Bollettino legale n. 83 – Maggio 2025. 

Sovranità europea dei dati: pura illusione?

Il blocco da parte di Microsoft dell'account di posta elettronica del Procuratore Generale della Corte Penale Internazionale (CPI), Karim Khan, solleva la questione cruciale della sovranità digitale della Francia e dell'Europa in generale di fronte ai principali attori del settore tecnologico.

Secondo l'Associated Press, l'account di posta elettronica del signor Khan è stato bloccato senza preavviso, costringendolo a utilizzare i servizi del provider internet svizzero Proton.

Poiché il tribunale dipende fortemente da fornitori di servizi come Microsoft, il suo lavoro ha subito un notevole rallentamento.

Questa decisione di Microsoft è una diretta conseguenza delle misure adottate dal presidente statunitense Donald Trump contro la Corte dell'Aia a febbraio, dopo che un collegio di giudici della CPI aveva emesso mandati di arresto per il primo ministro israeliano Benjamin Netanyahu e il suo ex ministro della Difesa Yoav Gallant per crimini di guerra nella Striscia di Gaza.

Il decreto presidenziale vieta espressamente la fornitura di fondi, beni o servizi al Procuratore Generale della CPI e qualsiasi transazione che eluda tali divieti, in quanto le azioni della CPI costituiscono una minaccia insolita e straordinaria per la sicurezza nazionale e la politica estera degli Stati Uniti.

Una pubblicazione olandese del 31 maggio osserva in questo contesto che, dato il numero di server americani utilizzati dal settore pubblico, "il governo degli Stati Uniti potrebbe bloccare o manipolare più di 650 siti web governativi e aziendali olandesi di importanza strategica con un semplice clic, inclusi quelli della Banca Centrale olandese (De Nederlandsche Bank) e della polizia, ma anche il sito web (...) del Ministero degli Affari Esteri. Proprio come il sito Crisis.nl, un punto di riferimento per i cittadini olandesi in caso di calamità".

Un altro esempio delle potenziali conseguenze della nostra dipendenza tecnologica si può trovare in un recente caso tra OpenAI e il sistema giudiziario statunitense: l'azienda sta attualmente combattendo contro una decisione che le impone di conservare tutti i registri degli utenti di ChatGPT, comprese le chat cancellate e sensibili, registrate tramite la sua API commerciale.

La decisione è scaturita da una controversia con organi di stampa che, nell'ambito di rivendicazioni di copyright, accusavano OpenAI di aver distrutto prove.

Nella sua risposta, l'azienda sostiene che il tribunale si basa esclusivamente su un'accusa mossa dal New York Times e da altri organi di stampa, e che "non esiste alcun valido motivo che impedisca a OpenAI di rispettare le decisioni sulla privacy dei suoi utenti".

Senza prendere posizione sulla legittima questione del rispetto del diritto d'autore, il caso ci porta a interrogarci sul controllo che potenze straniere, in questo caso gli Stati Uniti, possono esercitare sui nostri strumenti di lavoro quotidiani, dal momento in cui decidono autonomamente le motivazioni di interesse nazionale che giustificano tale controllo.

Ciò appare particolarmente preoccupante in un mondo in cui lo stato di diritto è sempre più sotto attacco e in cui le alleanze politiche fluttuano quotidianamente.

In questo contesto cupo, in cui l'Europa viene spesso accusata di essere in ritardo, giunge una notizia incoraggiante: a metà maggio, il Secure Data Access Centre (CASD) è diventato il primo servizio di hosting dati in Europa ad ottenere la certificazione ufficiale GDPR, rilasciata ai sensi dell'articolo 42 del GDPR e dello standard Europrivacy.

Questa certificazione è ufficialmente riconosciuta dalle autorità per la protezione dei dati di 30 paesi: tutti gli stati membri dell'UE e del SEE.

CASD possiede già numerose certificazioni (ISO 27001, ISO 2770) ed è inoltre, in particolare, un fornitore di servizi di hosting per dati sanitari (Health Data Host - HDS).

