Bollettino legale n. 78 – Dicembre 2024. 

Quali sono le prospettive per la protezione dei dati nel 2025?

Il nuovo anno prosegue con la graduale attuazione del "pacchetto digitale" dell'Unione europea.ma anche una nuova legislazione volta a rafforzare la protezione dei dati personali di fronte alle sfide poste dalle minacce informatiche.

Con la crescente diffusione dell'intelligenza artificiale nelle aziende, possiamo prevedere un passaggio dai sistemi di supporto alle decisioni a sistemi più autonomi che lasciano meno spazio al giudizio umano, con i rischi che tale utilizzo comporta in termini di qualità e protezione dei dati.

La normativa sull'IA disciplina queste nuove pratiche, sebbene sarà necessario attendere fino all'agosto 2026 affinché tutte le sue disposizioni diventino applicabili..

Come vedremo nelle notizie che seguono, la sua attuazione è già oggetto di linee guida, come dimostra il recente parere del Comitato europeo per la protezione dei dati (EDPB).

I titolari del trattamento dei dati dovranno inoltre tenere conto del Regolamento sui servizi digitali (DSA), applicabile dal 17 febbraio.che impone nuovi obblighi, in particolare per quanto riguarda la trasparenza, la moderazione dei contenuti e la tutela degli utenti.

Secondo l'Associazione francese dei responsabili della protezione dei dati (AFCPD), queste normative introducono sovrapposizioni e richiedono ai DPO di mantenere, con notevole difficoltà, una visione d'insieme per garantire una conformità costante. L'associazione cita l'esempio del trattamento dei dati delle risorse umane, che può passare da una categoria non sensibile a una sensibile a seconda delle tecnologie utilizzate, come l'intelligenza artificiale.

"Queste interazioni sollevano questioni fondamentali sulla gestione armoniosa degli obblighi giuridici."

In materia di sicurezza, il regolamento europeo sulla resilienza informatica (Cyber Resilience Act, CRA) è entrato in vigore il 10 dicembre 2024 e la maggior parte delle sue disposizioni sarà applicabile nel 2027.

L'obiettivo del CRA è rafforzare la protezione dei dati dei consumatori e delle imprese dalle minacce informatiche. Questa normativa impone obblighi ai produttori, agli sviluppatori e ai rivenditori di prodotti connessi in merito alle valutazioni e alle informazioni sulla sicurezza informatica.

Nello stesso contesto, a partire dal 17 gennaio entrerà in vigore il regolamento europeo sulla resilienza operativa digitale (Digital Operational Resilience Act, DORA)..

Impone requisiti rigorosi per garantire la resilienza digitale degli istituti finanziari e per gestire i rischi operativi legati alle tecnologie dell'informazione, in particolare i rischi associati ai fornitori esterni.

La direttiva europea relativa alla sicurezza delle reti e dei sistemi informativi (NIS2) è in linea di principio applicabile dal 17 ottobre, data in cui avrebbe dovuto essere recepita nell'ordinamento giuridico francese.

Il testo amplia il proprio ambito di applicazione rispetto alla direttiva NIS1 e si rivolge specificamente alle infrastrutture e agli enti essenziali per il corretto funzionamento delle attività economiche e sociali nel mercato interno.

È previsto un periodo di tre anni per la piena conformità, ma è necessario implementare rapidamente un minimo indispensabile, ovvero la registrazione presso l'ANSSI dell'entità regolamentata, la notifica degli incidenti e la dimostrazione degli investimenti in soluzioni di sicurezza.

Poiché la legge di recepimento non è ancora stata adottata, permangono tuttora incertezze in merito all'identificazione dei soggetti regolamentati e alle misure concrete da adottare.

Sussiste inoltre una certa incertezza riguardo alle tempistiche di diversi progetti europei: che ne sarà del progetto ePrivacy, in corso da tempo?

Sebbene la Commissione abbia pubblicato la sua prima bozza di regolamento nel gennaio 2017, il procedimento è in attesa della posizione del Parlamento europeo in prima lettura.

Questo testo sta generando un vivace dibattito sull'applicazione del principio del consenso ai cookie e sulla riservatezza delle comunicazioni.

