Bollettino Legale n. 66 – Dicembre 2023.

Giurisprudenza in materia di GDPR: principali tendenze per il 2023

Sia in Francia che a livello europeo, le autorità di protezione dei dati e gli organi giudiziari hanno adottato nel 2023 numerose decisioni che chiariscono le condizioni per l'applicazione del GDPR.

A livello europeo, le sanzioni più significative imposte dalle autorità di protezione dei dati riguardano i giganti tecnologici internazionali, nonché alcune aziende nazionali.

Si concentrano in particolare sulla pubblicità senza il consenso dell'utente e sulla mancata informazione degli stessi.

• Il 4 gennaio 2023, la Commissione irlandese per la protezione dei dati ha multato Meta Platforms Ireland Ltd. per 390 milioni di euro per l'uso illecito di dati personali a fini pubblicitari su Facebook e Instagram.

Inoltre, nel maggio 2023, ha inflitto a Meta una multa storica di 1,2 miliardi di euro per il trasferimento illegale di dati negli Stati Uniti.

• Nel gennaio 2023, l'Autorità irlandese per la protezione dei dati (DPA) ha inoltre multato WhatsApp per 5,5 milioni di euro per aver obbligato gli utenti a dare il consenso all'utilizzo dei dati personali al fine di "migliorare i servizi e la sicurezza".
• Il 15 giugno 2023, la CNIL ha inflitto una multa di 40 milioni di euro a CRITEO, società specializzata in pubblicità online, in particolare per non aver verificato che le persone i cui dati venivano trattati avessero dato il proprio consenso.
• Lo scorso giugno, il Garante per la protezione dei dati personali ha multato la società di telemarketing TIM SpA per 7,6 milioni di euro per insufficiente supervisione dei call center che adottavano pratiche abusive.

In Francia, la CNIL ha adottato diverse altre sanzioni che meritano di essere menzionate. La Commissione si è concentrata in particolare su:

• A causa della mancanza di una base giuridica nel contesto della raccolta di dati biometrici da parte della società Clearview;
• Per quanto riguarda la questione del rispetto del principio di minimizzazione dei dati raccolti, in questo caso i dati di geolocalizzazione nel caso Cityscoot del 16 marzo 2023;
• Per quanto riguarda i periodi di conservazione dei dati nel caso KG COM dell'8 giugno 2023 e nel caso Doctissimo dell'11 maggio 2023;
• Per quanto riguarda il rispetto dei diritti delle persone nei casi Canal+ (12 ottobre), Free (20 marzo) e Criteo (15 giugno).

Riguardo a quest'ultimo punto, la CNIL sottolinea che i dati devono essere comunicati al richiedente in forma intelligibile.

Sottolinea inoltre che il mancato rispetto del termine di un mese per rispondere alla richiesta di accesso è una violazione frequente.

È opportuno ricordare che l'esercizio dei diritti individuali è il tema delle indagini coordinate dalle autorità europee per la protezione dei dati per il 2024.

Ricordiamo inoltre, in termini di giurisprudenza dei tribunali francesi, alcune recenti decisioni in materia di videosorveglianza.

• I tribunali amministrativi di Nizza e Lille, rispettivamente il 23 e il 29 novembre, si sono pronunciati a favore dei comuni che avevano installato sistemi di videosorveglianza con riconoscimento facciale algoritmico, in quanto tali sistemi non erano (ancora) stati pienamente attivati o implementati ai fini della videosorveglianza aumentata.
• Il tribunale amministrativo di Caen, invece, ha ritenuto più decisivo, con un'ordinanza provvisoria del 22 novembre, che il sistema di videosorveglianza algoritmica Briefcam costituisse una violazione grave e manifestamente illegale del diritto alla privacy.

Il giudice in camera di consiglio ha osservato che l'uso era al di fuori di qualsiasi quadro giuridico o regolamentare e ha ritenuto che "non è stato dimostrato, né tantomeno affermato, che non si sarebbero potuti adottare altri mezzi meno invasivi in termini di privacy al fine di preservare l'ordine pubblico".

La questione della base giuridica per l'utilizzo della videosorveglianza algoritmica diventerà ancora più urgente con l'adozione del regolamento europeo sull'intelligenza artificiale, che disciplinerà in modo particolarmente rigoroso il riconoscimento facciale negli spazi pubblici (si vedano i documenti di seguito).