Sappiamo inoltre che l'Europa sta attualmente investendo nell'IA, sia finanziariamente che con l'obiettivo di semplificare la regolamentazione (vedi le notizie riportate di seguito). Il Manifesto dell'IMA (Innovation Makers Alliance), sostenuto da attori come OVHcloud, Hexatrust e Mistral AI, ha presentato a marzo 33 proposte riguardanti l'IA, il cloud computing, la sicurezza informatica e gli appalti pubblici, in vista di un urgente riequilibrio... Allo stesso tempo, Microsoft ha offerto ai governi europei un programma gratuito di sicurezza informatica.

Le iniziative europee potranno esprimere appieno il loro potenziale solo se i nostri riflessi si evolveranno, sia in termini di scelte strategiche riguardanti gli strumenti di intelligenza artificiale e i servizi di hosting, sia in termini di igiene digitale: prima di trasmettere o archiviare dati, è fondamentale elaborare inizialmente solo i dati strettamente necessari e implementare, sia nel settore pubblico che in quello privato, prassi e carte che limitino i rischi di perdita di controllo su tali dati.

 

Il 15 maggio 2025, la CNIL ha multato la società Solocal Marketing Services per 900.000 euro per aver contattato potenziali clienti senza il loro consenso e per aver trasmesso i loro dati a partner senza una valida base giuridica.

Lo stesso giorno, ha multato la società Caloga di 80.000 euro per aver contattato potenziali clienti senza il loro consenso e per aver trasmesso i loro dati a partner senza una valida base giuridica.

Alla fine di maggio, il deputato e membro della CNIL Philippe Latombe ha interrogato il Ministro dell'Economia, delle Finanze e della Sovranità Industriale e Digitale, tramite un'interrogazione parlamentare, in merito alla scelta, da parte di numerosi enti pubblici, della compagnia di mutua assicurazione ALAN per la fornitura di un'assicurazione sanitaria integrativa ai propri dipendenti.

Sottolinea che "questa azienda francese di successo (...) ospita i propri dati presso Amazon Web Services (AWS) ed è pertanto soggetta all'extraterritorialità del diritto americano".

Il parlamentare chiede al governo se stia valutando, "al fine di proteggere i dati sensibili dei suoi agenti e di essere coerente con le direttive emanate, la possibilità di chiedere ad ALAN di migrare verso un cloud sovrano".

Con decisione del 5 maggio, il Consiglio di Stato ha deferito alla Corte di giustizia dell'Unione europea (CGUE) una questione pregiudiziale relativa alla portata del consenso: il caso riguarda la società Canal+, sanzionata dalla CNIL nell'ottobre 2023 per aver utilizzato i dati raccolti dai suoi partner fornitori di servizi internet a fini di marketing elettronico, pur non avendo i partner esplicitamente identificati al momento del conferimento del consenso.

Il Consiglio di Stato chiede essenzialmente alla Corte di Giustizia dell'Unione europea se il consenso prestato a un titolare principale del trattamento dei dati (come un ISP) per il trattamento da parte dei "suoi partner" possa essere considerato sufficiente ad autorizzare ciascuno di questi partner a svolgere campagne di marketing, anche se non identificati al momento della raccolta dei dati.

Il 25 aprile, il Consiglio di Stato (CE) ha rifiutato di sospendere una decisione della CNIL che autorizzava l'Agenzia europea per i medicinali (EMA) a elaborare i dati per uno studio sull'incidenza e la prevalenza delle malattie nell'ambito del progetto "DARWIN EU".

Il richiedente ha sostenuto che il provvedimento era urgente in quanto il trattamento proposto riguardava i dati sanitari di 10 milioni di francesi, che sarebbero stati ospitati da Microsoft, e che avrebbero richiesto trasferimenti negli Stati Uniti, dove le garanzie sarebbero state insufficienti.

Il CE ritiene che, "sebbene non si possa escludere totalmente che i dati derivanti dal trattamento (...) possano essere soggetti a richieste di accesso da parte delle autorità degli Stati Uniti, tramite la società madre dell'host, e che quest'ultima possa non essere in grado di opporsi, tale rischio rimane ipotetico allo stato attuale dell'indagine.