Occorre inoltre menzionare il potenziale impatto della presidenza Trump sul "Quadro normativo in materia di protezione dei dati" e, più in generale, sugli scambi di dati tra l'Unione Europea e gli Stati Uniti.

Infine, il GDPR potrebbe subire alcuni aggiornamenti, in particolare per quanto riguarda il trasferimento dei dati, le indagini coordinate da parte delle autorità di protezione dei dati (DPA) e il suo allineamento con il (futuro) regolamento ePrivacy.

Infine, ma non meno importante, stiamo assistendo allo sviluppo di azioni collettive nell'UE: Come abbiamo riportato il mese scorso, l'ONG noyb ora può promuovere azioni collettive in qualsiasi Stato membro.

Attualmente nell'UE esistono altre 43 entità qualificate, tra cui il Consiglio irlandese per le libertà civili e il Garante finlandese per la protezione dei dati, che attualmente presiede l'EDPB.

Noyb ha indicato di voler avviare le prime azioni legali nel 2025.

Un rischio di contenzioso che le aziende dovrebbero prendere sul serio.

 

      

Con una decisione pubblicata il 1° gennaio nella Gazzetta Ufficiale, La CNIL esprime preoccupazione per gli aggiornamenti previsti ai sistemi informativi di France Travail.

La legge sulla piena occupazione del dicembre 2023 prevede un percorso di sostegno rinnovato per chi cerca lavoro, basato in particolare sull'analisi dei dati e sulla loro condivisione con numerose organizzazioni regionali e locali.

La CNIL raccomanda misure di sicurezza adeguate ai rischi.

La CNIL sta preparando una certificazione GDPR per i subappaltatori Al fine di definire un quadro adeguato, si apre una consultazione pubblica che si concluderà il 28 febbraio.

La certificazione dovrebbe aiutare i titolari del trattamento dei dati a scegliere i propri subappaltatori, "garantendo che il trattamento effettuato dal subappaltatore sia stato valutato come conforme ai criteri di uno standard riconosciuto dalla CNIL".

In un comunicato stampa datato 12 dicembre 2024, La CNIL ha annunciato che invierà avvisi formali agli editori di siti web affinché modifichino i banner dei cookie ritenuti ingannevoli.

L'autorità ricorda agli utenti che i cookie possono essere installati solo dopo che questi hanno dato il loro consenso.

Inoltre, rifiutare i cookie dovrebbe essere semplice quanto accettarli.

È opportuno ricordare che diverse autorità di protezione dei dati, tra cui quella belga, hanno già assunto una posizione rigorosa, richiedendo che le due proposte di accettazione e di rifiuto siano allo stesso livello e con lo stesso grado di visibilità.

Il 5 dicembre 2024, la CNIL (Autorità francese per la protezione dei dati) ha inflitto una multa di 240.000 euro alla società Kaspr. in particolare per aver raccolto su LinkedIn i dati di contatto di utenti che avevano comunque scelto di limitare la propria visibilità.

La Commissione ordina all'azienda di cancellare questi dati o, in mancanza di ciò, qualora sia impossibile distinguere questi dati, la cui visibilità è stata limitata, da altri dati, di informare gli utenti "entro 3 mesi, del trattamento dei loro dati e della possibilità di opporsi ad esso".

Oltre alla raccolta illegale dei dati di contatto e alla mancanza di trasparenza nel trattamento degli stessi, la CNIL critica Kaspr anche per aver conservato i dati per cinque anni, un periodo ritenuto eccessivo per i professionisti che cambiano spesso lavoro.

Il 14 novembre, la CNIL ha multato la società di telecomunicazioni Orange di 50.000.000 di euro per aver inserito pubblicità nelle caselle di posta elettronica e hanno installato cookie sui dispositivi degli utenti senza il loro consenso.

Alla società è stato ordinato di adeguare le proprie pratiche alle normative vigenti, pena l'applicazione di ulteriori sanzioni.

Il 10 e l'11 febbraio, la Francia ospiterà il Vertice d'azione sull'intelligenza artificiale (IA).

