Bollettino Legale n. 68 – Febbraio 2024.

Controlli della CNIL: quali sono le priorità per il 2024? ?

Come ogni anno, all'inizio del 2024 la CNIL ha pubblicato il resoconto delle sue attività passate e le sue priorità per i mesi a venire.

Ciò indica un costante aumento dei controlli, resi più efficienti dall'implementazione di una procedura semplificata per determinati casi.

Lo scorso anno, i controlli hanno interessato diversi settori, tra cui la pubblicità e il commercio online, la sicurezza, la geolocalizzazione dei veicoli, i diritti dei dipendenti e il trattamento dei dati sanitari.

La CNIL ha sanzionato sia multinazionali che PMI, nonché soggetti pubblici e privati.

Tuttavia, la Commissione sembra essersi resa conto degli sforzi aggiuntivi richiesti ai responsabili delle piccole organizzazioni per conformarsi al GDPR.

In uno studio sull'impatto economico del GDPR, pubblicato il 1° marzo, la studiosa osserva che "il GDPR è proporzionalmente più favorevole alle grandi imprese economiche, che dispongono di maggiori risorse da dedicare alla conformità".

Da ciò trae la conclusione che "l'autorità di regolamentazione deve compensare attivamente questa tendenza con una politica rigorosa nei confronti dei grandi operatori, e ancor più nei confronti degli operatori molto grandi, in proporzione ai rischi che comportano e alle risorse di cui dispongono".

Pertanto, come specificato anche nella dichiarazione congiunta CNIL-Autorità Garante della Concorrenza del dicembre 2023, la CNIL presuppone già, e presupporrà ancor di più in futuro, una dimensione asimmetrica nella sua azione regolamentare sui mercati digitali.unitamente a una piena comprensione dei modelli di business, a beneficio degli individui e a tutela dei loro diritti fondamentali.

Tra le iniziative annunciate quest'anno, non sorprende che riguardino i documenti relativi ai Giochi Olimpici e Paralimpici del 2024 e il diritto degli individui di accedere ai propri dati.

Riguardo ai Giochi OlimpiciLa CNIL intende verificare l'utilizzo che verrà fatto dei dispositivi di sicurezza e, in particolare, l'impiego di telecamere potenziate, codici QR per aree ad accesso limitato e autorizzazioni di accesso.

Il volume dei dati e il numero di partner coinvolti nell'evento indurranno inoltre la Commissione a verificare l'utilizzo dei dati di biglietteria, al fine di prevenire il riutilizzo fraudolento dei dati delle persone interessate.

Si noti che la questione dell'utilizzo del riconoscimento facciale da parte delle forze dell'ordine è inclusa anche tra le priorità del Comitato europeo per la protezione dei dati (EDPB) nel suo programma di lavoro 2023-2024.

Il diritto degli individui di accedere ai propri dati è il tema dell'azione coordinata del Comitato europeo per la protezione delle informazioni (EDPB) per il 2024 (vedi anche sotto).

Nel 2023, il Comitato europeo per la protezione dei dati (EDPB) ha adottato delle linee guida in materia per aiutare i titolari del trattamento dei dati a implementare procedure di accesso complementari a quelle pubblicate dalla CNIL.

La CNIL si concentrerà anche sui dati raccolti online dai minori Verificherà se sono implementati meccanismi di controllo dell'età, quali misure di sicurezza sono previste e se viene rispettato il principio di minimizzazione dei dati.

Infine, verrà esaminato l'impatto della dematerializzazione degli scontrini fiscali e dell'utilizzo dei programmi fedeltà sui diritti individuali..

La sostituzione delle ricevute cartacee con SMS o e-mail, ad esempio, comporta la raccolta di dati aggiuntivi.

La CNIL specifica che questi dati, così come le informazioni relative agli acquisti individuali, possono essere utilizzati per finalità di targeting pubblicitario solo previo consenso degli interessati.

Infine, occorre precisare che la CNIL può esaminare un caso indipendentemente dalle priorità individuate, sulla base di una denuncia, di una pubblicazione sulla stampa o di una segnalazione da parte di un'autorità di protezione dei dati di un altro paese europeo.

