Bollettino Legale n. 64 – Ottobre 2023.

Crittografia e backdoor: dai vincoli tecnici alle sfide sociali.

Gli eventi recenti in Francia riecheggiano il dibattito che sta animando l'Europa, ovvero l'accesso da parte delle forze dell'ordine al contenuto dei messaggi crittografati.

Il Ministro dell'Interno, commentando alla radio il recente attacco al liceo di Arras, ha espresso il 22 ottobre l'auspicio che venga integrata una backdoor nei sistemi di messaggistica con crittografia end-to-end, che consentirebbe di aggirare la crittografia dei messaggi e di accedervi.

Secondo il ministro, questa tecnica rappresenta un'alternativa più efficace alle soluzioni attuali, che prevedono che i servizi segreti si introducano nel telefono del sospettato per installare, ad esempio, software spia.

Questa pratica, rigorosamente regolamentata dalla legge, si era rivelata inefficace durante la sorveglianza del terrorista che aveva compiuto l'attentato.

Si parla molto ultimamente di "client side scanning", una tecnica diversa dall'intercettazione dei messaggi ("man in the middle" - HDM).

Un esperto intervenuto a un seminario sull'argomento organizzato dal Garante europeo della protezione dei dati il 23 ottobre ha descritto queste tecniche come segue: l'"uomo nel mezzo" intercetta i messaggi durante la trasmissione, mentre la "scansione lato client" consiste, in senso figurato, nel leggere sopra la spalla dell'individuo mentre scrive – prima della crittografia – per confrontare il suo messaggio con il contenuto di un database sospetto.

Si tratta di una forma di moderazione dei contenuti, effettuata sul terminale dell'utente.

Due iniziative volte a utilizzare sistematicamente la scansione dei dati dei clienti sono attualmente oggetto di numerose reazioni a Bruxelles e Londra, a causa della loro natura invasiva.

A livello europeo, è la proposta di regolamento CSAM ad attirare le maggiori critiche.

Il testo si propone di contrastare la pedopornografia online individuando la diffusione di contenuti illegali.

Sebbene vi sia consenso sull'importanza fondamentale di questo obiettivo, molti soggetti interessati mettono in dubbio l'efficacia, la necessità e la proporzionalità delle misure proposte.

Le autorità europee per la protezione dei dati, esperti di istituzioni europee, organizzazioni per la tutela dell'infanzia, accademici, esperti di sicurezza informatica e sopravvissuti ad abusi sessuali su minori hanno espresso serie preoccupazioni.

Oltre al rischio di sovraccaricare le forze dell'ordine con falsi positivi, i critici temono che si tratti di un passo eccessivo verso una società in cui ognuno di noi vivrà nella sensazione di una sorveglianza costante.

Per oltre cento ricercatori di spicco in questo campo, è ormai tecnicamente impossibile implementare la scansione dei contenuti senza indebolire la crittografia end-to-end e violare la privacy degli utenti.

Molti esperti concordano sul fatto che le attuali soluzioni tecnologiche all'avanguardia non siano sufficientemente affidabili e siano inoltre vulnerabili agli attacchi informatici.

Questa è anche la conclusione a cui è giunta Apple, che quest'estate ha annunciato l'abbandono del suo progetto sugli algoritmi, e Meredith Whittaker, presidente del servizio di messaggistica Signal: "Se la polizia può entrare, possono farlo anche gli hacker, i paesi ostili, Putin, il governo iraniano e chiunque voglia fare del male (...). È quindi essenziale che manteniamo la sicurezza e l'integrità di questi sistemi."

A questo proposito, il governo britannico sembra aver ammorbidito la sua posizione riguardo alla nuova legge sulla sicurezza online, promulgata il 26 ottobre ("Online Safety Bill").

I ministri, tuttavia, non hanno eliminato la controversa clausola di monitoraggio, ma ne hanno subordinato l'attuazione alla fattibilità tecnica.

