Bollettino Legale n. 87 – Settembre 2025. 

 

Cinque anni dopo la Brexit: uno sguardo alla situazione nel Regno Unito.

Da quando il Regno Unito ha lasciato l'Unione Europea, la legislazione britannica in materia di protezione dei dati si è progressivamente allontanata dal quadro normativo europeo.

Sebbene su entrambe le sponde della Manica si registri una tendenza alla semplificazione degli standard, il Regno Unito è più avanti rispetto all'Unione Europea.

A seguito della Brexit, il Data Protection Act 2018 (DPA) è stato modificato per rimanere complementare al "GDPR del Regno Unito", la versione britannica del GDPR entrata in vigore il 1° gennaio 2021.

Anche il Regno Unito ha adottato il Regolamento sulla privacy e le comunicazioni elettroniche (PECR), che attua la Direttiva europea sulla privacy elettronica.

Il Data Use and Access Act (DUAA), adottato il 19 giugno 2025, rappresenta un'importante riforma del regime britannico in materia di dati personali.

Modifica e integra sia il GDPR, il DPA e il PECR del Regno Unito, e rappresenta una svolta strategica con cui il Regno Unito si allontana da una visione incentrata sui diritti fondamentali per adottare un approccio più pragmatico e favorevole all'innovazione.

I suoi obiettivi principali sono:

• Proporre una base giuridica più ampia di "interessi legittimi riconosciuti" per determinate attività di trattamento, tra cui l'archiviazione nell'interesse pubblico, nella sicurezza pubblica o a fini fiscali;
• Dare alle aziende la possibilità di sospendere i tempi di risposta per le richieste di accesso,
• Semplificare le regole sui cookie;
• Agevolare i trasferimenti internazionali di dati;
• Incoraggiare l'innovazione nei servizi digitali e nell'intelligenza artificiale, allentando il quadro normativo per le decisioni automatizzate;
• Imporre la "privacy by design" nei servizi digitali rivolti ai bambini,
• Per consentire l'implementazione di un'identità digitale,
• Semplificare le norme relative alle forze di polizia e ai servizi di intelligence.

Tuttavia, alcuni sottolineano i rischi di queste riforme, e in particolare l'indebolimento dei diritti individuali.

Nell'ambito dei processi decisionali automatizzati, citano, ad esempio, il fiasco dei risultati degli esami "A level" del 2020, in cui un algoritmo ha assegnato voti irrilevanti, e gli errori negli strumenti di rilevamento delle frodi del Dipartimento per il Lavoro e le Pensioni (DWP), che hanno causato numerosi danni alle persone coinvolte.

Il progetto di identità digitale, annunciato dal governo all'inizio di ottobre, ha scatenato una tempesta di proteste, con milioni di cittadini britannici che hanno firmato una petizione chiedendone il ritiro.

Da diversi anni il governo britannico sta spingendo per l'introduzione di meccanismi che consentano l'accesso al contenuto crittografato delle comunicazioni: il dibattito pubblico si concentra su approcci tecnici controversi come la "scansione lato client".

È opportuno precisare che l'Unione europea sta attualmente discutendo un tema correlato: la proposta CSAR, volta a prevenire e contrastare gli abusi sessuali commessi contro i minori, sarà nuovamente all'ordine del giorno del Consiglio europeo il 14 ottobre.

Questa proposta, che prevede la possibilità di analizzare le comunicazioni sul terminale dell'utente prima che vengano inviate, è considerata da molti scienziati e dalla società civile inefficace e particolarmente pericolosa per i diritti fondamentali e per la crittografia stessa.

Anche l'Unione Europea sta attualmente cercando di semplificare il quadro normativo in materia di dati attraverso il suo "pacchetto omnibus digitale".

La Commissione ha lanciato un invito a presentare contributi, che si chiuderà il 14 ottobre, su diverse aree della legislazione in materia di dati, tra cui le norme sui cookie e altre tecnologie di tracciamento, la segnalazione di incidenti di sicurezza informatica e alcuni aspetti della legge sull'intelligenza artificiale.

Per quanto riguarda nello specifico il GDPR, le questioni in gioco includono, ad esempio, la limitazione dell'obbligo di tenere un registro alle organizzazioni con più di 500 dipendenti, rispetto all'attuale limite di 250. L'Unione Europea al momento non contesta i principi fondamentali del regolamento.

Su entrambe le sponde della Manica, i vantaggi annunciati per l'industria riguardano la riduzione dei costi di conformità.