Infine, a livello europeo, la Corte di giustizia dell'Unione europea (CGUE) ha adottato diverse decisioni che chiariscono, in particolare, i principi applicabili al trattamento automatizzato e la valutazione del danno nelle violazioni del GDPR:

• La Corte di giustizia dell'Unione europea ha quindi adottato il 7 dicembre due importanti sentenze riguardanti il fornitore dominante di servizi di informazione creditizia in Germania ("Schufa").

La Corte ha in particolare affermato che l'elaborazione automatizzata della valutazione del merito creditizio ("scoring") è soggetta a un divieto generale ai sensi dell'articolo 22 del GDPR.

Aggiunge inoltre che la società che elabora un punteggio di credito con mezzi automatizzati rimane soggetta all'articolo 22, anche se è un'altra società a basarsi su tale punteggio per prendere decisioni che hanno un impatto (negativo) sulla persona interessata, un ragionamento che potrebbe avere ripercussioni sui sistemi assistiti dall'intelligenza artificiale.

• Per quanto riguarda il risarcimento dei danni, nella sentenza Österreichische Post AG del 4 maggio 2023, la Corte ha stabilito che la violazione delle disposizioni del GDPR non è sufficiente a conferire al soggetto interessato il diritto al risarcimento: è necessario dimostrare anche il danno subito. Tale danno, tuttavia, deve essere risarcito anche se non raggiunge un certo grado di gravità.
• Nella sua sentenza del 14 dicembre 2023, la Corte di giustizia dell'Unione europea fornisce un'ampia interpretazione del danno morale.

La Corte precisa in particolare che il timore che una persona nutre in merito a un potenziale uso improprio dei propri dati personali da parte di terzi a seguito di una violazione del GDPR è suscettibile, di per sé, di costituire un danno morale.

Insieme alla sentenza Österreichische Post AG, che stabilisce che non esiste una soglia minima per i danni non patrimoniali, questa decisione potrebbe favorire lo sviluppo delle azioni collettive in Europa.

È opportuno ricordare che la Francia, al pari dei suoi partner europei, sta recependo nell'ordinamento nazionale la direttiva del 25 novembre 2020 relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori.

 

   

• A metà dicembre, la CNIL ha pubblicato le "Tabelle sul trattamento dei dati e le libertà" destinate ai professionisti della protezione dei dati.

Queste tabelle raggruppano e classificano le sintesi di numerose decisioni dei tribunali francesi ed europei, tra cui la Corte europea dei diritti dell'uomo, la Corte di giustizia dell'Unione europea, il Consiglio costituzionale, il Consiglio di Stato e la Corte di Cassazione.

Le tabelle includono anche alcune decisioni del Comitato europeo per la protezione dei consumatori (EDPB) e della CNIL, concentrandosi su quelle che stabiliscono una nuova dottrina o definiscono dei principi.

• A metà dicembre, la CNIL ha anche pubblicato una guida per sensibilizzare sul GDPR al fine di supportare i servizi di salute e sicurezza sul lavoro (SPST) nel loro adempimento.
• Dopo l'EDPB, ora tocca alla Direzione Generale per la Concorrenza, gli Affari dei Consumatori e la Lotta alle Frodi pubblicare una pagina web volta ad allertare i consumatori sui "dark patterns", ovvero quelle tecniche o processi finalizzati a influenzare le scelte degli utenti di internet al fine di indurli ad acquistare prodotti o ad abbonarsi a servizi che altrimenti non avrebbero scelto consapevolmente.
• Il Ministero dell'Interno ha appena completato la riorganizzazione dei suoi servizi per la lotta alla criminalità informatica.
• Il nuovo "Ministero dell'Interno Comando nel Cyberspazio" (Comcyber-MI) è stato creato con decreto il 23 novembre 2023 e coordinerà tutte le risorse del ministero.
• Un altro decreto formalizza la creazione di un nuovo "Ufficio anticrimine informatico" (OFAC) che accorpa, all'interno della Polizia, la sottodirezione per la lotta alla sicurezza informatica e il precedente ufficio, l'Ufficio centrale per la lotta ai reati connessi alle tecnologie dell'informazione e della comunicazione (OCLCTIC).
• Infine, un terzo decreto formalizza la creazione di un'unità cibernetica nazionale, afferente alla direzione generale della gendarmeria nazionale.

Iliad, CMA CGM e Schmidt Futures Group hanno creato "Kyutai": un laboratorio di ricerca sull'intelligenza artificiale senza scopo di lucro, il cui obiettivo è affrontare le principali sfide dell'IA, come lo sviluppo di modelli multimodali di grandi dimensioni e l'invenzione di nuovi algoritmi.