In questo contesto, la CNIL, l'Università di Parigi-Saclay e l'Università di Caen-Normandie riuniranno esperti e ricercatori il 23 gennaio per discutere le modalità per prevenire la disinformazione, le frodi e le violazioni della privacy, sfruttando al contempo i vantaggi dell'intelligenza artificiale.

L'11 dicembre, l'Osservatorio francese sull'IA ha inoltre organizzato, in preparazione del vertice sull'IA, un seminario sugli effetti dello sviluppo dell'IA sul lavoro e sull'occupazione.

Le discussioni si sono concentrate in particolare sulle sfide relative alla spiegabilità delle decisioni prese dall'intelligenza artificiale.

Il 3 gennaio, la Corte dei Conti ha pubblicato una relazione sulla sicurezza informatica delle strutture sanitarie.

Sottolinea che "nel 2023, il 10% delle vittime di attacchi informatici in Francia erano strutture sanitarie. La loro vulnerabilità è legata in particolare alla crescente interconnessione dei loro sistemi informativi con il mondo esterno e alla cronica mancanza di investimenti nelle tecnologie digitali".

Questi attacchi possono avere gravi ripercussioni sul funzionamento delle istituzioni e sull'assistenza ai pazienti.

Le autorità pubbliche hanno reagito tardivamente finanziando un programma quinquennale di prevenzione e protezione. Questo slancio deve essere mantenuto.

Il Ministero della Salute ha espresso preoccupazione per lo sviluppo del servizio "Salute", una nuova funzionalità dell'applicazione Doctolib. che propone di centralizzare le informazioni mediche delle persone assicurate.

Questa funzionalità sembra copiare "My Health Space", la cartella clinica digitale istituita dallo Stato con la legge del 24 luglio 2019 relativa all'organizzazione e alla trasformazione del sistema sanitario.

Il 12 dicembre, l'ONG noyb ha presentato una denuncia contro la piattaforma di social media francese BeReal. a causa delle "tattiche scorrette" utilizzate dall'azienda per ottenere il consenso degli utenti.

Quando gli utenti aprono l'applicazione, viene visualizzata una finestra pop-up che chiede loro di acconsentire ("sì") o "no" all'utilizzo dei propri dati personali per scopi pubblicitari: se gli utenti cliccano su "accetta", non visualizzeranno più il banner di consenso.

Tuttavia, se rifiutano la personalizzazione, il banner apparirà ogni giorno finché non accetteranno.

 

istituzioni e organismi europei

Il 18 dicembre, il Comitato europeo per la protezione delle informazioni (EDPB) ha adottato un parere sui modelli di intelligenza artificiale. Tale parere analizza:

• Come valutare e dimostrare che un modello di intelligenza artificiale è anonimo;
• Se l'interesse legittimo può costituire una base giuridica per l'addestramento o l'utilizzo di modelli di intelligenza artificiale;
• Le conseguenze dell'addestramento di un modello di intelligenza artificiale utilizzando dati personali trattati illegalmente.

Secondo il Comitato, la questione se un modello di IA sia anonimo deve essere valutata caso per caso: deve essere praticamente impossibile ("molto improbabile") (1) identificare direttamente o indirettamente gli individui i cui dati sono stati utilizzati per creare il modello e (2) estrarre questi dati personali dal modello tramite interrogazioni.

L'avviso fornisce un elenco di metodi per dimostrare l'anonimato.

Per quanto riguarda l'interesse legittimo, il parere fornisce indicazioni alle autorità di protezione dei dati per valutare se tale base giuridica sia appropriata.

Infine, quando un modello di intelligenza artificiale viene sviluppato a partire da dati personali trattati illecitamente, ciò potrebbe compromettere la legalità del suo utilizzo, a meno che il modello non sia stato debitamente anonimizzato.

Il Garante europeo della protezione dei dati (EDPS) ha adottato una decisione in cui si constata che la Commissione europea ha illegittimamente indirizzato la pubblicità ai cittadini europei, mostrando loro annunci basati su dati personali "sensibili" riguardanti le loro opinioni politiche.

