Bollettino Legale n. 72 – Giugno 2024.  

Comunicazione e marketing sui social media: quali sono le regole per i professionisti?

I social network costituiscono un insieme di dati che possono essere utilizzati per individuare potenziali clienti.

L'utilizzo di questi dati, sia che siano accessibili pubblicamente sui social network sia che avvenga attraverso la creazione di una rete di contatti, rimane soggetto alla legge.

Deve essere conforme ai principi del GDPR e alla direttiva europea sulle comunicazioni elettroniche (direttiva ePrivacy).

Le regole sono diverse, ad esempio, se si contatta un'azienda ("B2B") o una persona fisica ("B2C").

Le aspettative delle persone variano anche a seconda che esista o meno una relazione preesistente: presta particolare attenzione alla raccolta di informazioni su persone che non fanno parte della tua rete di contatti (ad esempio, raccogliendo i nomi di potenziali clienti nei gruppi di discussione).

È importante tenere a mente tre principi essenziali: trasparenza, rispetto dei diritti delle persone interessate e capacità di rispondere alle loro richieste.

• Fornire informazioni sui dati raccolti.

Si raccomanda:

• Per anticipare gli effetti di un'operazione di comunicazione online, come ad esempio una campagna email, è possibile aggiungere una nota in calce al messaggio che spieghi in particolare l'origine dei dati e lo scopo della comunicazione.
• Fornire un articolo o un link funzionante che rimandi a una pagina informativa sul titolare del trattamento dei dati e sui diritti degli interessati.
• Offrire un mezzo di contatto semplice (email dedicata, modulo di contatto o messaggio privato sui social network) per consentire richieste di accesso, rettifica o cancellazione dei dati.
• Rispetta i diritti delle persone e ottieni il loro consenso ove opportuno.

Alcune tecniche di prospezione possono essere più invasive di altre.

Su LinkedIn, ad esempio, InMail permette (a pagamento) di inviare messaggi direttamente alla casella di posta di qualsiasi utente che non faccia parte della propria rete di contatti.

Alcuni software di marketing consentono anche l'importazione di contatti (inclusi profili e foto) da social network come LinkedIn, Facebook, Twitter, Viadeo, YouTube o Klout per un'ulteriore elaborazione.

Queste tecniche di prospezione devono essere conformi alle norme del marketing via e-mail, come previsto dal GDPR e dalla Direttiva ePrivacy.

Si richiamano pertanto i seguenti principi:

• Conformità al principio di opt-in, ovvero ottenimento del consenso preventivo del destinatario della pubblicità: questo è il caso dell'invio di pubblicità "B2C" tramite e-mail, SMS, MMS, chiamate automatiche o fax.
• Rispetto del diritto di opt-out, che consente l'invio di comunicazioni commerciali anche quando il destinatario non si è opposto: questo è il caso della pubblicità "B2B" inviata via e-mail e della pubblicità "B2C" inviata per posta o telefono.
• Organizzare la gestione delle richieste provenienti dalle persone interessate.

Ciò implica la pianificazione di:

• Una risposta tipica agli utenti di Internet che, ad esempio, esercitano il loro diritto di opposizione e/o richiedono l'accesso ai propri dati.
• Una procedura interna per elaborare queste richieste nel più breve tempo possibile, rispettando il termine standard di un mese previsto dal GDPR.

La tempestività e l'efficacia della risposta sono importanti in quanto contribuiscono alla reputazione online del titolare del trattamento dei dati.

 

L'Autorità francese per la protezione dei dati (CNIL) ha annunciato che effettuerà dei controlli in relazione ai Giochi Olimpici e Paralimpici. al fine di garantire il rispetto della privacy degli spettatori.

L'attenzione si concentrerà in particolare sui dispositivi di ripresa "aumentati", sui codici QR per le aree riservate, sui servizi di biglietteria e sui dati dei volontari.

A seguito delle elezioni europee, la CNIL ha registrato 167 segnalazioni di violazioni del GDPR.

Il documento ricorda ai partiti politici, nel contesto delle elezioni legislative anticipate, le regole da rispettare e li informa che effettuerà verifiche in base al numero e alla natura delle segnalazioni che verranno ricevute in relazione alle elezioni.

A seguito della pubblicazione delle guide pratiche lo scorso aprile, Il 10 giugno, la CNIL ha pubblicato una seconda serie di schede informative e un questionario dedicati alla regolamentazione dello sviluppo dei sistemi di intelligenza artificiale (IA).

