Bollettino Legale n. 62 – Agosto 2023.

DMA, DSA: i nuovi obblighi dei giganti della tecnologia.

A partire da settembre, la tutela dei diritti degli utenti online si amplia con l'applicazione della Legge sui servizi digitali alle principali piattaforme e la pubblicazione dell'elenco delle aziende soggette alla Legge sui mercati digitali.

• Dal 25 agosto, il regolamento europeo sui servizi digitali (DSA) si applica alle piattaforme online di grandi dimensioni (VLOP) e ai motori di ricerca online di grandi dimensioni (VLOSE).

Dal 17 febbraio 2024, il regolamento si applicherà anche a tutti gli intermediari che offrono i propri servizi agli utenti residenti nell'UE, comprese le piattaforme online come gli app store, le piattaforme dell'economia collaborativa e le piattaforme di social media, con obblighi più limitati.

Sono previste ulteriori eccezioni per le PMI e le microimprese.

Secondo la decisione della Commissione europea del 25 aprile, diciannove aziende rientrano nella categoria VLOPS e VLOSES, tra cui TikTok, Facebook, X, Snapchat, YouTube e Google Search, importanti rivenditori online come Amazon e Zalando, e i due principali motori di ricerca online Bing e Google Search.

Queste aziende dovranno rispettare una serie di obblighi in materia di trasparenza, tutela dei minori, moderazione dei contenuti e rispetto della privacy.

In particolare, dovranno identificare e valutare i rischi sistemici derivanti dai loro servizi, compresi i sistemi algoritmici, quali:

• La distribuzione di contenuti illegali
• Gli effetti negativi sull'esercizio dei diritti fondamentali
• Gli effetti negativi sul discorso civico e sui processi elettorali;
• Gli effetti negativi sulla violenza di genere, sulla tutela della salute pubblica e sui minori;
• Gravi conseguenze negative per il benessere fisico e mentale della persona.

Diversi obblighi previsti dal Data Security Act (DSA) si sovrappongono a quelli del GDPR. Questi sono elencati in un recente articolo del "Future of Privacy Forum".

Ad esempio, esistono obblighi simili o complementari in materia di "dark patterns", pubblicità mirata basata su dati sensibili o riguardante minori, trasparenza, profilazione, analisi dei rischi e rimozione di contenuti illegali.

Le procedure di controllo sono complesse e possono entrare in conflitto con quelle del GDPR: a differenza di quest'ultimo, che garantisce la regolamentazione principalmente a livello nazionale con il coordinamento del Comitato europeo per la protezione dei dati per i casi transfrontalieri, il DSA centralizza i controlli a livello UE per quanto riguarda i VLOP e i VLOSE, attribuendo al contempo agli Stati membri la responsabilità per gli altri fornitori di servizi intermedi.

Auspichiamo che si instauri un coordinamento tra questi diversi enti, al fine di fornire indicazioni sia alle aziende interessate sia ai singoli individui che desiderano intraprendere azioni legali.

• Sebbene il Digital Markets Act sia in vigore da maggio, è stato il 6 settembre che la Commissione ha pubblicato l'elenco dei sei colossi tecnologici, i cosiddetti "gatekeeper", che dovranno conformarsi ai suoi principi. Si tratta di Alphabet, Amazon, Apple, ByteDance, Meta e Microsoft.

La Commissione indica che sono interessati complessivamente 22 servizi di base della piattaforma gestiti da questi sei gestori.

L'obiettivo principale è impedire a queste aziende di trarre vantaggio dalla loro posizione dominante.

Pertanto, il testo vieta l'autoreferenzialità o l'obbligo per gli utenti professionali di utilizzare esclusivamente i servizi o i prodotti dell'azienda in questione.

I gestori delle piattaforme non possono impedire agli utenti commerciali di offrire e promuovere servizi concorrenti e hanno l'obbligo di condividere con loro le informazioni generate dall'utilizzo della loro piattaforma.

Sono previsti anche requisiti specifici di interoperabilità per i servizi di messaggistica online, nonché opzioni per sistemi operativi, browser, motori di ricerca e assistenti virtuali.

Inoltre, ai "gatekeeper" è vietato tracciare e profilare gli utenti a fini di targeting pubblicitario, a meno che non ottengano il loro consenso, e impedire loro di disinstallare le applicazioni preinstallate.

