UE-USA per prodotti sicuri dal punto di vista informatico., a seguito del vertice UE-USA dell'ottobre 2023.

Questa collaborazione tra la Commissione e le agenzie di regolamentazione statunitensi competenti mira a esplorare un possibile riconoscimento reciproco dei requisiti di sicurezza informatica per i prodotti hardware e software di consumo dell'Internet delle cose.

Il piano d'azione si basa sul quadro normativo dell'UE in materia di resilienza informatica e sul programma di etichettatura della sicurezza informatica proposto dagli Stati Uniti (Cyber Trust Mark Act).

• Il 29 gennaio, l'amministrazione Biden-Harris ha annunciato importanti misure in materia di intelligenza artificiale, a seguito dell'ordine esecutivo emanato dal presidente Biden tre mesi prima.

Il decreto prevede in particolare la definizione di requisiti essenziali di divulgazione per gli sviluppatori dei sistemi più potenti, la valutazione dei rischi dell'IA per le infrastrutture critiche e "l'ostacolo agli sforzi di attori stranieri volti a sviluppare l'IA per scopi dannosi".

Le agenzie e i dipartimenti federali competenti hanno indicato di aver completato tutte le azioni previste dal decreto entro 90 giorni e hanno illustrato lo stato di avanzamento delle misure pianificate a lungo termine.

• Il governo canadese ha creato un "glossario di informazioni personali e privacy" che contiene i termini in inglese e francese per oltre 300 concetti.

Include inoltre altre informazioni terminologiche (che possono variare da voce a voce), tra cui altre denominazioni, definizioni, note ed esempi d'uso.

• Due ricercatori della Carnegie Endowment for International Peace hanno esortato il governo sudafricano a dare la massima priorità alla sicurezza informatica e ad assumere un ruolo di leadership più incisivo in questo ambito a livello internazionale.

Nonostante la sua dipendenza dal digitale, i ricercatori indicano che la strategia informatica del paese è gravemente carente di finanziamenti e che il governo non ha una posizione chiara nei dibattiti sulla governance informatica.

Secondo il Consiglio sudafricano per la ricerca scientifica e industriale, il Sudafrica è il Paese africano più colpito da questi attacchi informatici e si colloca all'ottavo posto nella classifica mondiale.