Bollettino Legale n. 84 – Giugno 2025. 

Telecamere aumentate: la CNIL stabilisce nuove linee guida.

L'11 luglio, la CNIL ha ritenuto che l'uso di telecamere "potenziate" per stimare l'età dei clienti nei negozi di tabacco al fine di controllare la vendita di prodotti vietati ai minori non sia né necessario né proporzionato.

Queste telecamere vengono presentate come uno strumento decisionale. Si basano su un algoritmo di intelligenza artificiale, attivato di default, che analizza il volto di chiunque si trovi nel loro campo visivo per stimare se si tratti di minorenni o adulti.

La CNIL (Autorità francese per la protezione dei dati) osserva che, poiché la telecamera "aumentata" effettua solo una stima, i tabaccai devono sistematicamente richiedere ai propri clienti un documento d'identità che attesti l'età per adempiere ai propri obblighi. "Di conseguenza, un'analisi facciale preliminare tramite telecamera per stimare l'età non sembra necessaria: andrebbe solo ad aggiungersi ai controlli già previsti dalla legge."

La CNIL segnala un uso sproporzionato rispetto all'obiettivo perseguito, che porta a filmare tutte le persone, anche quelle chiaramente adulte, e impedisce loro di esercitare il diritto di opposizione.

Ritiene inoltre che l'installazione di telecamere in spazi abitativi come le tabaccherie contribuisca al rischio di banalizzazione e assuefazione a una forma di sorveglianza rafforzata dalla moltiplicazione di tali strumenti.

Non è la prima volta che l'autorità di regolamentazione prende posizione su questo tema. Alla fine di maggio, si è attirata le ire del sindaco di Nizza vietando l'installazione di telecamere a realtà aumentata davanti alle scuole cittadine, sottolineando la raccolta di dati personali e ribadendo la necessità di ridurre al minimo indispensabile la sorveglianza delle persone negli spazi pubblici.

In alcuni contesti, tuttavia, l'utilizzo di telecamere potenziate trova favore agli occhi della CNIL: quest'ultima ha infatti ritenuto che l'impiego di tali telecamere per le casse automatiche dei supermercati possa costituire un interesse legittimo al fine di limitare le perdite di fatturato causate da errori o furti alle casse, ma a determinate condizioni: che il sistema sia necessario per il raggiungimento dell'obiettivo prefissato, che non leda in modo sproporzionato i diritti delle persone e che non possa essere conseguito in modo meno invasivo.

È necessario implementare misure di minimizzazione dei dati, come limitare l'area di acquisizione alle casse self-service e limitare la durata, la risoluzione e la frequenza di acquisizione. Inoltre, gli utenti devono essere informati sul sistema e deve essere loro offerta un'alternativa senza telecamera.

La CNIL intende regolamentare l'uso di questi sistemi garantendone la necessità e la proporzionalità caso per caso. Raccomanda inoltre l'applicazione del principio di privacy by design.

È opportuno ricordare che il quadro normativo per la videosorveglianza algoritmica è un argomento in continua evoluzione, soggetto a una complessa struttura regolamentare.

Questo sistema si differenzia da quello delle telecamere biometriche, che elaborano sistematicamente dati relativi alle caratteristiche fisiche delle persone, con l'obiettivo di identificarle o autenticarle in modo univoco.

Queste operazioni di trattamento, che coinvolgono dati sensibili, sono vietate salvo in circostanze eccezionali.

Per quanto riguarda le telecamere "potenziate", al momento non esiste un testo specifico, a eccezione del quadro sperimentale previsto dalla legge sui Giochi Olimpici e Paralimpici del 19 maggio 2023.

La CNIL ci ricorda che "i meccanismi suscettibili di incidere sulle garanzie fondamentali fornite ai cittadini per l'esercizio delle libertà pubbliche possono essere utilizzati solo se autorizzati e specificamente regolamentati da una legge".

Per altri sistemi, è necessario predisporre solide misure di salvaguardia.

Il periodo di prova per la legge relativa ai Giochi Olimpici è stato recentemente prorogato fino al 2027, nonostante una valutazione presentata come controversa.

Questa legge autorizza l'uso sperimentale di dispositivi di videosorveglianza potenziati per garantire la sicurezza di alcuni grandi eventi sportivi, ricreativi e culturali, a condizioni ben precise: solo gli eventi specificati dalla legge possono essere oggetto di rilevamento e non è consentito il riconoscimento facciale.

Da un punto di vista più politico, la CNIL invita le autorità pubbliche a tracciare una linea di demarcazione tra ciò che dovrebbe o non dovrebbe essere consentito in una società democratica: non tutto ciò che è tecnicamente fattibile è necessariamente auspicabile da un punto di vista etico e sociale.