Alcuni di questi obblighi, pertanto, rafforzano quelli previsti dal DSA in termini di tutela degli utenti, in particolare per quanto riguarda la profilazione.

Diverse aziende, tra cui TikTok, Meta e Google, hanno già modificato i propri termini di servizio.

Le sanzioni previste dalla DSA e dalla DMA possono raggiungere rispettivamente i 61.000 e i 101.000 miliardi di dollari del fatturato delle società interessate.

In caso di ripetute violazioni del DMA, la sanzione può raggiungere i 20% di fatturato…

Importi che superano i 4% previsti dal GDPR, già presentati come dissuasivi dal legislatore al momento dell'adozione del regolamento.

 

E anche

• La CNIL sta preparando una bozza di raccomandazione sui sistemi a maggior rischio in caso di violazione della sicurezza e sta avviando una consultazione pubblica.

Il suo scopo è quello di consolidare tutte le pratiche di sicurezza avanzate in un unico documento, che si concentra in particolare sui cosiddetti processi "critici", definiti dai seguenti due criteri cumulativi:

• Il trattamento dei dati è su larga scala ai sensi del GDPR;
• Una violazione dei dati personali potrebbe avere conseguenze molto gravi per le persone coinvolte, per la sicurezza nazionale o per la società nel suo complesso.

È possibile partecipare alla consultazione fino all'8 ottobre 2023.

• L'8 agosto, la CNIL ha pubblicato una nota informativa sui beacon connessi, al fine di aiutare chiunque sia vittima di un uso improprio o illegale a proteggersi.

Questi tag, che consentono di localizzare e ritrovare gli oggetti (ad esempio, chiavi o un portafoglio), vengono talvolta utilizzati per rintracciare persone a loro insaputa.

• Il 23 agosto Pôle emploi ha annunciato che i dati personali di circa dieci milioni di persone registrate nei suoi archivi erano stati rubati a seguito di un "atto di cybercriminalità".

Questi dati sono stati affidati in outsourcing alla società Majorel, incaricata della digitalizzazione dei documenti inviati dai candidati.

Il nome e il cognome, lo stato attuale o precedente di ricerca di lavoro e il numero di previdenza sociale potrebbero essere interessati.

Tuttavia, "indirizzi email, numeri di telefono, password e dati bancari" non sono stati compromessi.

 

istituzioni e organismi europei

• L'11 ottobre, l'Agenzia dell'Unione europea per la cibersicurezza (ENISA), in collaborazione con la Commissione europea, organizza il Forum sui servizi fiduciari e l'identità elettronica (eID), al fine di monitorare gli sviluppi del quadro giuridico, del portafoglio digitale europeo e della protezione delle attività online dei cittadini in tutta l'UE.

L'ENISA pubblica anche delle linee guida per gli smartphone: "SMASHING – Smartphone Secure development Guidelines".

Lo strumento fornisce una mappa di misure per gli sviluppatori di applicazioni per smartphone, finalizzate a garantire lo sviluppo di applicazioni mobili sicure.

• L'Istituto europeo per gli standard di telecomunicazione (ETSI) ha pubblicato un rapporto intitolato "Protezione dell'intelligenza artificiale (SAI); Manipolazione automatizzata delle rappresentazioni dell'identità multimediale".

Il documento tratta le tecniche basate sull'intelligenza artificiale per manipolare automaticamente i dati di identità esistenti o creare dati di identità falsi rappresentati in vari formati multimediali, come audio, video e testo (deepfake).

Il documento descrive i diversi approcci tecnici e analizza le minacce poste dai deepfake in diversi scenari di attacco.

Propone quindi misure tecniche e organizzative per mitigare queste minacce ed esamina la loro efficacia e i loro limiti.

• Nell'ambito del suo programma di audit per il 2023, l'EDPB si sta concentrando sul ruolo dei DPO (Responsabili della protezione dei dati).

Un articolo pubblicato dall'IAPP il 31 luglio elenca le decisioni di riferimento delle autorità europee per la protezione dei dati riguardanti la designazione e le competenze dei DPO.

• Fitbit, azienda di proprietà di Google, sta affrontando denunce per violazione della privacy nell'Unione Europea, con l'accusa di esportare illegalmente i dati degli utenti in violazione delle norme UE sulla protezione dei dati.