In secondo luogo, oltre al fatto che Microsoft Ireland detiene la certificazione "Health Data Hosting" (HDS) (...), l'implementazione del progetto è circondata da garanzie e misure di sicurezza, in particolare dal fatto che i dati saranno pseudonimizzati più volte e non direttamente identificabili, in modo che la CNIL abbia ritenuto che tale rischio fosse ridotto a un livello tale da non giustificare il rifiuto dell'autorizzazione richiesta, la cui durata è stata inoltre limitata a tre anni.

Il 13 maggio, la Corte d'Appello di Bordeaux ha annullato un contratto relativo alla realizzazione di un sito web per violazione delle norme sulla protezione dei dati personali, e in particolare per quanto riguarda gli obblighi di informazione e consenso relativi ai cookie.

Il settore delle criptovalute è in subbuglio dopo diversi tentativi di rapimento.

Un dirigente della piattaforma Paymium, recentemente oggetto di un attacco informatico, fa riferimento agli sviluppi normativi che intendono applicare al settore delle criptovalute diverse regole volte a eliminare l'anonimato, già in vigore nel settore bancario in materia di riciclaggio di denaro e lotta al traffico di droga.

Il loro obiettivo principale sono i meccanismi nazionali ed europei progettati per rendere i fondi irrintracciabili.

Queste preoccupazioni sono condivise da alcuni esperti di sicurezza informatica, i quali sostengono che l'anonimato possa essere utilizzato in un contesto legittimo, ma vengono anche ridimensionate da altri che sottolineano tutte le garanzie di protezione dei dati già applicabili al settore finanziario.

 

istituzioni e organismi europei

Il 21 maggio, la Commissione europea ha pubblicato una proposta di modifica del GDPR volta ad alleggerire gli obblighi delle PMI ed estenderli alle imprese di medie dimensioni con meno di 750 dipendenti.

Le modifiche più importanti riguardano i requisiti relativi al registro delle attività di trattamento (RPA).

L'eccezione attuale di cui alla sezione 30(5) verrebbe estesa a tutte queste imprese.

Questa nuova eccezione si applicherebbe a meno che il trattamento non comporti un "rischio elevato" per i diritti e le libertà delle persone interessate (a differenza del "rischio" attualmente previsto).

Il testo aggiungerebbe anche un considerando che specifica che il trattamento di determinate categorie di dati necessarie per l'applicazione del diritto del lavoro e della sicurezza sociale ai sensi dell'articolo 9, paragrafo 2, lettera b), non fa scattare di per sé l'obbligo di tenere un RAT.

Le proposte modificherebbero anche le disposizioni relative ai codici di condotta (articolo 40) e ai sistemi di certificazione (articolo 42) per estenderli alle imprese con meno di 750 dipendenti.

Attualmente, questi articoli impongono agli Stati membri, alle autorità di protezione dei dati (DPA), alla Commissione e al Comitato europeo per la protezione dei dati (EDPB) di "incoraggiare" lo sviluppo di codici e certificazioni che tengano conto delle "esigenze specifiche" delle PMI.

Per definire la futura strategia dell'UE in materia di dati, la Commissione europea avvia una consultazione sull'utilizzo dei dati nell'intelligenza artificiale, sulla semplificazione delle norme relative ai dati e sui flussi internazionali di dati.

L'obiettivo è quello di consentire la creazione di set di dati di alta qualità, interoperabili e diversificati, necessari per l'intelligenza artificiale, garantendo al contempo la coerenza tra politiche, infrastrutture e strumenti giuridici relativi ai dati.

La consultazione è aperta fino al 18 luglio.

La Commissione pubblica inoltre una consultazione su una bozza di linee guida riguardante la legge sui servizi digitali (DSA), aperta fino al 10 giugno.

Il testo include linee guida sulla protezione dei minori online. La Commissione prevede di pubblicare le linee guida definitive quest'estate. Sta inoltre lavorando a un'app per la verifica dell'età.