L'autorità britannica di regolamentazione del settore tecnologico (Ofcom) conserva il potere di imporre alle aziende tecnologiche di sviluppare software di scansione in linea con l'evoluzione tecnologica.

Se questa tecnologia diventerà disponibile, resta da vedere come verrà valutato l'equilibrio tra gli obiettivi repressivi delle autorità e la privacy degli individui.

 

• Il 12 ottobre, la CNIL ha inflitto una multa di 600.000 euro al gruppo CANAL+.

La sanzione si riferisce in particolare alle violazioni dell'obbligo di fornire informazioni, all'esercizio dei diritti da parte degli interessati, alle problematiche di sicurezza relative alle password dei dipendenti dell'azienda, al subappalto e al fatto che l'azienda non ha notificato alla CNIL una grave violazione dei dati personali avvenuta nel 2020.

• La CNIL organizza un evento di riflessione etica il 28 novembre dal titolo "Intelligenza artificiale e libero arbitrio: siamo pecore digitali?".

Ricercatori, esperti e artisti visivi si confronteranno su importanti questioni etiche riguardanti l'influenza dell'intelligenza artificiale sulle scelte individuali.

• Sempre in tema di intelligenza artificiale, l'11 ottobre la CNIL ha pubblicato delle guide pratiche sulla creazione di database di addestramento per i sistemi di intelligenza artificiale.

Queste schede informative hanno lo scopo di aiutare i professionisti a conciliare l'innovazione con il rispetto dei diritti individuali. Sono aperte alla consultazione pubblica fino al 16 novembre 2023.

• Il 14 settembre, l'ONG noyb ha presentato in Francia tre denunce contro Fnac, l'app immobiliare SeLoger e l'app per il fitness MyFitnessPal.

Le applicazioni di queste aziende accederebbero illegalmente ai dati personali degli utenti e li condividerebbero con terze parti per analisi sofisticate non appena l'applicazione venisse aperta, senza aver informato o ottenuto il consenso delle persone interessate.

L'ONG prevede di presentare ulteriori denunce contro le aziende che sviluppano applicazioni per dispositivi mobili.

 

istituzioni e organismi europei

• Dopo aver avviato un'indagine sulla conformità di X al Regolamento sui servizi digitali (DSA) il 12 ottobre, la Commissione europea sta esaminando anche Meta e TikTok.

Secondo quanto riportato, le aziende dei social media avrebbero ricevuto richieste formali di informazioni sulla gestione dei contenuti illegali e della disinformazione sin dall'inizio della guerra tra Israele e Hamas.

• Alcuni criticano la Commissione europea per non aver rispettato le proprie norme in materia di micro-targeting sui social network.

Oggi, viene accusata dalla stampa, dalle ONG e dai parlamentari europei di aver preso di mira specifici profili di utenti di internet nella sua comunicazione rivolta a un pubblico residente in paesi scettici riguardo alla sua proposta di regolamentazione sulla pornografia infantile (CSAM).

• Nel settembre 2023, la Commissione europea ha pubblicato due clausole contrattuali modello per l'IA che possono essere utilizzate su base volontaria negli appalti pubblici relativi all'IA, per trattamenti con o senza rischi elevati.

Le clausole sono rivolte agli enti pubblici che desiderano acquisire un sistema di intelligenza artificiale sviluppato da un fornitore esterno.

• Il 23 ottobre, il Garante europeo della protezione dei dati (EDPS) ha pubblicato delle raccomandazioni destinate ai colegislatori dell'UE per i triloghi riguardanti la regolamentazione dell'intelligenza artificiale.

In particolare, sostiene l'inclusione nella regolamentazione del diritto delle persone lese dall'uso di sistemi di intelligenza artificiale di presentare un reclamo all'autorità competente e di beneficiare di un effettivo ricorso giurisdizionale contro le sue decisioni.

Egli ribadisce inoltre la sua richiesta di designare le autorità per la protezione dei dati come autorità di controllo nazionali.

Egli sostiene inoltre la necessità di un approccio europeo, in particolare nei casi transfrontalieri di notevole impatto, e la proposta del Parlamento europeo di istituire un "ufficio europeo sull'IA".