 

 

In un contesto di crescente consapevolezza nella lotta contro la discriminazione, la CNIL pubblica una raccomandazione sulla misurazione della diversità sul luogo di lavoro.

Sottolinea che tale misura è un esercizio delicato che implica che i datori di lavoro rispettino rigorosamente la decisione del Consiglio costituzionale del 15 novembre 2007, regolarmente e erroneamente interpretata come un divieto assoluto di statistiche relative all'origine.

La commissione sottolinea in particolare che le indagini devono rimanere facoltative e che i dipendenti o gli agenti devono essere adeguatamente informati e i loro diritti rispettati.

Si raccomanda inoltre di dare priorità ai sondaggi anonimi e di limitare i dati raccolti tramite domande a risposta chiusa.

La CNIL ha inoltre pubblicato due FAQ sull'uso dell'IA nelle scuole e un manga volto a sensibilizzare i giovani sulla protezione dei loro dati personali.

Ha inoltre pubblicato raccomandazioni sugli strumenti di misurazione dell'audience online e uno strumento di autovalutazione per verificarne la conformità al quadro giuridico.

Ha pubblicato raccomandazioni sullo sviluppo di sistemi di intelligenza artificiale, che specificano le condizioni per l'utilizzo del legittimo interesse, in particolare nel caso della raccolta di dati (web scraping), e il 12 giugno ha avviato una consultazione pubblica sulla sua bozza di raccomandazione riguardante l'uso dei pixel di tracciamento nelle e-mail.

L'obiettivo è aiutare gli operatori che utilizzano questi strumenti di tracciamento a comprendere meglio i propri obblighi, in particolare per quanto riguarda l'ottenimento del consenso dell'utente.

Secondo un articolo pubblicato il 30 giugno dalla testata giornalistica specializzata in sicurezza informatica Cybernews, attualmente 16 miliardi di nomi utente e password rubati sono accessibili online.

Le informazioni compromesse includono identificativi come nomi utente e indirizzi e-mail, nonché password.

Le directory contengono anche token di accesso, cookie di login e metadati.

 Non si tratterebbe di una nuova fuga di dati, bensì dell'aggregazione di diverse fughe di dati precedenti, il che può aumentare il rischio di furto di dati facilitando l'operato di malintenzionati.

Google rischia una multa record di 525 milioni di euro per la gestione dei cookie e della pubblicità nelle caselle di posta di Gmail.

Nella sua bozza di decisione, la CNIL accusa Google di aver violato i principi attuativi della direttiva europea "Privacy e comunicazioni elettroniche", non ottenendo il consenso dell'utente per il download dei cookie al momento della creazione di un account Gmail e per la visualizzazione, nelle caselle di posta Gmail, di annunci pubblicitari che sembrano e-mail.

Se la sanzione verrà confermata dal comitato ristretto della CNIL, si tratterà della multa più alta nella storia della CNIL e della sanzione più elevata mai inflitta per una violazione della Direttiva ePrivacy. La decisione finale verrà annunciata tra qualche settimana.

La mancata conformità al GDPR costituisce motivo di risoluzione del contratto, in particolare nel settore dei servizi di sviluppo della comunicazione digitale: in seguito a precedenti decisioni, nella sentenza dell'11 giugno 2025, la Corte d'Appello di Bordeaux ha confermato la presenza di un dispositivo di protezione reCAPTCHA associato a diversi cookie installati senza il consenso dell'utente finale.

Considerate le continue violazioni contrattuali da parte del fornitore di servizi, il cliente ha il diritto di richiedere la risoluzione del contratto ai sensi degli articoli 1610, 1217 e 1224 del Codice Civile.

 

istituzioni e organismi europei

Il calendario per l'attuazione del regolamento europeo sull'intelligenza artificiale è stato pubblicato a metà giugno.

A seguito delle indiscrezioni su un possibile periodo di grazia, la Commissione ha chiarito che il testo si applicherà nel rispetto delle scadenze previste.

La normativa si applica ai sistemi di intelligenza artificiale in base ai rischi che presentano e disciplina i modelli di intelligenza artificiale a scopo generale (GPAI) in base alle loro capacità.

Le norme relative al GPAI entreranno in vigore il 2 agosto 2026; per i sistemi esistenti, l'applicazione inizierà il 2 agosto 2027.

Inoltre, il 10 luglio è stato pubblicato il Codice di buone pratiche per l'IA di uso generale.

Si compone di 3 capitoli.

I capitoli sulla trasparenza e sul diritto d'autore forniscono a tutti i fornitori di modelli di intelligenza artificiale di uso generale uno strumento per dimostrare di rispettare gli obblighi previsti dall'articolo 53 della legge sull'intelligenza artificiale.