 Questi nuovi strumenti mirano ad aiutare i professionisti a conciliare innovazione e rispetto dei diritti delle persone, concentrandosi in particolare sulle basi giuridiche del legittimo interesse, sulla trasparenza, sui diritti delle persone, sull'annotazione dei dati e sulla sicurezza dello sviluppo di un sistema di intelligenza artificiale.

Le schede informative sono a disposizione del pubblico per la consultazione fino al 1° settembre 2024.

Infine, la CNIL esamina in uno studio pubblicato il 4 luglio lo sviluppo di alternative alle tecniche di tracciamento tramite cookie di terze parti e sulle loro conseguenze (vedi anche, più avanti, le questioni sollevate dalla "privacy sandbox" di Google).

 

istituzioni e organismi europei

Il 1° luglio, la Commissione europea ha informato Meta dei suoi risultati preliminari, secondo i quali il suo modello pubblicitario "paga o acconsenti" non è conforme al Digital Markets Act. (DMA, art. 5 comma 2).

Questi risultati confermano quelli pubblicati dal Comitato europeo per la protezione dei dati (EDPB) lo scorso aprile.

Secondo la Commissione, questa scelta binaria obbliga gli utenti ad acconsentire alla combinazione dei propri dati personali e non offre loro una versione meno personalizzata ma equivalente dei social network di Meta.

Questi risultati preliminari non pregiudicano l'esito dell'indagine.

Meta ha ora la possibilità di esercitare il suo diritto alla difesa e di rispondere per iscritto.

La Commissione concluderà la sua indagine entro 12 mesi dall'avvio della procedura, ovvero il 25 marzo 2024.

Qualora le conclusioni preliminari della Commissione venissero infine confermate, la Commissione potrebbe imporre sanzioni pecuniarie fino al 10% del fatturato mondiale totale di Meta e fino al 20% in caso di recidiva.

Ai sensi del Regolamento sulla governance dei dati (DGA), la Commissione europea ha pubblicato l'elenco dei primi "intermediari di dati" notificati dagli Stati membri.

Gli intermediari di dati fungono da terze parti neutrali che mettono in contatto individui e aziende con gli utilizzatori dei dati.

Sono state registrate cinque società, tre delle quali con sede in Francia: AGDATAHUB, Hub One DataTrust e M-ITRUST. Le altre due sono state notificate da Finlandia e Ungheria (tramite l'AFCDP).

Il 27 giugno l'EDPB ha lanciato il progetto "AI Auditing". : questo progetto mira ad aiutare le autorità di protezione dei dati (DPA) a ispezionare i sistemi di intelligenza artificiale definendo una metodologia sotto forma di checklist per verificare un algoritmo e proponendo strumenti che ne migliorerebbero la trasparenza.

Il 3 giugno, il Garante europeo della protezione dei dati (EDPS) ha pubblicato le sue linee guida sull'"intelligenza artificiale generativa e la protezione dei dati personali". al fine di fornire alle istituzioni, agli organi, agli uffici e alle agenzie dell'UE consigli e istruzioni pratiche sul trattamento dei dati personali nell'utilizzo di sistemi di intelligenza artificiale generativa e per agevolare il loro rispetto dei requisiti del quadro giuridico in materia di protezione dei dati.

Il Gruppo di lavoro internazionale sulla protezione dei dati nella tecnologia (IWGDPT) ha adottato il 5 giugno un documento di lavoro sulla tecnologia di riconoscimento facciale.

Il documento descrive le possibilità di utilizzo nei settori pubblico e privato e presenta sia i rischi sia le raccomandazioni pratiche per un'applicazione conforme alla normativa sulla protezione dei dati.

Il 20 giugno, la Corte di giustizia dell'Unione europea (CGUE) ha stabilito nella causa C-590/22 che Il timore di un interessato che i propri dati personali siano stati divulgati a terzi è sufficiente a dare luogo a un risarcimento., qualora tale timore, con le sue conseguenze negative, si rivelasse fondato.

Non è necessario dimostrare che questi dati siano stati effettivamente comunicati a terzi per giustificare tale risarcimento (tramite notizie sul GDPR).

La Corte ha inoltre considerato il 20 giugno, nelle cause riunite C 182/22 e C 189/22 – Scalable Capital, che Il danno morale causato da una violazione dei dati personali non è, per sua stessa natura, meno importante del danno fisico..