L'ONG noyb, che ha presentato la denuncia, afferma che, nel contesto dei dibattiti relativi al progetto di regolamento sul controllo delle discussioni online ("Controllo delle chat"), la Commissione europea ha individuato i Paesi Bassi come uno Stato membro su cui intendeva esercitare un'influenza politica.

A tal fine, ha pubblicato messaggi su Twitter/X promuovendo indirettamente questa normativa tra gli utenti di orientamento liberale o di sinistra.

 

Notizie dai paesi membri dell'Unione europea.

La casa automobilistica tedesca Volkswagen si è trovata sotto inchiesta alla vigilia del nuovo anno, in seguito a una rivelazione del media Spiegel, che l'accusa di aver reso pubblici i dati di geolocalizzazione di oltre 800.000 veicoli in Europa.

Queste informazioni hanno permesso di conoscere la posizione di quasi 500.000 veicoli con una precisione di 10 centimetri.

In Francia, si stima che siano interessati oltre 50.000 veicoli dei marchi Volkswagen, Audi, Skoda e Seat.

Anche in Germania, un fornitore di servizi con sede ad Amburgo è stato multato di 900.000 euro dall'autorità locale per la protezione dei dati per aver conservato dati personali fino a cinque anni oltre la data di scadenza.

Per l'APD, "è inaccettabile che gli operatori del settore digitale non abbiano sviluppato una procedura di cancellazione coerente" (tramite l'AFCDP).

In Spagna, l'APD ha sanzionato un'officina meccanica che aveva pubblicato i dati dei propri clienti su un gruppo WhatsApp, rendendo visibili a tutti i membri del gruppo le informazioni di 150 clienti (numeri di telefono, nomi e foto).

L'APD ha riscontrato una violazione dell'articolo 6(1) del GDPR, che richiede una valida base giuridica per qualsiasi trattamento di dati personali, e ha inflitto alla società una sanzione di 3.000 euro.

La Spagna ha deciso di vietare l'utilizzo di "Google Workspace for Education" nelle scuole.

Questa decisione è stata presa sulla base di una relazione dell'Agenzia spagnola per la protezione dei dati (APD), che ritiene vi sia "una raccolta invasiva di informazioni personali".

Questa relazione è stata redatta su richiesta del Ministero dell'Istruzione.

Il 17 dicembre, la Commissione irlandese per la protezione dei dati (DPC) ha annunciato di aver multato Meta per 251.000.000 di euro per non aver impedito una violazione dei dati che ha compromesso le informazioni di milioni di utenti di Facebook e per non aver documentato adeguatamente la violazione.

Due giorni dopo la pubblicazione del parere del Comitato europeo per la protezione dei dati (EDPB) sull'intelligenza artificiale, il 20 dicembre l'autorità italiana per la protezione dei dati ha inflitto a OpenAI una multa di 15.000.000 di euro.

Ritiene che l'azienda abbia utilizzato i dati personali degli utenti di Internet per addestrare ChatGPT "senza un'adeguata base giuridica e violando il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti".

L'indagine avviata alla fine del 2023 dall'APD rivela inoltre che l'azienda non ha fornito un sistema adeguato di verifica dell'età per impedire che gli utenti di età inferiore ai 13 anni venissero esposti a contenuti inappropriati generati dall'intelligenza artificiale.

Open AI dovrà inoltre lanciare una campagna di comunicazione nel paese, utilizzando diversi media, per sensibilizzare il pubblico sul funzionamento di ChatGPT e per ricordare loro i propri diritti.

Possiamo ancora utilizzare il modello OpenAI e l'API ChatGPT per fornire i nostri servizi di intelligenza artificiale generativa?

La decisione italiana lascia la questione aperta, specificando che spetterà all'autorità irlandese pronunciarsi in merito, secondo il meccanismo previsto dall'articolo 56 del GDPR.

Anche il Garante per la protezione dei dati personali (APD) si è espresso il 13 novembre in merito alla pubblicazione di foto di minori su Facebook, ricordando la necessità del consenso di entrambi i genitori.