 

    

• Il 31 gennaio, la CNIL ha inflitto una multa di 100.000 euro al fornitore di servizi immobiliari PAP.

La CNIL (Autorità francese per la protezione dei dati) ha individuato delle carenze in merito ai periodi di conservazione dei dati, all'informazione degli interessati, alla gestione dei rapporti tra il PAP (Personal Access Point) e un subappaltatore, e alla sicurezza dei dati (memorizzazione delle password in chiaro). Le falle di sicurezza individuate esponevano i dati al rischio di attacchi informatici e fughe di informazioni.

• Il 31 gennaio, ha inoltre multato FORIOU di 310.000 euro per aver utilizzato dati forniti da intermediari di dati a fini di prospezione commerciale, senza accertarsi che le persone interessate avessero validamente acconsentito a essere contattate.

La CNIL ci ricorda che è responsabilità dell'azienda che utilizza i dati assicurarsi che le persone interessate abbiano fornito un valido consenso preventivo, al momento della raccolta.

La Commissione ha rilevato che, sebbene la società imponesse determinati requisiti contrattuali ai suoi fornitori di dati a monte, non veniva esercitato alcun controllo effettivo su tali requisiti a valle.

• Il 30 gennaio, il Consiglio di Stato ha ritenuto che i trasferimenti automatici di dati fiscali tra Francia e Stati Uniti ai sensi dell'accordo FATCA non violino gli articoli 5 e 46 del GDPR, in quanto l'assenza di una decisione di adeguatezza non impedisce i trasferimenti di dati "necessari per importanti motivi di interesse pubblico".

L'Associazione degli Americani per Caso aveva chiesto al Consiglio di Stato di ribaltare la decisione della CNIL, che aveva respinto il suo reclamo.

Il Consiglio di Stato ha ritenuto che la CNIL avesse sufficientemente giustificato la sua decisione.

Si noti che, sullo stesso argomento, l'autorità belga per la protezione dei dati era giunta a una conclusione diversa, vietando il trasferimento negli Stati Uniti dei dati fiscali dei cittadini belgi-americani acquisiti accidentalmente.

• La startup francese Mistral, specializzata nello sviluppo di intelligenza artificiale, ha annunciato il 26 febbraio una partnership strategica con Microsoft.

Secondo il quotidiano Le Monde, questo annuncio sta creando attrito a Bruxelles, a seguito delle intense attività di lobbying, soprattutto da parte della Francia, volte a favorire le start-up europee e a limitare gli obblighi che le riguardano nella futura regolamentazione dell'IA.

I parlamentari verdi al Parlamento europeo hanno inviato una lettera alla Commissione europea sollevando interrogativi su potenziali conflitti di interesse e problemi di trasparenza riguardanti l'attività di lobbying di Mistral su questo regolamento.

• A metà gennaio, l'ANSSI ha pubblicato tre guide volte a "gestire la risoluzione di un incidente informatico".

Queste guide si compongono di tre parti: strategica, operativa e tecnica.

L'agenzia sottolinea che "se un incidente grave viene risolto solo parzialmente o in modo inadeguato, i suoi effetti possono protrarsi nel tempo".

"Questo elevato potenziale di destabilizzazione richiede (...) competenza nel contenere questi attacchi informatici, nel riprendere il controllo del sistema informativo compromesso e nel ripristinare uno stato operativo sufficiente."

La bonifica è una dimensione fondamentale della risposta agli incidenti informatici, insieme all'indagine e alla gestione delle crisi.

• Dopo otto mesi di sperimentazione, la patente di guida digitale è disponibile dal 14 febbraio per tutti coloro che ne fanno richiesta.

Con la domanda di identità francese, è anche possibile digitalizzare la propria carta d'identità e utilizzarla per determinate procedure, come ad esempio il rilascio di una procura.

 

istituzioni e organismi europei

• Il 28 febbraio, l'EDPB ha lanciato il suo "quadro coordinato per le indagini" (CFE) per il 2024.