Tuttavia, i costi di attuazione della riforma stessa, i costi derivanti da errori o controversie e i costi per la fiducia dei consumatori sono meno noti. Questa argomentazione è stata sollevata anche durante il "dialogo sull'attuazione" organizzato dalla Commissione europea a metà luglio. Il settore privato ha indicato di aver "investito nella conformità e che una riapertura generale potrebbe creare incertezza, in particolare nel contesto dei trasferimenti internazionali di dati".

Oggi, il rapporto benefici/rischi delle riforme britanniche e il loro impatto sulle partnership internazionali, e ancor più decisivamente sul mantenimento della decisione di adeguatezza del Regno Unito nei confronti dell'UE, rimangono incerti.

La bozza di decisione di adeguatezza della Commissione europea è tuttavia favorevole al riconoscimento del livello di protezione del Regno Unito.

Tuttavia, la questione deve essere sottoposta al parere del Comitato europeo per la protezione dei dati e discussa in seno al Consiglio.

Auspichiamo che la decisione finale sia particolarmente trasparente per quanto riguarda i criteri presi in considerazione, visti i conseguenti cambiamenti nella legislazione britannica.

Ciò appare essenziale per garantire in futuro una sufficiente certezza giuridica sia per le imprese europee che per quelle con sede al di fuori dell'UE.

 

      

Il 18 settembre 2025, la CNIL ha multato la società Samaritaine SAS di 100.000 euro per aver nascosto delle telecamere nel magazzino del negozio.

Queste telecamere erano camuffate da rilevatori di fumo ed erano in grado di registrare l'audio.

La CNIL ha ricordato che un datore di lavoro può installare telecamere nascoste in circostanze eccezionali e a condizione che venga trovato un giusto equilibrio tra l'obiettivo perseguito (la protezione di beni e persone) e la tutela della privacy dei dipendenti.

Un sistema di questo tipo potrebbe, ad esempio, essere autorizzato a condizione che sia temporaneo e implementato dopo un'analisi documentata della sua compatibilità con il GDPR e in considerazione di circostanze eccezionali.

In questo caso, l'azienda ha segnalato l'esistenza di furti commessi nelle riserve e ha spiegato che il sistema era temporaneo, ma non ha effettuato alcuna analisi preliminare di conformità al GDPR, né ha documentato la natura temporanea dell'installazione.

La CNIL ha inoltre pubblicato diversi contenuti riguardanti la gestione degli account inattivi per i professionisti del settore audiovisivo e dei videogiochi, i dispositivi video nelle scuole e la geolocalizzazione dei minori.

Il 9 settembre, l'Assemblea nazionale ha adottato in commissione speciale il disegno di legge sulla resilienza della sicurezza informatica. 

Philippe Latombe, presidente della commissione, ha fatto approvare un emendamento volto a sancire la crittografia end-to-end nell'articolo 16 bis: "Non si può imporre ai fornitori di servizi di crittografia, compresi i prestatori di servizi fiduciari qualificati, di integrare dispositivi tecnici volti a indebolire intenzionalmente la sicurezza dei sistemi informativi e delle comunicazioni elettroniche, come le chiavi di decrittazione master o qualsiasi altro meccanismo che consenta l'accesso non consensuale ai dati protetti".

Questo testo, che recepisce nell'ordinamento giuridico francese le direttive europee NIS2, DORA e REC, dovrebbe portare a un significativo miglioramento del livello generale di sicurezza informatica.

 

istituzioni e organismi europei

Il 10 settembre, Ursula von der Leyen ha pronunciato un discorso sullo stato dell'Unione in cui ha ribadito che l'Europa sarebbe rimasta sovrana nella definizione delle proprie regole e dei propri standard, respingendo così le critiche transatlantiche.

Nello stesso giorno, 39 leader e associazioni industriali europee hanno firmato la Dichiarazione europea sull'intelligenza artificiale e la tecnologia, impegnandosi a investire nella sovranità tecnologica dell'Europa.

La signora von der Leyen ha ribadito le priorità chiave della strategia UE sull'IA, tra cui la futura regolamentazione del cloud e dello sviluppo dell'IA, l'iniziativa "Quantum Sandbox" e i significativi investimenti nelle "gigafabbriche" europee dell'IA.

La futura regolamentazione sullo sviluppo del cloud e dell'intelligenza artificiale potrebbe includere misure di sovranità e localizzazione dei dati, in linea con la futura strategia dell'Unione in materia di dati.