Il 27 maggio, la Commissione europea ha annunciato l'avvio di indagini per proteggere i minori dai contenuti pornografici ai sensi del Digital Services Act (DSA).

Le indagini su Pornhub, Stripchat, XNXX e XVideos si concentrano sui rischi associati alla mancanza di efficaci misure di verifica dell'età.

Parallelamente, gli Stati membri, riuniti in seno al Consiglio europeo dei servizi digitali, stanno adottando misure coordinate contro le piccole piattaforme pornografiche.

Il 28 maggio il Garante europeo della protezione dei dati ha pubblicato un parere sulla proposta di regolamento che istituisce un sistema comune per il rimpatrio dei cittadini di paesi terzi che soggiornano in modo irregolare nell'UE.

Pur riconoscendo la necessità di un'applicazione più efficace della legislazione vigente in materia di migrazione e asilo, egli sottolinea che "la protezione dei dati, in quanto diritto fondamentale sancito dalla Carta, rappresenta una delle ultime linee di difesa per le persone vulnerabili, come i migranti e i richiedenti asilo che si avvicinano alle frontiere esterne dell'UE".

Il 14 maggio, l'ONG noyb ha inviato a Meta una lettera di "cessazione e desistenza", in qualità di soggetto qualificato ai sensi della nuova direttiva europea sul ricorso collettivo, in merito all'addestramento dell'intelligenza artificiale da parte di Meta senza il consenso degli utenti.

In Germania, la Verbraucherzentrale NRW aveva anche presentato un'istanza di ingiunzione preliminare, che è stata respinta dal tribunale alla fine di maggio (vedi sotto).

 

Notizie dai paesi membri dell'Unione europea.

L'Autorità federale tedesca per la protezione dei dati (BfDI) ha pubblicato un questionario di conformità sull'IA, pensato per aiutare le organizzazioni a convalidare le proprie iniziative in materia di IA e a garantire la conformità al GDPR.

Il 23 maggio, l'Alta Corte regionale di Colonia ha stabilito che Meta non ha violato il GDPR né il Regolamento europeo sui mercati digitali utilizzando i dati dei profili utente per migliorare il proprio sistema di intelligenza artificiale, rilevando che tale valutazione è coerente con quella effettuata dalla Commissione irlandese per la protezione dei dati (DPC), competente in Europa per quanto riguarda Meta.

TikTok è oggetto di una class action in Germania. L'ONG olandese Stichting Onderzoek Marktinformatie (Somi), che ha presentato una richiesta di risarcimento danni presso un tribunale di Berlino, sostiene che "TikTok raccoglie e analizza dati altamente personali e intimi dei suoi utenti in misura ben superiore a quanto necessario".

L'organizzazione sostiene che l'algoritmo della piattaforma crei "un sistema di manipolazione e dipendenza", in particolare per i bambini. L'ONG chiede un risarcimento danni fino a 2.000 euro a persona.

L'Autorità belga per la protezione dei dati (APD) ha effettuato una valutazione dell'accordo FATCA concluso tra lo Stato belga e gli Stati Uniti e ha stabilito che non è compatibile con il GDPR.

Le denunce riguardavano il trasferimento di dati personali relativi ai ricorrenti, tra cui cittadini belgi "americani per caso", alle autorità fiscali statunitensi.

L'APD ha rimproverato il Servizio finanziario pubblico federale per violazioni del GDPR e ha riscontrato una violazione dei principi di limitazione delle finalità, minimizzazione dei dati e norme sul trasferimento dei dati. 

Questa decisione ha implicazioni che vanno oltre il Belgio, poiché accordi simili sono stati conclusi dagli Stati Uniti in altri paesi dell'Unione Europea.

L'Agenzia spagnola per la protezione dei dati (APD) ha multato un'azienda andalusa per 1.200 euro per aver chiesto ai propri dipendenti in telelavoro di fornire il proprio numero di telefono personale per essere aggiunti al gruppo WhatsApp aziendale.

In teoria, i dipendenti avrebbero potuto acconsentire o scegliere l'alternativa dell'e-mail, ma l'azienda li ha incoraggiati a utilizzare WhatsApp per una comunicazione più fluida.