Il capitolo sulla sicurezza riguarda solo un numero limitato di fornitori di modelli altamente avanzati, soggetti agli obblighi previsti per i fornitori di modelli di intelligenza artificiale di uso generale che presentano un rischio sistemico ai sensi dell'articolo 55 della legge sull'IA.

Secondo un documento interno visionato da MLex, la proposta della Commissione europea per un "accordo omnibus digitale" dovrebbe essere presentata entro il 10 dicembre.

Farà parte di un pacchetto che comprende il Regolamento sulle reti digitali, la revisione del Regolamento sulla cibersicurezza e il portafoglio elettronico europeo.

Le normative relative allo sviluppo del cloud e dell'intelligenza artificiale dovrebbero essere definite la prossima settimana.

Alla fine di giugno, le istituzioni europee hanno adottato una posizione comune sulle norme procedurali aggiuntive relative all'attuazione del GDPR. Il testo dovrà ora essere formalmente approvato con un voto del Parlamento europeo.

Nel corso di una riunione di due giorni tenutasi a Helsinki l'1 e il 2 luglio, il Comitato europeo per la protezione dei dati (EDPB) ha annunciato che aiuterà le organizzazioni a comprendere meglio i propri obblighi ai sensi del GDPR pubblicando linee guida semplificate. Nella sua dichiarazione, la presidente del Comitato ha indicato che "attraverso linee guida concise e tempestive e strumenti di facile utilizzo, come un modello comune di notifica delle violazioni dei dati, liste di controllo, guide pratiche e FAQ, continueremo a rendere la conformità al GDPR realizzabile e accessibile a tutti".

I flussi di dati transatlantici restano per il momento validi nell'ambito del "Quadro normativo sulla protezione dei dati", nonostante le misure adottate dall'amministrazione Trump che indeboliscono tale quadro negli Stati Uniti.

A metà giugno, la Commissione europea ha confermato, in risposta a un'interrogazione parlamentare, che la revoca dei membri del PCLOB (Comitato di vigilanza sulla privacy e le libertà civili) non pregiudica la validità del quadro normativo in materia di protezione dei dati tra l'UE e gli Stati Uniti, poiché il PCLOB rimane pienamente operativo.

 

Notizie dai paesi membri dell'Unione europea.

L'Autorità per la protezione dei dati (DPA) dello Stato di Berlino In una decisione del 27 giugno, ha concluso che i trasferimenti di dati di DeepSeek verso la Cina sono illegali e ha chiesto a Google e Apple di bloccare l'applicazione.

Secondo quanto riferito, DeepSeek non è stata in grado di fornire all'Autorità Garante per la protezione dei dati personali prove convincenti che i dati degli utenti tedeschi siano protetti in Cina a un livello equivalente a quello dell'Unione Europea.

"Le autorità cinesi godono di ampi diritti di accesso ai dati personali detenuti dalle aziende cinesi. Inoltre, gli utenti di DeepSeek in Cina non dispongono di diritti esigibili né di efficaci rimedi legali, a differenza di quanto garantito nell'Unione Europea."

Polizia di sicurezza belga Il 26 giugno sono state respinte 16 denunce presentate dall'ONG Noyb in 5 casi diversi, in quanto non sussisteva un mandato reale (non fittizio) da parte delle persone interessate.

Nel suo comunicato stampa, l'APD sottolinea la differenza tra gli articoli 80(1) e 80(2) del GDPR e il fatto che il legislatore belga abbia scelto di non consentire alle organizzazioni per la tutela dei consumatori di presentare reclami senza un mandato.

Ha concluso affermando che, "vista l'importanza di queste organizzazioni, (lei) è favorevole a una modifica legislativa che consentirebbe questa opzione anche in Belgio".

In DanimarcaUn emendamento alla legge sul diritto d'autore garantirà ai cittadini il diritto sulla propria voce, sul proprio volto e sul proprio corpo, anche quando questi vengono riprodotti digitalmente dall'intelligenza artificiale generativa.

A tal proposito, il Ministro della Cultura danese ha dichiarato: "Gli esseri umani rischiano di essere trasformati in fotocopiatrici digitali e utilizzati per ogni sorta di abuso, e io non sono disposto ad accettarlo".

In SpagnaL'APD ha multato Carrefour per 3.200.000 euro a seguito di una serie di violazioni dei dati.

Ha scoperto che Carrefour non aveva implementato misure di sicurezza adeguate e non aveva segnalato la violazione alle persone interessate.

L'APD ha inoltre inflitto una sanzione di 12.000 euro a un subappaltatore per aver stipulato un contratto con un subappaltatore secondario senza l'autorizzazione del titolare del trattamento, in violazione dell'articolo 28, paragrafo 2, del GDPR.