Nel corso dell'anno, le autorità europee per la protezione dei dati (DPA) parteciperanno a questa iniziativa sull'attuazione del diritto di accesso.

Nella sua sessione plenaria dell'ottobre 2023, il Comitato europeo per la protezione dei dati (EDPB) ha scelto il diritto di accesso come terza azione coordinata di attuazione, "perché è al centro della protezione dei dati ed è uno dei diritti in materia di protezione dei dati più frequentemente esercitati, nonché uno di quelli per cui le autorità di protezione dei dati ricevono numerose segnalazioni".

• Il Comitato europeo per la protezione dei dati (EDPB) si pronuncerà a breve su un parere definitivo in merito al modello di business "accetta o paga", che prevede il pagamento per l'accesso ai contenuti del sito web per i visitatori che rifiutano i cookie.

Meta ha adottato questo approccio nel novembre 2023, il che ha indotto le autorità di protezione dei dati di Paesi Bassi, Norvegia e Amburgo a chiedere al Comitato europeo per la protezione dei dati (EDPB) di adottare un parere vincolante sulla legalità di tale pratica.

La società civile teme che, se questo modello economico venisse legittimato, le aziende di tutti i settori industriali seguirebbero l'esempio di Meta, il che potrebbe segnare la fine del consenso autentico all'utilizzo dei dati.

Ventotto ONG hanno inviato una lettera all'EDPB sollecitandola a emettere un parere che tuteli il diritto fondamentale alla protezione dei dati.

• Durante la sua sessione plenaria di metà febbraio, il Comitato europeo per la protezione dei dati (EDPB) ha adottato un parere che chiarisce il concetto di sede principale nel contesto dello "sportello unico".

Le aziende non possono semplicemente creare una sede principale "aprendo un cartello su una porta": la sede deve essere il luogo in cui vengono prese le decisioni relative al trattamento dei dati e, se tali decisioni vengono prese all'estero, non può esserci una sede principale: il principio dello sportello unico non si applica. Il Comitato europeo per la protezione dei dati (EDPB) ha inoltre adottato una dichiarazione in cui invita i legislatori dell'UE a garantire che il regolamento CSAM, volto a tutelare i diritti dei minori online, rispetti il diritto alla privacy e alla protezione dei dati. 

• Il Parlamento europeo, e più specificamente la sottocommissione per la difesa, era in stato di massima allerta alla fine di febbraio, dopo che erano state scoperte tracce di hacking sui telefoni di due dei suoi membri, alimentando i timori di attacchi informatici e interferenze straniere in vista delle elezioni europee di giugno.

Lo scorso dicembre, Politico ha riportato che la sicurezza informatica dell'istituzione "non ha ancora raggiunto gli standard del settore" e "non è pienamente in linea con il livello di minaccia" rappresentato dagli hacker.

Queste nuove rivelazioni fanno seguito a precedenti episodi in cui altri membri del Parlamento europeo sono stati presi di mira dagli spyware Pegasus e Predator.

• Il 19 febbraio, la Commissione europea ha avviato un'indagine sui diritti dei minori su TikTok.

Sospetta, in particolare, violazioni in materia di trasparenza e obblighi di tutela dei minori previsti dal Regolamento sui servizi digitali (DSA), tra cui la progettazione che crea dipendenza, la verifica inadeguata dell'età e le impostazioni predefinite sulla privacy insufficienti. Il DSA è in vigore nell'UE dal 17 febbraio.

• Gli Stati membri dell'UE, con il supporto della Commissione europea e dell'Agenzia dell'Unione europea per la cibersicurezza (ENISA), hanno pubblicato il 21 febbraio una relazione sulla cibersicurezza e sulla resilienza delle infrastrutture e delle reti di comunicazione europee.

La presente relazione fa seguito a una valutazione, effettuata dagli Stati membri, dei rischi associati a queste infrastrutture e reti.

La valutazione ha individuato una serie di minacce, come wiper, attacchi ransomware, attacchi alla catena di approvvigionamento, attacchi fisici e sabotaggi.