• L'EDPS ha inoltre emesso un parere l'11 ottobre su due proposte di linee guida relative alle norme sulla responsabilità in materia di intelligenza artificiale.
• Il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno adottato il 19 settembre un parere congiunto sulla proposta di regolamento relativa a norme procedurali aggiuntive per l'applicazione del GDPR.

Questa proposta mira a garantire l'attuazione di misure correttive rapide per le persone coinvolte in casi transfrontalieri.

Il Comitato europeo per la protezione dei dati (EDPB) e il Comitato europeo per la protezione dei dati personali (EDPS) chiedono un'armonizzazione completa dei requisiti di ammissibilità, suggeriscono di migliorare il processo di ricerca del consenso attraverso un maggiore coinvolgimento delle autorità di controllo competenti e invitano i colegislatori a mantenere l'attuale approccio al diritto delle parti di essere ascoltate nel processo di risoluzione delle controversie.

• Il 17 ottobre, il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno pubblicato un parere congiunto sulla proposta di regolamento relativa all'euro digitale.

Le autorità di regolamentazione approvano in particolare il mantenimento della possibilità per gli utenti di pagare in euro digitali o in contanti.

Ciononostante, formulano diverse osservazioni al fine di garantire che vengano trattati solo i dati personali necessari, in particolare nel contesto della lotta contro le frodi, e per evitare un'eccessiva centralizzazione dei dati personali da parte della Banca centrale europea o delle banche centrali nazionali.

• Durante la sua sessione plenaria di ottobre, il Comitato europeo per la protezione dei dati (EDPB) ha scelto come tema della sua terza azione coordinata per l'attuazione del GDPR: come le aziende implementano il diritto di accesso degli individui.

Quest'azione è prevista per il 2024 e sarà soggetta a un monitoraggio mirato a livello nazionale ed europeo.

• Il 31 ottobre, l'Autorità norvegese per la protezione dei dati (DPA) ha rilasciato una dichiarazione in cui indicava che la sua decisione contro Meta sarebbe stata estesa all'UE/SEE.

Il comunicato stampa afferma che l'EDPB ha appena approvato l'estensione permanente del divieto norvegese sul marketing comportamentale su Facebook e Instagram a tutta Europa.

• A seguito delle rivelazioni e dell'indagine del Parlamento europeo sullo spyware Pegasus, un rapporto di Amnesty International e della European Investigative Collaborations (EIC) esamina il caso Predator e mette in luce l'incapacità dell'UE di regolamentare l'abuso di spyware sul proprio territorio.

Il rapporto si concentra su un gruppo chiamato Intellexa Alliance, con sede in Europa, che ha "sviluppato, gestito e commercializzato" una "gamma di prodotti di monitoraggio" tra il 2007 e il 2022. 

Questi prodotti rendono possibile l'invio di tentativi di infezione silenziosi agli utenti di provider di servizi internet collaborativi, o in un intero paese se l'operatore dello spyware ha accesso diretto al traffico internet.

• Il 6 settembre, i rappresentanti dell'industria farmaceutica europea (EPFIA) si sono opposti all'introduzione di un meccanismo di opt-out per la raccolta di dati sanitari a fini di utilizzo secondario, previsto nella proposta di regolamento sul futuro Spazio europeo dei dati sanitari (EHDS).

La posizione del gruppo rispecchia le preoccupazioni di ricercatori e progettisti tecnologici, i quali temono che l'introduzione della possibilità di rifiuto (opt-out) nel sistema comprometta l'utilizzo dei dati per la ricerca e l'innovazione.

• In un comunicato stampa del 5 settembre 2023, TikTok ha annunciato di voler rafforzare la protezione dei dati dei suoi utenti europei.

L'azienda prevede di realizzare due nuovi data center in Europa, che si aggiungeranno a quello di Dublino.

TikTok ha inoltre incaricato una società di sicurezza europea esterna di condurre una verifica indipendente del trattamento dei dati.