Le denunce prendono di mira l'affermazione di Fitbit secondo cui gli utenti avrebbero acconsentito al trasferimento internazionale delle proprie informazioni, verso gli Stati Uniti e altri paesi, mentre secondo l'ONG NOYB, l'azienda costringe gli utenti a dare il loro consenso.

 

Notizie dai paesi membri dell'Unione Europea.

• Nei Paesi Bassi, una relazione preliminare dell'Autorità per la protezione dei dati (DPA), datata 1° settembre, sollecita l'adozione di ulteriori misure per controllare i rischi associati agli algoritmi e all'intelligenza artificiale, in previsione della prossima legislazione europea.

Per controllarli meglio, le autorità pubbliche e le imprese devono affrontare due sfide.

In primo luogo, i rischi associati alla rapida integrazione delle innovazioni basate sull'intelligenza artificiale nella società, come ad esempio i chatbot intelligenti.

In secondo luogo, il rapporto sottolinea la necessità che tutte le principali istituzioni pubbliche e private dei Paesi Bassi comprendano il loro utilizzo di algoritmi ad alto rischio, ovvero quelli che hanno un impatto sostanziale sulla vita delle persone. Il rapporto elenca le azioni da attuare.

• L'Autorità spagnola per la protezione dei dati (APD) ha multato un'azienda mediatica di 20.000 euro per aver pubblicato una foto tratta dal profilo Instagram privato di una persona e averla riprodotta su un blog con il suo nome e la sua età, in violazione dell'articolo 6(1) del GDPR.

Ha inoltre inflitto una multa di 120.000 euro (ridotta a 72.000 euro) alla Fourth Party Logistics SL per subappalto illegale dovuto alla mancata formalizzazione dei contratti e all'assenza di autorizzazioni preventive per la loro formalizzazione.

• In Croazia, una foto che identificava un agente di polizia è stata pubblicata come commento a un video di un'operazione di polizia condiviso in un gruppo pubblico di Facebook.

L'APD ha riscontrato una violazione dell'articolo 5(1(b) e dell'articolo 6(1) del GDPR e ha ordinato la rimozione della foto.

• In un contesto analogo, l'Autorità cipriota per la protezione dei dati ha multato un quotidiano locale di 7.000 euro per aver violato l'articolo 5, paragrafo 1, lettera c), e l'articolo 6 del GDPR: il giornale aveva pubblicato i nomi e le foto degli agenti di polizia in servizio.
• Nell'ambito di un'indagine congiunta, le autorità per la protezione dei dati dei Paesi baltici hanno effettuato un controllo e sanzionato una società di autonoleggio.

Nel calcolare la sanzione, l'Autorità lettone per la protezione dei dati ha evidenziato la totale mancanza di collaborazione da parte del titolare del trattamento come circostanza aggravante.

Inizialmente, la giudice aveva ritenuto appropriata una sanzione di 15.000 euro. Tuttavia, viste le difficoltà finanziarie del titolare del trattamento e l'elevato rischio di insolvenza, ha infine ridotto la sanzione a 1.000 euro.

• La nuova legge federale svizzera sulla protezione dei dati è entrata in vigore il 1° settembre.

Tra le nuove disposizioni ispirate al GDPR figurano la valutazione d'impatto per il trattamento dei dati sensibili, il registro delle attività di trattamento, la figura del responsabile della protezione dei dati (DPO) e la segnalazione delle violazioni dei dati. Il concetto di "Privacy by Design" viene ora esplicitamente menzionato.

 

• Il 24 agosto, dodici autorità internazionali per la protezione dei dati e la privacy provenienti da Americhe, Europa, Africa e regione Asia-Pacifico hanno annunciato di aspettarsi che le piattaforme di social media e altri siti si proteggano dal recupero illegale di dati ("web scraping").

Questo annuncio ribadisce le raccomandazioni fornite in precedenza da autorità di regolamentazione quali l'Australian Information Commission, la CNIL e l'Information Commissioner's Office del Regno Unito, a seguito di indagini sulle pratiche di gestione dei dati personali e sugli obblighi di notifica delle violazioni dei dati di Clearview AI, Inc.