Microsoft si trova ad affrontare la prima azione legale collettiva in Irlanda. Alla fine di maggio, l'Irish Civil Liberties Council (ICCL) ha avviato un procedimento presso l'Alta Corte di Dublino. Questa azione legale, promossa ai sensi della nuova direttiva europea sul ricorso collettivo, sostiene che il sistema di offerta in tempo reale (RTB) utilizzato da Microsoft per la pubblicità online mirata sia incompatibile con il GDPR.

I documenti relativi alle richieste di accesso non possono essere conservati a tempo indeterminato: a seguito di un'indagine avviata dall'utente, Aiuto pubblico allo sviluppo lituano ha ordinato a un fornitore di servizi medici di stabilire periodi di conservazione per i documenti relativi all'elaborazione delle richieste di accesso.

Attenzione ai pixel di tracciamento: ODA norvegese Il comune di Kristiansand è stato multato di 250.000 corone norvegesi (21.600 euro) per aver trattato illegalmente i dati personali dei minori tramite pixel Snap e Meta sul sito web della sua linea di assistenza per le vittime di abusi sui minori.

L'APD ha inoltre ritenuto che le informazioni relative alle visite alle pagine di un sito web contenenti contenuti su specifiche questioni mediche costituissero dati sensibili e ha rimproverato un'azienda per aver trattato illegalmente tali informazioni sensibili tramite il meta pixel.

 

Nel Regno Unito, il Data Use and Access Act (DUAA) ha ricevuto l'assenso reale il 19 giugno. Questa legge include disposizioni volte a promuovere lo sviluppo di servizi di verifica digitale, nuovi programmi di smart data come l'Open Banking e un nuovo registro nazionale dei beni occulti.

Include inoltre modifiche significative alla legislazione britannica in materia di protezione dei dati.

La DUAA non sostituirà il GDPR del Regno Unito, ma apporterà alcune modifiche "per semplificare le regole per le organizzazioni, incoraggiare l'innovazione, aiutare le forze dell'ordine a combattere la criminalità e consentire una condivisione responsabile dei dati, mantenendo al contempo elevati standard di protezione dei dati".

Negli Stati Uniti, la recente sentenza della Corte Suprema nel caso Free Speech Coalition contro Paxton ha scosso profondamente il panorama digitale.Un articolo dell'IAPP esprime preoccupazione per la messa in discussione dei concetti di verifica dell'età, libertà di espressione e implicazioni per la privacy.

La sentenza del 27 giugno conferma una legge del Texas che impone ai siti web che offrono contenuti per adulti di verificare l'età dei visitatori utilizzando tecniche potenzialmente invasive come la biometria. Se da un lato questa decisione mira a proteggere i minori dai contenuti espliciti, dall'altro solleva interrogativi sui rischi associati alla raccolta di informazioni personali sensibili.

Anche negli Stati Uniti, all'inizio di luglio, il Congresso ha votato a favore dell'adozione del "One Big Beautiful Bill Act".Il disegno di legge codifica l'agenda nazionale del presidente Trump, con un'unica eccezione fondamentale: la moratoria sulla regolamentazione dell'IA inizialmente inclusa. Questa moratoria avrebbe bloccato oltre 1.000 proposte di legge sulla regolamentazione dell'IA che erano in fase di ittimento nelle capitali degli stati da gennaio.

Meta, la società proprietaria di WhatsApp, ha annunciato il 16 giugno il lancio di nuove funzionalità nella sezione "Aggiornamenti" di WhatsApp, tra cui la pubblicità mirata e un modello di abbonamento.L'azienda ha dichiarato che queste funzionalità saranno implementate gradualmente per gli utenti "nei prossimi mesi". A tal fine, Meta utilizzerà le "preferenze e le informazioni pubblicitarie" degli account Facebook e Instagram degli utenti collegati a WhatsApp.

La Commissione irlandese per la protezione dei dati (DPC) ha dichiarato di essere stata informata da WhatsApp che il suo modello pubblicitario non verrà implementato nell'UE prima del 2026 e che la questione sarà discussa con altre autorità di protezione dei dati affinché possano sollevare eventuali preoccupazioni in qualità di regolatori europei.

Secondo quanto riportato dal quotidiano L'Express il 26 maggio, la Russia prevede di implementare, a partire dal 1° settembre 2025, un progetto sperimentale che richiederà agli stranieri che soggiornano temporaneamente a Mosca e nella sua regione di utilizzare un'applicazione mobile di geolocalizzazione e di sottoporsi a controlli biometrici.Gli utenti dovranno registrarsi nell'applicazione, "acconsentire alla raccolta dei propri dati personali, inclusa la geolocalizzazione, indicare il proprio luogo di residenza al Ministero dell'Interno e aggiornarlo entro tre giorni in caso di cambio di indirizzo".