In questo caso specifico, il padre di un bambino di età inferiore ai 14 anni aveva condiviso la sua foto su Facebook per mostrare la somiglianza con il fratellastro, anch'egli presente nella foto.

La madre del bambino, divorziata dal padre, gli ha chiesto senza successo di rimuovere la foto da Facebook e ha sporto denuncia alla polizia di Austin (APD).

Il 6 dicembre, le autorità olandesi hanno inoltre diffidato gli Archivi Nazionali dal pubblicare online gli archivi di guerra dei Paesi Bassi.

Questi documenti contengono fascicoli su persone sospettate di aver collaborato con l'occupante durante la Seconda Guerra Mondiale, inclusi dati sensibili come religione, affiliazione politica, stato di salute o etnia di persone talvolta ancora in vita.

Sebbene abbiano un valore innegabile, le modalità con cui gli Archivi Nazionali intendono rendere pubblici i dati online violano la Legge sugli Archivi e il GDPR, secondo l'APD.

Pertanto, auspica un maggiore controllo delle condizioni di accesso ai dati.

Il 18 dicembre, l'APD ha multato Netflix per non aver informato adeguatamente i propri clienti sul trattamento dei loro dati tra il 2018 e il 2020.

Inoltre, le informazioni fornite da Netflix erano poco chiare su alcuni punti.

Per questo motivo, l'APD ha inflitto una multa di 4.750.000 euro al servizio di streaming.

Da allora, Netflix ha aggiornato la sua informativa sulla privacy e migliorato le informazioni fornite.

In Svezia, la polizia svedesi (APD) ha multato un proprietario di casa per 200.000 corone svedesi (17.366 euro) per aver installato diciotto telecamere nelle aree comuni di un edificio residenziale e per non aver risposto a una richiesta di informazioni.

 

Uno studio intitolato "Tracking Indoor Location, Movement and Desk Occupancy in the Workplace", pubblicato a novembre, analizza le tecnologie di monitoraggio e profilazione del comportamento dei dipendenti utilizzando sensori di movimento e infrastrutture Wi-Fi all'interno dei locali aziendali.

Questo studio si concentra sulle potenziali implicazioni per i dipendenti in Europa ed esamina le soluzioni più diffuse offerte da Cisco, Juniper, Spacewell, Locatee e altri fornitori di tecnologie simili.

Cisco afferma di aver elaborato finora 17.200 miliardi di "punti dati di geolocalizzazione" raccolti tramite oltre tre milioni di punti di accesso Wi-Fi installati in 250.000 edifici in tutto il mondo.

Lo studio affronta brevemente le modalità con cui i lavoratori hanno resistito all'installazione di rilevatori di movimento da parte dei loro datori di lavoro (tramite l'AFCDP).

A seguito di un procedimento legale avviato da WhatsApp nel 2019, alla fine di dicembre un giudice californiano ha dichiarato colpevole di pirateria informatica la società israeliana NSO Group, creatrice dello spyware Pegasus.

Questa sentenza è considerata "storica" dagli oppositori di questo settore.

Secondo Will Cathcart, direttore di WhatsApp, "NSO Group afferma di servire i governi in modo responsabile, ma abbiamo scoperto che oltre cento difensori dei diritti umani e giornalisti sono stati presi di mira in un attacco lo scorso maggio; questi abusi devono cessare".

All'inizio di dicembre, il governo statunitense ha rivelato che la Cina aveva hackerato 8 operatori americani (tra cui AT&T, Verizon e Lumen Technologies).

Lo spionaggio riguarda il nuovo formato RCS per l'invio di messaggi SMS tra un iPhone e uno smartphone Android.

L'FBI e la Cybersecurity and Infrastructure Security Agency (CISA) hanno dichiarato che la campagna di hacking, soprannominata Salt Typhoon da Microsoft, rappresenta una delle più grandi violazioni della storia.

Gli hacker hanno avuto accesso a registrazioni di chiamate, conversazioni telefoniche in diretta con individui specifici e persino a ordinanze giudiziarie riservate.

Le autorità raccomandano di utilizzare applicazioni di messaggistica sicure e crittografate per evitare che le comunicazioni private vengano divulgate.