• Il 13 febbraio, la Corte europea dei diritti dell'uomo (CEDU) si è pronunciata sul caso Podchasov in merito alla raccolta e all'accesso da parte della Russia alle comunicazioni private dei cittadini.

Nel contesto del dibattito sui presunti pericoli delle comunicazioni crittografate, la Corte ha chiaramente indicato che indebolire la crittografia delle comunicazioni per tutti i cittadini non era giustificato.

Secondo E. Tuchtfeld, "questa decisione invia un messaggio importante non solo allo Stato russo, ma anche ad altri governi europei che stanno valutando la possibilità di installare delle 'porte di servizio' nei servizi di messaggistica crittografata come Telegram, Signal o WhatsApp".

• La CEDU ha inoltre ritenuto, in una sentenza del 15 febbraio, che la conservazione sistematica e indiscriminata dei dati di telecomunicazione utilizzati in Slovenia nei confronti di un ex giudice durante il suo processo debba essere considerata una violazione del suo diritto alla privacy.

Al momento della condanna del ricorrente, i fornitori di servizi di telecomunicazione erano obbligati a conservare i dati di telecomunicazione in modo sistematico e indiscriminato per un periodo di 14 mesi.

La Corte ha ritenuto che tale conservazione non rientrasse nei limiti di quanto necessario in una società democratica.

La conservazione, l'accesso e il trattamento dei dati nell'ambito del procedimento penale a carico del ricorrente hanno pertanto violato il suo diritto al rispetto della vita privata.

 

Notizie dai paesi membri dell'Unione Europea.

• In Belgio, l'Autorità belga per la protezione dei dati (APD) ha reso disponibile sul proprio sito web una sezione intitolata "Documenti per il DPO".

Comprende, in particolare, le decisioni giudiziarie e dell'APD relative agli ordini di protezione della privacy (DPO), ad esempio su temi quali il conflitto di interessi e la tutela contro il licenziamento.

• L'Autorità belga per la protezione dei dati ha inoltre ritenuto che, a prescindere dal ritiro del reclamo, conservasse comunque il potere di dichiarare una violazione dei diritti dell'interessato e di imporre una sanzione per la mancata conformità al GDPR.
• Il 29 febbraio, il Garante per la protezione dei dati personali (APD) ha annunciato di aver inflitto una sanzione di oltre 79 milioni di euro a Enel Energia per gravi violazioni nel trattamento dei dati personali di numerosi utenti del settore elettrico e del gas, effettuato per finalità di telemarketing.
• L'APD ha inoltre multato il comune di Siracusa di 5.000 euro per non aver fornito i dati di contatto del responsabile della protezione dei dati (DPO) in conformità all'articolo 37 del GDPR.
• L'Autorità greca per la protezione dei dati (DPA) ha multato un titolare del trattamento con 5.000 euro perché il suo responsabile della protezione dei dati (DPO) non ha risposto, nonostante diversi solleciti, al questionario inviatogli nell'ambito dell'azione coordinata europea delle autorità per la protezione dei dati nel 2023.
• In Spagna, l'APD ha rifiutato di consentire che gli obblighi di due diligence in materia di antiriciclaggio vengano utilizzati come pretesto da una banca per costringere un denunciante a fornire dettagli sull'origine del proprio denaro tramite e-mail non crittografate.

Ha inflitto una multa di 2.500.000 euro al titolare del trattamento dei dati.

• L'Autorità danese per la protezione dei dati, nella sua quinta decisione relativa ai Chromebook, ha constatato che 53 comuni avevano condiviso illegalmente i dati personali degli studenti con Google per finalità di sviluppo proprie di Google, in violazione dell'articolo 6, paragrafo 1, lettera e) del GDPR.
• Nel Regno Unito, la DPA ha multato il Ministero della Difesa britannico per 409.080 euro (350.000 sterline) per aver divulgato 265 indirizzi email di persone che cercavano di lasciare l'Afghanistan in seguito all'ascesa al potere dei talebani nel 2021.
• Il Servizio federale di intelligence svizzero (FIS) è stato coinvolto in un'inchiesta della rivista Republik, che a metà gennaio ha pubblicato un articolo in cui si afferma che il FIS ha accesso alle email di tutti i cittadini svizzeri e che monitora massicciamente le loro comunicazioni in base a una legge del 2016.