• Negli Stati Uniti, la Cybersecurity and Infrastructure Security Agency ("CISA"), la National Security Agency ("NSA") e il National Institute of Standards and Technology ("NIST") hanno pubblicato il 21 agosto una scheda informativa congiunta sulla preparazione al calcolo quantistico per allertare le organizzazioni, in particolare quelle che supportano i settori infrastrutturali.

critiche – sulle minacce del calcolo quantistico e per incoraggiare queste organizzazioni a iniziare a pianificare la futura migrazione verso gli standard crittografici post-quantistici ("PQC").

• Il governo statunitense sta lanciando il Cyber Trust Mark, il suo programma per etichettare la sicurezza dell'Internet delle cose.
• Negli Stati Uniti, anche Tesla è stata colpita da una violazione dei dati: 75.000 persone ne sono interessate.

Due ex dipendenti di Tesla hanno fornito al quotidiano Handelsblatt informazioni personali e recapiti di altri dipendenti.

L'azienda ha informato il Procuratore Generale del Maine della violazione della sicurezza e ha offerto servizi di protezione contro il furto di identità alle persone colpite.

Nell'aprile del 2023, alcuni dipendenti avevano visualizzato e condiviso video privati registrati dalle Tesla dei clienti, provenienti dai sistemi di sicurezza Sentry Mode dei veicoli.

Tesla non è l'unica azienda a sollevare preoccupazioni in materia di privacy.

Uno studio pubblicato il 5 settembre dalla Fondazione Mozilla descrive le auto di 25 case automobilistiche come "incubi su ruote in termini di privacy dei dati".

La fondazione ha valutato le politiche e le pratiche di 25 case automobilistiche e ha avvertito che potrebbero raccogliere e sfruttare commercialmente molto più della semplice cronologia delle posizioni, delle abitudini di guida, della cronologia del navigatore di bordo e delle preferenze musicali degli utenti.

Alcuni produttori potrebbero trattare dati estremamente personali, come – a seconda dell'informativa sulla privacy – attività sessuale, stato di immigrazione, etnia, espressioni facciali, peso, stato di salute e persino informazioni genetiche.

Inoltre, più della metà dei produttori vende i dati a terzi.

• Il 25 agosto 2023, in Cina sono state pubblicate nuove linee guida relative all'etichettatura dei contenuti generati dall'IA: il Comitato Tecnico Nazionale Cinese per la Standardizzazione della Sicurezza delle Informazioni ("TC260") ha pubblicato la versione finale delle "Linee guida pratiche per gli standard di sicurezza informatica - Metodo per l'etichettatura dei contenuti nei servizi di intelligenza artificiale generativa".
• Anche il Canada pubblica un codice di condotta per l'intelligenza artificiale generativa e incoraggia i contributi al suo documento.
• In India, la legge sulla protezione dei dati personali digitali del 2023 è stata pubblicata nella gazzetta ufficiale il 12 agosto.

Sebbene questa legge sia benvenuta in quanto garantisce la protezione dei dati di 760 milioni di utenti internet, solleva anche critiche in merito al livello di protezione offerto, soprattutto alla luce della storica sentenza Puttaswamy, che ha sancito il diritto alla privacy in India cinque anni fa.

• Il 31 agosto, Apple ha annunciato l'abbandono dello sviluppo della funzionalità di scansione di iCloud per l'identificazione di contenuti pedopornografici (CSAM).

L'azienda si sta ora concentrando su una serie di strumenti e risorse sui dispositivi degli utenti, noti come "Funzionalità di sicurezza della comunicazione".

Dopo aver collaborato con diversi ricercatori nel campo della sicurezza e della privacy, gruppi per i diritti digitali e associazioni a tutela dei minori, l'azienda ha concluso di non poter proseguire nello sviluppo di un meccanismo di scansione cloud, nemmeno se progettato specificamente per preservare la privacy. 

"Analizzare i dati privati di iCloud di ogni utente creerebbe nuove vulnerabilità che i ladri di dati potrebbero individuare e sfruttare. Inoltre, comporterebbe il rischio di conseguenze indesiderate. La ricerca di un tipo di contenuto, ad esempio, aprirebbe le porte alla sorveglianza di massa e potrebbe indurre l'utente a cercare altri sistemi di messaggistica crittografata per ogni tipo di contenuto."

Questa posizione pubblica è importante nel contesto attuale, poiché il Regno Unito, l'UE e gli Stati Uniti stanno preparando una legislazione volta a imporre un controllo generalizzato degli operatori online nell'ambito della lotta alla criminalità informatica in generale e della protezione dei minori online in particolare.