 

istituzioni e organismi europei

• Il 9 dicembre l'UE ha raggiunto un accordo politico sul regolamento sull'intelligenza artificiale, che dovrebbe essere adottato ufficialmente all'inizio del 2024.

L'accordo provvisorio vieterebbe, ad esempio, la manipolazione cognitiva del comportamento, la raccolta non mirata di immagini facciali da Internet o da filmati di videosorveglianza, il riconoscimento delle emozioni sul luogo di lavoro e negli istituti scolastici, l'attribuzione di punteggi sociali, la categorizzazione biometrica per dedurre dati sensibili, come l'orientamento sessuale o le convinzioni religiose, e alcuni casi di attività di polizia predittiva nei confronti dei singoli individui.

L'accordo prevede diverse eccezioni per i servizi di polizia e per la migrazione.

• Nella sua ultima seduta plenaria, il Comitato europeo per la protezione dei dati ha adottato una lettera in risposta all'iniziativa della Commissione europea sull'impegno volontario in materia di cookie.

Il Comitato appoggia in linea generale il documento e raccomanda alle aziende, quando un utente si è rifiutato di autorizzare la raccolta dei propri dati, di attendere un anno prima di rinnovare le richieste di consenso, al fine di ridurre la "fatica da cookie" che, a causa delle ripetute sollecitazioni, porta gli utenti a cliccare a caso anziché esercitare effettivamente i propri diritti.

• In una sentenza del 7 dicembre 2023, la Corte di giustizia dell'Unione europea ha chiarito che l'irrogazione di una sanzione pecuniaria per violazione del GDPR presuppone una violazione commessa intenzionalmente o per negligenza.

Il documento definisce ulteriormente l'ambito di responsabilità e la qualificazione del titolare del trattamento: tale definizione può quindi riguardare un soggetto che ha commissionato a un'azienda lo sviluppo di un'applicazione per computer mobili e che, in questo contesto, ha partecipato alla definizione delle finalità e dei mezzi del trattamento, anche se tale soggetto non ha effettuato direttamente le operazioni di trattamento, non ha prestato esplicitamente il proprio consenso all'esecuzione di tali operazioni o alla messa a disposizione del pubblico dell'applicazione.

Si precisa che la qualificazione di due soggetti come contitolari del trattamento non presuppone né l'esistenza di un accordo tra tali soggetti sulla determinazione delle finalità e dei mezzi del trattamento, né l'esistenza di un accordo che stabilisca le condizioni relative alla loro responsabilità.

• Il 21 dicembre, la Corte di giustizia dell'Unione europea ha stabilito che il diritto al risarcimento previsto dall'articolo 82 del GDPR assolve una funzione compensativa, "in quanto il risarcimento monetario basato su tale disposizione deve consentire di compensare pienamente il danno effettivo subito a seguito della violazione del regolamento", e non una funzione deterrente o punitiva.

La gravità della violazione che ha causato il danno in questione non dovrebbe quindi influire sull'ammontare del risarcimento.

• Microsoft ha introdotto una nuova versione di Outlook destinata a sostituire il programma di posta elettronica e calendario integrato in Windows nel 2024, suscitando preoccupazioni tra le autorità europee per la protezione dei dati.

Microsoft potrebbe accedere alle email e agli allegati quando un utente aggiunge un account email non Microsoft all'applicazione, tramite le credenziali IMAP e SMTP di tale account.

 

Notizie dai paesi membri dell'Unione Europea.

• Mentre, secondo una dichiarazione dell'Eliseo pubblicata a fine novembre, Marie-Laure Denis dovrebbe essere riconfermata alla presidenza della CNIL, Helen Dixon, presidente della Commissione irlandese per la protezione dei dati, ha annunciato su LinkedIn il 15 novembre 2023 le sue dimissioni a febbraio 2024, dopo 10 anni di mandato.
• L'Autorità Garante per la protezione dei dati personali (APD) ha multato un titolare del trattamento per 40.000 euro per aver avuto accesso agli account di posta elettronica di tre suoi ex dipendenti, in violazione dell'articolo 5, paragrafo 1, e dell'articolo 13 del GDPR.

L'autorità ha inoltre ritenuto che un amministratore di condominio avesse violato l'articolo 5(1)(a) e l'articolo 6 del GDPR installando illegalmente un sistema di videosorveglianza senza la preventiva adozione di una delibera condominiale.

L'APD ha imposto una multa di 1.000 euro e il divieto di trattamento dei dati.