L'APD ha ribadito che il consenso non costituisce una valida base giuridica nel rapporto di lavoro.

Sempre in Spagna, la società Carrefour è stata multata di 3,2 milioni di euro dall'APD per non aver protetto l'accesso ai conti dei propri clienti.

L'azienda è stata condannata nonostante le credenziali utilizzate nell'attacco informatico non fossero state rubate direttamente, ma perché non aveva adempiuto al proprio dovere di diligenza e i suoi sistemi di sicurezza non le permettevano di rilevare attacchi massivi provenienti da un numero molto elevato di indirizzi IP.

L'Autorità Garante per la protezione dei dati personali (APD) ha multato la società statunitense Luka Inc, fornitrice dell'"assistente virtuale" "Replika AI", per 5 milioni di euro per trattamento illecito di dati personali, violazione delle norme sulla trasparenza e per non aver implementato meccanismi efficaci di verifica dell'età degli utenti.

L'Autorità polacca per la protezione dei dati (APD) ha multato il Ministro della Digitalizzazione polacco di 100.000 PLN (23.448,50 euro) e le Poste polacche di 27.124.816 PLN (6.444.174 euro) per aver trattato illegalmente i dati personali di circa 30 milioni di cittadini al fine di agevolare il voto per corrispondenza in occasione delle elezioni generali.

 

Il governo australiano ha pubblicato clausole standard relative all'intelligenza artificiale.

Queste clausole si applicano alle condizioni di acquisto dei sistemi di intelligenza artificiale, garantendo che vengano acquistati e implementati in modo responsabile, etico e sicuro. Il loro obiettivo è mitigare i rischi e promuovere la trasparenza e la responsabilità nell'implementazione dell'IA.

Un rapporto pubblicato il 5 giugno da Privacy Laws and Business indica che molti paesi africani stanno adottando leggi sulla protezione dei dati personali, in un contesto socio-economico completamente diverso da quello dell'Europa o del Nord America.

"L'Africa è il continente leader nell'utilizzo dei pagamenti tramite cellulare, con oltre 1,1 miliardi di account registrati, pari a più della metà del totale mondiale. Di conseguenza, le priorità in materia di privacy nei paesi africani sono necessariamente diverse da quelle dei paesi europei."

Secondo l'autore, questo diverso contesto socio-economico implica che le valutazioni dell'UE sull'"idoneità" del Kenya e di altri paesi in Africa, Asia e America Latina dovrebbero, in una certa misura, tenere conto delle circostanze nazionali.

Il 19 maggio il Presidente degli Stati Uniti ha firmato il "Take It Down Act", una legge il cui scopo è bloccare le immagini intime non consensuali, e che riguarda anche i "deepfake" creati con l'intelligenza artificiale.

"Take It Down" è l'acronimo di "Tools to Address Known Exploitation by Immobilizing Technological Deepfakes On Websites and Networks Act" (Legge sugli strumenti per affrontare lo sfruttamento noto mediante l'immobilizzazione dei deepfake tecnologici su siti web e reti).

Google ha accettato di pagare 1,375 miliardi di dollari allo stato del Texas per risolvere due cause legali che accusavano l'azienda di tracciare la posizione degli utenti, le ricerche "in incognito" e i dati vocali e facciali senza il loro consenso.

Secondo quanto riportato, l'azienda avrebbe dichiarato di aver raggiunto un accordo extragiudiziale senza ammettere alcuna colpa o responsabilità, senza dover modificare i propri prodotti e affermando che le proprie pratiche si erano evolute a seguito dei fatti.

Nel frattempo, i risultati di una ricerca pubblicata il 3 giugno mostrano che Meta e la società russa Yandex tracciano la navigazione web degli utenti Android, anche in modalità di navigazione in incognito o con una VPN, sfruttando una porta locale per collegare l'attività di navigazione all'identità connessa.

Google afferma di star indagando su questo abuso, che consente a Meta e Yandex di convertire gli identificativi web temporanei in identità permanenti degli utenti delle app per dispositivi mobili.