Inoltre, affinché un evento possa essere classificato come furto d'identità, i dati personali devono essere stati effettivamente utilizzati in modo improprio da terzi.

In una sentenza del 6 giugno (Bersheda e Rybolovlev contro Monaco), la Corte europea dei diritti dell'uomo ha stabilito che indagini condotte dal giudice istruttore sul telefono cellulare di un avvocato e il recupero massiccio e indiscriminato di dati personali – compresi dati che erano stati precedentemente cancellati dal ricorrente – ha ecceduto la giurisdizione di questo giudice e non è stato accompagnato da garanzie per assicurare il rispetto dello status e del segreto professionale del ricorrente in quanto avvocato.

Sotto la pressione della società civile e dell'organismo europeo responsabile dell'attuazione del Digital Services Act (DSA), LinkedIn ha rimosso dalla sua piattaforma la pubblicità mirata basata sui dati personali sensibili degli utenti..

Questo tipo di targeting è stato considerato in violazione del DSA.

L'azienda A metà giugno Meta ha confermato di aver sospeso i suoi piani di addestramento dei sistemi di intelligenza artificiale utilizzando i dati degli utenti nell'UE e nel Regno Unito.

Il progetto si è concentrato sui dati degli utenti provenienti da Facebook, Instagram e Threads.

Questa decisione fa seguito all'intervento della Commissione irlandese per la protezione dei dati, che agisce per conto di diverse autorità di protezione dei dati in tutta l'UE e in particolare dell'autorità di Amburgo.

 

Notizie dai paesi membri dell'Unione Europea.

Polizia di sicurezza belga Il 3 giugno è stata inflitta una multa di 172.000 euro a un'azienda che non aveva ottemperato alla richiesta di cancellazione dei dati e aveva continuato a inviare email di marketing diretto.

Le argomentazioni del titolare del trattamento, volte a scaricare la colpa sul responsabile della protezione dei dati (DPO), non sono state prese in considerazione dall'Autorità Garante per la protezione dei dati: è responsabilità del titolare del trattamento rispondere alle richieste di accesso e garantire che il DPO disponga di risorse sufficienti.

In GreciaL'APD ha inflitto multe di 400.000 e 40.000 euro rispettivamente al Ministero dell'Interno e a un membro del Parlamento europeo per l'invio di comunicazioni politiche non richieste, i cui indirizzi email erano stati forniti al parlamentare europeo dal Ministero dell'Interno.

In Lussemburgo, L'APD ha ritenuto che l'utilizzo della videosorveglianza per giustificare il licenziamento di un dipendente violasse il principio di limitazione delle finalità del GDPR, qualora l'impianto fosse stato originariamente installato per garantire la sicurezza dei dipendenti.

Nei Paesi Bassi, Un tribunale ha vietato a Microsoft, LinkedIn e Xandr di installare cookie di tracciamento su siti web di terzi senza il consenso dell'utente e ha imposto una multa di 1.000 euro per ciascuna azienda per ogni giorno di inadempienza alla decisione.

La corte ha stabilito che queste piattaforme restano responsabili della raccolta di un consenso valido, anche quando affidano tale raccolta a siti web di terzi che integrano le loro tecnologie di tracciamento.

In DanimarcaL'APD ha rimproverato la città di Copenaghen per non aver impedito il potenziale accesso ai dati personali di 3,7 milioni di persone da parte di 37.500 dipendenti non autorizzati.

Polizia di frontiera lettone È stata inflitta una multa di 1.000 euro a una società che offre servizi fotografici in un parco divertimenti.

L'azienda scattava foto ai visitatori basandosi sul consenso implicito, il che non può essere considerato un'azione positiva.

In ItaliaL'APD ha multato un'azienda di 100.000 euro per il trattamento illegale di numeri di telefono a fini di telemarketing.

L'APD ha ritenuto che un titolare del trattamento dei dati non possa trasferire la propria responsabilità e i propri obblighi ai sensi del GDPR a un subappaltatore tramite una clausola contrattuale.

ODA svedese Avanza Bank AB è stata multata di 1.318.955,55 euro (15 milioni di corone svedesi) per aver violato l'articolo 5(1)(f) e l'articolo 32 del GDPR, poiché l'attivazione accidentale di due funzioni di Meta Pixel ha comportato il trasferimento non autorizzato di dati personali a Meta Pixel.