La Presidente della Commissione ha inoltre sottolineato gli obiettivi di semplificazione della regolamentazione europea, evidenziando le recenti proposte di riforma che potrebbero avere un impatto sulla protezione dei dati, come la riduzione degli obblighi relativi ai registri dei dati e la semplificazione dei requisiti di segnalazione degli incidenti nella legislazione digitale.

Infine, ha affrontato la questione della sicurezza online dei minori, annunciando che la Commissione richiederà il parere di esperti entro la fine dell'anno, traendo eventualmente ispirazione dall'approccio australiano alle restrizioni sui social media.

Il Regolamento sulla protezione dei dati (Legge sulla protezione dei dati) è entrato in vigore il 12 settembre 2025.

Questo testo conferisce agli utenti di prodotti connessi (aziende o privati che possiedono, noleggiano o prendono in locazione tali prodotti) un maggiore controllo sui dati che generano, mantenendo al contempo gli incentivi per coloro che investono nelle tecnologie dei dati.

Definisce inoltre le condizioni generali applicabili alle situazioni in cui un'azienda ha l'obbligo legale di condividere i dati con un'altra azienda.

Il Comitato europeo per la protezione dei dati ha pubblicato delle linee guida sull'interazione tra il Regolamento sui servizi digitali e il GDPR, che sono aperte alla consultazione pubblica fino alla fine di ottobre.

La Corte di giustizia dell'UE ha condannato la Commissione europea al pagamento di 50.000 euro di risarcimento a una persona coinvolta in un comunicato stampa dell'Ufficio europeo per la lotta antifrode (OLAF).

Sebbene nel comunicato stampa non fosse menzionato alcun nome, indizi contestuali hanno permesso di identificare il ricercatore. Il caso in questione, OC contro Commissione [C-479/22 P], era stato citato nel recente caso EDPS contro SRB, che sta ora generando forti reazioni in merito alla portata della natura identificabile dei dati personali.

 

Notizie dai paesi membri dell'Unione europea.

In Germania, la Corte federale del lavoro ha stabilito che un'azienda aveva trasferito illegalmente i dati personali di un proprio dipendente alla società madre al fine di testare un software di gestione delle risorse umane.

Tale trasferimento non poteva essere giustificato da un interesse legittimo, poiché sarebbero stati sufficienti dati fittizi. Il tribunale ha condannato il tribunale al pagamento di un risarcimento di 200 euro a favore del dipendente per il danno morale subito.

In Austria, un tribunale ha stabilito che il diritto di accesso ai dati di un interessato cessa con la sua morte e non si trasferisce al successore legale. Il tribunale ha quindi ribaltato una decisione dell'autorità garante della protezione dei dati relativa a una violazione del diritto di accesso dopo il decesso dell'interessato, emersa durante il procedimento di appello.

L'organizzazione austriaca per la tutela dei consumatori VSV ha intentato una class action contro Meta in Austria e Germania, chiedendo un risarcimento danni fino a 5.000 euro per ciascun individuo di età superiore ai 18 anni. La causa riguarda gli strumenti professionali di Meta, che secondo VSV vengono utilizzati per la "sorveglianza illegale" della vita privata degli utenti.

L'autorità belga per la protezione dei dati ha multato il proprietario di una casa per studenti con 9.700 euro per aver gestito illegalmente un sistema di videosorveglianza non necessario alla protezione dell'immobile o al controllo del rispetto del regolamento interno, e che non poteva essere basato su un interesse legittimo o sull'esecuzione del contratto di locazione.

L'Agenzia spagnola per la protezione dei dati (APD) ha inflitto una multa di 1.800.000 euro a un'azienda che ha trattato i dati personali di lavoratori autonomi, raccolti da un'autorità pubblica, senza una base giuridica.

Riteneva che, sebbene l'Agenzia delle Entrate spagnola (AEAT) avesse il diritto legale di comunicare determinati dati alla Camera di Commercio, il successivo trasferimento alla società Camerdata e l'utilizzo di tali dati per scopi commerciali e di marketing non avessero una valida base giuridica.

L'interesse legittimo invocato dall'azienda non prevaleva sui rischi per i diritti e le libertà dei lavoratori i cui dati erano stati divulgati.

In Estonia, l'azienda farmaceutica Allium UPI è stata multata di 3.000.000 di euro per non aver implementato adeguate misure tecniche e organizzative, come l'autenticazione a più fattori, che hanno causato una violazione dei dati che ha interessato 750.000 persone, tra cui bambini e gruppi vulnerabili.

In Finlandia, l'Autorità garante della concorrenza (APD) ha multato una banca (S-Pankki Oyj) per 1.800.000 euro per non aver implementato misure tecniche e organizzative sufficienti in merito a una nuova funzionalità di accesso sulla sua applicazione, che ha consentito ai suoi clienti di accedere senza autorizzazione ai conti di altri clienti.