• L'Autorità norvegese per la protezione dei dati (APD) ha multato l'Amministrazione norvegese del lavoro e del welfare (NAV) per 1.754.678 euro (20 milioni di corone norvegesi) e ha emesso diversi provvedimenti per 12 violazioni, attribuite a "grave negligenza protrattasi per un lungo periodo" nei sistemi informatici e di sicurezza delle informazioni dell'amministrazione.
• L'Autorità danese per la protezione dei dati (DPA) ha richiamato l'Agenzia per il governo digitale per l'utilizzo di JavaScript in relazione a MitID, l'identificativo digitale danese.

Sebbene i rischi associati all'uso di questo linguaggio di programmazione siano noti, l'Agenzia lo ha utilizzato senza effettuare una valutazione preventiva dei rischi, violando così, tra l'altro, l'articolo 32, paragrafo 1, del GDPR.

• Un articolo pubblicato su New Scientist il 18 dicembre riporta che un'intelligenza artificiale addestrata su dati personali (cartelle cliniche, professionali e finanziarie) riguardanti sei milioni di danesi è stata in grado di prevedere il rischio di morte con maggiore precisione rispetto ai modelli esistenti, compresi quelli utilizzati nel settore assicurativo.

I ricercatori che hanno sviluppato questa tecnologia affermano che potrebbe avere un impatto positivo sulla previsione precoce di problemi sociali e sanitari, ma che deve rimanere fuori dalla portata delle grandi aziende.

• In seguito all'adozione, lo scorso ottobre, della legge sulla sicurezza online (Online Safety Bill), criticata dalla società civile per aver compromesso la crittografia end-to-end delle comunicazioni, il Regno Unito sta preparando una nuova legge controversa sui poteri investigativi.

Secondo un articolo di Politico, la principale preoccupazione relativa a questo progetto riguarda il cosiddetto regime delle "notifiche": questo permetterebbe al Ministero dell'Interno di obbligare le aziende a informarlo di qualsiasi piano di modifica dei prodotti o dei sistemi dei loro servizi, implicando una possibile perdita di controllo da parte delle aziende sui propri prodotti e impedendo loro, ad esempio, di correggere vulnerabilità nel codice che il governo o i suoi partner vorrebbero sfruttare.

Il disegno di legge è attualmente in fase di relazione, con la prossima sessione prevista per il 23 gennaio.

 

• Le agenzie di cybersicurezza di 18 paesi hanno concordato, in un documento pubblicato il 26 novembre 2023, di creare modelli di "sicurezza fin dalla progettazione" per l'intelligenza artificiale: le aziende che progettano e utilizzano l'IA devono svilupparla e implementarla in modo da proteggere i propri clienti e il pubblico in generale da eventuali abusi.

Questo accordo non vincolante è stato adottato dagli Stati Uniti, dal Canada, dal Giappone e da 7 Stati membri dell'UE (Germania, Estonia, Francia, Italia, Polonia, Repubblica Ceca), nonché dalla Norvegia e dal Regno Unito.

• Negli Stati Uniti, poco prima della fine dell'anno, Google ha accettato di patteggiare una class action da 5 miliardi di dollari relativa alla modalità di navigazione in incognito del suo browser Chrome. Google era accusata di continuare a tracciare, raccogliere e identificare i dati di navigazione degli utenti in tempo reale, anche dopo l'apertura di una nuova finestra in incognito.

Secondo Euractiv, i termini specifici dell'accordo non sono ancora stati resi pubblici, ma si prevede che un accordo formale venga presentato al tribunale entro il 24 febbraio.

• L'Agenzia californiana per la protezione della privacy (CCPA) si è espressa a favore di una proposta legislativa che obbligherebbe i produttori di browser web a includere una funzionalità che consenta agli utenti di esercitare i propri diritti tramite segnali di "opt-out".

Il CCPA rileva che molti browser attualmente richiedono agli utenti di installare un plugin di terze parti in grado di trasmettere il segnale. 

Attualmente, i browser che supportano nativamente i segnali di disattivazione delle preferenze rappresentano meno del 10% del mercato globale dei browser web.

• A fine dicembre, la Federal Trade Commission (FTC) ha proposto nuovi limiti per le aziende che raccolgono dati su minori di 13 anni e standard più rigorosi per la conservazione di tali informazioni, nell'ambito di un aggiornamento del Children’s Privacy Protection Act (COPPA).
• Anche negli Stati Uniti, una class action accusa la compagnia assicurativa sanitaria americana Humana di aver utilizzato impropriamente un modello di intelligenza artificiale per negare agli anziani cure riabilitative essenziali.