In Polonia, l'ODA Un'azienda è stata multata di 54.600 euro dopo che lo smarrimento di una chiavetta USB contenente dati non crittografati dei dipendenti ha causato una violazione dei dati.

13 giugno, L'ONG NOYB ha presentato un reclamo all'Autorità austriaca per la protezione dei dati (APD) contro le pratiche di Google relative alla raccolta di dati personali tramite la sua "privacy sandbox".

L'ONG sottolinea che, da quando Google ha annunciato nel settembre 2023 la graduale rimozione dei cookie di terze parti dal suo browser Chrome, gli utenti sono stati progressivamente incoraggiati ad attivare una cosiddetta "funzione per la privacy degli annunci" che in realtà consentirebbe a Google di tracciarli.

Il 4 giugno, NOYB ha inoltre presentato una denuncia in Austria contro Microsoft, i cui servizi "365 Education" violerebbero presumibilmente i diritti dei minori in materia di protezione dei dati.

Secondo l'ONG, quando gli studenti hanno voluto esercitare i propri diritti ai sensi del GDPR, Microsoft ha affermato che le scuole erano "responsabili" dei loro dati, nonostante le scuole non abbiano alcun controllo sui sistemi di Microsoft.

Alla fine di maggio, l'associazione Eu Travel Tech ha presentato un reclamo alle autorità francesi e belghe per la protezione dei dati contro Ryanair, in merito alla recente introduzione dell'obbligo di trattare i dati biometrici dei clienti per consentire l'accesso alla gestione delle prenotazioni e alle funzioni di check-in online.

L'associazione ritiene che questo processo di verifica biometrica violi i principi di legalità, equità e trasparenza del GDPR (tramite l'AFCDP).

 

L'OCSE ha pubblicato il 26 giugno un Rapporto su intelligenza artificiale, governance dei dati e protezione della privacy.

Questo rapporto esamina le iniziative nazionali e regionali e suggerisce potenziali aree di collaborazione.

Promuovendo una migliore cooperazione internazionale, il rapporto si propone di orientare lo sviluppo di sistemi di intelligenza artificiale che rispettino e tutelino la privacy.

L'OCSE ha inoltre pubblicato il 19 giugno un documento di lavoro intitolato "Verso la sicurezza digitale fin dalla progettazione per i bambini".

Il documento si concentra sulle azioni da intraprendere da parte dei fornitori di servizi digitali e propone otto misure chiave, tra cui strumenti pratici, misure per promuovere una cultura della sicurezza e strategie di mitigazione dei danni.

Questi elementi sono illustrati da casi di studio, che evidenziano la necessità di adottare approcci adattati al contesto.

L'Agenzia per la protezione della privacy della California (CPPA) e la CNIL hanno firmato una dichiarazione di cooperazione.il 25 giugno 2024 a Parigi.

La CNIL indica che le due autorità intendono unire i propri sforzi per rafforzare la protezione dei dati personali dei cittadini francesi e californiani.

Secondo quanto riferito, Nvidia (uno dei principali fornitori di semiconduttori per il calcolo AI), Microsoft e OpenAI sono oggetto di una controversia. Indagine antitrust negli Stati Uniti.

Secondo un articolo di Politico, il Dipartimento di Giustizia (DOJ) e la Commissione Federale per il Commercio (FTC) collaboreranno su questa questione. Il DOJ si concentrerà su Nvidia, mentre la FTC esaminerà la partnership tra Microsoft e OpenAI per determinare se quest'ultima goda di un vantaggio sleale.

Il 12 giugno il Giappone ha adottato una legge simile al regolamento europeo sui mercati digitali (DMA).

Il testo includerebbe "obblighi volti a garantire l'interoperabilità, la trasparenza e la portabilità dei dati".

La legge entrerà in vigore alla fine di dicembre 2025.

La compagnia americana Dropbox ha annunciato all'inizio di maggio di essere stata vittima di un attacco informatico..

L'intrusione malevola riguarda la sua piattaforma sicura per la firma elettronica di documenti, Dropbox Sign, precedentemente nota come HelloSign.

I dati rubati includono nomi, indirizzi email, password crittografate, informazioni di pagamento e informazioni di autenticazione.

L'azienda afferma di aver reimpostato le password di tutti gli utenti e di aver disconnesso tutte le sessioni (tramite AFCDP).