Il Garante per la protezione dei dati personali (GPD) ha stabilito che il cliente di un'azienda ha il diritto di revocare il consenso all'utilizzo della propria immagine nella pubblicità aziendale. Ha inoltre chiarito che il consenso può essere revocato indipendentemente da eventuali conseguenze economiche negative per il titolare del trattamento.

Con il voto del Senato del 17 settembre, l'Italia diventa il primo Paese europeo ad adottare una legge sull'intelligenza artificiale.

Dopo aver definito il quadro dei principi generali, la legge presta particolare attenzione a settori cruciali come il lavoro, la sanità e la giustizia.

Regolamenta inoltre l'uso dell'intelligenza artificiale da parte dei minori e prevede sanzioni penali.

L'Autorità olandese per la protezione dei dati (DPA) sta attualmente conducendo un'indagine, in collaborazione con le autorità competenti di Italia, Lussemburgo e Ungheria, sulle modalità di trattamento dei dati personali da parte delle smart TV.

Il rapporto rileva in particolare che le smart TV inviano una quantità significativa di dati durante l'installazione, l'utilizzo quotidiano, quando sono in modalità standby e persino quando sono spente, e che operano in un ecosistema Internet opaco che coinvolge diverse parti: produttori, fornitori di sistemi operativi, sviluppatori di applicazioni, ecc.

Sottolinea che spesso gli utenti non hanno altra scelta se non quella di accettare le informative sulla privacy e hanno difficoltà a identificare i responsabili del trattamento dei dati.

Le applicazioni preinstallate (a volte impossibili da rimuovere) sollevano interrogativi in merito alla minimizzazione dei dati e ai diritti degli utenti.

Dopo il lancio di Apertus AI, la piattaforma di chat open source svizzera, è emerso un altro importante modello di apprendimento automatico open source supportato da un'istituzione pubblica in Europa: TildeOpen LLM.

Si tratta di un modello linguistico fondamentale, concepito per sopperire alle carenze dei modelli linguistici di base esistenti in relazione alle lingue nordiche ed dell'Europa orientale, attualmente sottorappresentate.

Questo modello da 30 miliardi di parametri è stato sviluppato con finanziamenti della Commissione europea e addestrato sul supercomputer LUMI.

Questi due modelli hanno annunciato di essere conformi alla normativa europea sull'intelligenza artificiale.

 

 

La 47ª Assemblea Generale sulla Protezione della Privacy, svoltasi lo scorso settembre a Seul, ha ribadito che la privacy e la sicurezza dei dati sono questioni cruciali per il mondo di oggi.

L'evento annuale riunisce autorità di regolamentazione, aziende e organizzazioni provenienti da tutto il mondo.

In questa occasione, venti autorità per la protezione dei dati hanno adottato una dichiarazione congiunta al fine di costruire un quadro di governance affidabile per un'intelligenza artificiale degna di fiducia.

Essi sostengono l'integrazione dei principi di protezione dei dati fin dalla fase di progettazione, l'implementazione di una solida governance dei dati e la previsione della gestione del rischio.

La dichiarazione evidenzia inoltre la crescente complessità del trattamento dei dati in questo contesto e sottolinea la diversità degli attori coinvolti, nonché la necessità di un quadro normativo adeguato al progresso tecnologico.

Negli Stati Uniti, lo "Shutdown" ha conseguenze significative in termini di protezione dei dati.

Alcune agenzie federali sono quasi completamente chiuse, tra cui la Federal Trade Commission (FTC), l'organismo principale responsabile dell'applicazione delle norme sulla privacy dei dati.

All'interno della FTC, l'Ufficio per la tutela dei consumatori è quello più colpito dai licenziamenti forzati.

Salvo nei casi in cui il danno sia considerato estremamente grave, le questioni relative alla tutela dei consumatori saranno sospese, siano esse indagini preliminari, procedimenti amministrativi o cause legali presso i tribunali federali.

Gli utenti statunitensi di ChatGPT Plus, Pro e Free possono ora acquistare direttamente dalla piattaforma di vendita Etsy, e presto saranno accessibili anche molti altri venditori.

Ciò implica, per ChatGPT come per altri sistemi di intelligenza artificiale agentiva, che l'utente conceda a terzi l'accesso alle proprie informazioni personali, e in particolare alle informazioni bancarie, con tutte le problematiche di vulnerabilità dei dati che questo comporta.