I dati verrebbero raccolti direttamente dai cavi di comunicazione, tramite apparecchiature installate nell'infrastruttura dei fornitori di servizi internet. L'SRC respinge queste accuse (tramite la lettera dell'AFCDP).

• Un attacco informatico contro un'azienda americana ha portato alla divulgazione di informazioni sensibili sull'aeronautica militare svizzera sul dark web.

Il gruppo di hacker ALPHV ha rivendicato la responsabilità dell'attacco, che ha portato alla diffusione di documenti classificati, tra cui un contratto da 5 milioni di dollari tra la Svizzera e Ultra Intelligence & Communications, fornitore di tecnologie di crittografia e comunicazione per il settore della difesa.

Nel luglio 2023, un attacco simile ha colpito l'azienda svizzera Xplain, seguito a novembre da un attacco informatico alla società di software Concevis, che lavora anche per il settore della difesa e per l'amministrazione fiscale.

 

• Il 28 febbraio, l'amministrazione Biden ha adottato un ordine esecutivo volto a proteggere i dati personali sensibili dei cittadini americani dallo sfruttamento da parte di alcuni paesi terzi ("paesi di interesse").

Questo decreto autorizza il Procuratore Generale a impedire il trasferimento su larga scala dei dati personali dei cittadini americani verso paesi che destano preoccupazione e prevede garanzie per altre attività che potrebbero consentire a tali paesi di accedere ai dati sensibili dei cittadini americani.

Questi dati includono, in particolare, dati genomici, biometrici, sanitari, di geolocalizzazione e finanziari.

• A febbraio, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha pubblicato misure concrete per integrare la sicurezza in ogni fase del ciclo di sviluppo del software.

La guida raccomanda ai produttori di dare priorità a una serie di misure concrete, tra cui la definizione di requisiti di sicurezza di base per l'integrazione di software open source e l'estensione del monitoraggio dei "dati di provenienza".

• Anche negli Stati Uniti, la Federal Trade Commission (FTC) ha appena vietato ad Avast di vendere i dati di navigazione dei propri clienti a fini pubblicitari.

La FTC stava indagando sulle accuse secondo cui Avast avrebbe venduto dati di navigazione pur affermando che i suoi prodotti bloccavano il tracciamento online. Avast è stata multata di 16,5 milioni di dollari.

Si noti che l'autorità ceca per la protezione dei dati aveva sanzionato la società nell'aprile 2023 per le stesse ragioni.

• Le modifiche alla legge georgiana sulla protezione dei dati sono entrate in vigore il 1° marzo.

Queste modifiche mirano a garantire una protezione più simile a quella prevista dal GDPR. 

Gli operatori di telefonia mobile e i loro fornitori di servizi SMS ora non possono più utilizzare i dati personali dei cittadini per finalità di marketing diretto senza il loro previo consenso.

Inoltre, ora è obbligatorio per le istituzioni pubbliche e per alcune aziende private nominare un responsabile della protezione dei dati.

• Il Commissario per la protezione dei dati personali di Hong Kong (PDPC) ha condotto verifiche di conformità presso 28 organizzazioni locali tra agosto 2023 e febbraio 2024 in merito al trattamento dei dati personali nel contesto dell'utilizzo dell'intelligenza artificiale.

L'esercitazione ha coinvolto diversi settori, tra cui telecomunicazioni, finanza e assicurazioni, servizi di bellezza, vendita al dettaglio, trasporti, istruzione e ministeri governativi.

Il PCPD non ha riscontrato violazioni, pur rilevando che un numero crescente di organizzazioni, sia pubbliche che private, sta implementando l'intelligenza artificiale per migliorare l'efficienza operativa quotidiana.