 

Notizie dai paesi membri dell'Unione Europea.

• Il 20 ottobre, l'Autorità belga per la protezione dei dati (APD) ha pubblicato una checklist per aiutare le organizzazioni a garantire che le loro pratiche relative ai cookie e ad altri meccanismi di tracciamento siano conformi alle normative vigenti.

Il documento consente di esaminare passo dopo passo le buone e le cattive pratiche.

L'APD ci ricorda che solo i cookie strettamente necessari sono esenti dal consenso e che tutte le altre categorie di cookie possono essere installate e lette solo se l'utente ha fornito un consenso preventivo, libero, specifico, informato, inequivocabile e attivo.

• Il 18 ottobre, il Tribunale distrettuale di Amsterdam ha adottato un'importante decisione in un procedimento sommario riguardante la tecnologia pubblicitaria (AdTech) e i cookie di tracciamento.

L'azienda francese Criteo non può semplicemente invocare l'obbligo contrattuale dei suoi clienti (editori di siti web) di ottenere il consenso degli utenti di Internet: è infatti responsabile anche dell'ottenimento di un consenso valido per l'installazione dei cookie, in mancanza del quale (e in assenza di consenso ottenuto dall'editore) l'installazione dei cookie è illegale.

La decisione si basa sulla Convenzione di Roma II (giurisdizione della Corte), sulla direttiva "ePrivacy" e sul GDPR.

Il tribunale prende atto della decisione della CNIL e respinge la difesa di Criteo secondo cui il ricorrente non avrebbe configurato il proprio browser per rifiutare i cookie.

Respinge inoltre l'argomentazione secondo cui le richieste del ricorrente danneggerebbero il suo modello di business, considerando che prevalgono gli interessi del ricorrente in materia di privacy.

Il tribunale applica inoltre la sentenza della Corte di giustizia nel caso Österreichische Post (C-154/21) stabilendo che Criteo deve fornire una panoramica completa dei terzi con cui i dati sono stati condivisi.

• L'Autorità greca per la protezione dei dati (DPA) ha multato l'Organizzazione dei trasporti urbani di Atene (OASA) di 50.000 euro per violazione dell'articolo 5, paragrafo 1, lettera e) del GDPR, in quanto il suo sistema di biglietteria elettronica non rispettava il principio di limitazione della conservazione dei dati.

Ha inoltre rimproverato l'OASA per aver violato l'articolo 35(1) del GDPR, poiché la sua valutazione d'impatto sulla protezione dei dati per il suo sistema di biglietteria elettronica era insufficiente.

• L'Autorità svedese per la protezione dei dati (APD) ha multato il Consiglio scolastico della città di Stoccolma per 800.000 corone svedesi (circa 68.324 euro) per l'utilizzo di telecamere di sorveglianza in una scuola in violazione dell'articolo 5(1)(a), (c), dell'articolo 6(1) e dell'articolo 13 del GDPR.
• L'Autorità Garante per la protezione dei dati personali (APD) ha multato un ordine degli avvocati italiano di 20.000 euro per aver pubblicato sul proprio sito web informazioni riguardanti due denuncianti senza una base giuridica legittima, ai sensi dell'articolo 10 del GDPR e dell'articolo 20ties del Codice della Privacy.
• L'Autorità croata per la protezione dei dati (APD) ha inflitto la sanzione amministrativa più elevata di sempre, pari a 5.470.000 euro, alla società di recupero crediti EOS Matrix doo, per molteplici violazioni del GDPR.
• Nel Regno Unito, Clearview AI ha vinto il ricorso contro la multa inflittale dall'Autorità britannica per la protezione dei dati (DPA) dinanzi al First Tier Tribunal (FTT).

Il tribunale ha stabilito che il "GDPR del Regno Unito" non era applicabile, sostenendo che le attività di trattamento dei dati di Clearview consistevano nello svolgimento di un servizio per conto delle forze dell'ordine situate in un paese terzo, al di fuori dell'ambito di applicazione sia del GDPR che del "GDPR del Regno Unito".

La Corte considera inoltre Clearview e i suoi clienti contitolari del trattamento dei dati per questo scopo repressivo.

Il ragionamento della Corte ha suscitato un ampio dibattito tra gli esperti di protezione dei dati in merito alla qualificazione dei contitolari del trattamento e alla non applicabilità del diritto europeo e/o britannico al caso specifico.

• A inizio ottobre, il chatbot basato sull'intelligenza artificiale di Snap ha attirato l'attenzione dell'ICO.

L'APD ha annunciato di aver emesso un avviso preliminare di ingiunzione nei confronti di Snap per quella che definisce "una potenziale mancata valutazione adeguata dei rischi per la privacy posti dal suo chatbot 'My AI'".

Un numero crescente di autorità per la protezione dei dati, come quelle del Regno Unito e dell'Italia, sta assumendo le responsabilità di regolamentazione dell'intelligenza artificiale.

 

• La Global Privacy Assembly (GPA) ha tenuto la sua conferenza annuale a metà ottobre alle Bermuda.

Le autorità hanno discusso l'applicazione delle normative sulla privacy all'intelligenza artificiale e il 20 ottobre hanno adottato una risoluzione riguardante l'intelligenza artificiale generativa.

La risoluzione giunge mentre i leader del G7 hanno adottato, il 30 ottobre, principi guida internazionali sull'intelligenza artificiale (IA) e un codice di condotta volontario per gli sviluppatori di IA, nell'ambito del processo di Hiroshima sull'IA.

• Gli Stati Uniti pubblicheranno inoltre un decreto sull'intelligenza artificiale e un manuale sulla gestione dei rischi legati all'IA il 30 ottobre, mentre il Regno Unito organizzerà un vertice sulla sicurezza dell'IA il 2 novembre.
• L'ufficio del Commissario per la privacy della Nuova Zelanda ha pubblicato una guida sullo sviluppo e l'utilizzo di sistemi di intelligenza artificiale in conformità con i principi sulla privacy (PPP).
• Anche il Canada ha pubblicato a settembre un codice di condotta per gli sviluppatori e i gestori di sistemi avanzati di intelligenza artificiale generativa.

Il codice individua le misure da attuare per mitigare i rischi associati a questi sistemi, sulla base di sei principi fondamentali: responsabilità, sicurezza, giustizia/equità, trasparenza, supervisione umana, validità/robustezza dei sistemi.

• Stati Uniti: i procuratori generali di 41 stati americani si sono uniti per intentare una causa contro Meta, sostenendo che le sue piattaforme di social media Instagram e Facebook creano dipendenza e sono dannose per i bambini.

La causa accusa Meta di aver raccolto ripetutamente e sistematicamente informazioni su bambini di età inferiore ai 13 anni e di non aver informato i genitori né ottenuto il loro consenso in merito al loro utilizzo.

• Il 12 ottobre 2023 la California ha pubblicato un disegno di legge che disciplina i data broker e modifica la legge vigente del 2018 (CCPA).

Il testo stabilisce che i data broker devono registrarsi presso l'autorità garante della privacy e fornirle informazioni più dettagliate in merito alle singole richieste, alla raccolta di determinate informazioni e alla verifica obbligatoria della conformità alla legge.

Il progetto crea inoltre un meccanismo che consente ai singoli individui di richiedere a tutti i data broker di eliminare le informazioni personali che li riguardano.

• Il servizio di test genetici 23andMe ha subito una violazione dei dati.

Un hacker ha pubblicato le informazioni genetiche di quattro milioni di utenti sul forum di cybercrimini BreachForums.

Questo incidente fa seguito a un'altra perdita verificatasi all'inizio di ottobre.

• Negli Emirati Arabi Uniti, il Ministero dell'Intelligenza Artificiale, dell'Economia Digitale e delle Applicazioni di Telelavoro pubblica un libro bianco intitolato "Quadro di autogoverno per un metaverso responsabile".