Bollettino Legale n. 88 – Ottobre 2025. 

 

La videosorveglianza, principale obiettivo delle sanzioni della CNIL.

La CNIL ha fatto il punto in ottobre sulla sua procedura sanzionatoria semplificata.

Le 16 sanzioni imposte dallo scorso maggio sono state accompagnate da multe per un totale di 108.000 euro, che si aggiungono ai 104.000 euro derivanti dalle 10 decisioni. pronunciato da gennaio.

Oltre alla videosorveglianza, le sanzioni comprendono le pratiche di prospezione commerciale effettuate senza il consenso degli interessati e la mancata collaborazione in caso di richiesta di esercizio dei diritti previsti dal GDPR (diritto di accesso, rettifica o opposizione).

La videosorveglianza rimane il tema principale delle sanzioni, soprattutto quando si svolge sul luogo di lavoro.

La CNIL segnala sistematicamente l'inosservanza da parte dei titolari del trattamento dei dati del principio di minimizzazione dei dati.

Un'azienda farmaceutica e un ospedale sono stati sanzionati per aver filmato i locali di un sindacato e il suo accesso diretto, in violazione dell'articolo 5.1.c del GDPR, che specifica che i dati devono essere adeguati, pertinenti e limitati a quanto necessario per lo scopo perseguito.

La CNIL ci ricorda che le telecamere a circuito chiuso installate nei luoghi di lavoro, siano essi aperti al pubblico o meno, devono rispettare la privacy dei dipendenti.

"Le telecamere non devono in alcun caso riprendere le sedi sindacali o i relativi punti di accesso diretto."

Qualsiasi violazione eccessiva della privacy delle persone riprese contravviene quindi a questo principio di minimizzazione, come ha rilevato anche la CNIL nel caso di un collegio il cui sistema di videosorveglianza riprendeva gli studenti durante la colazione e nel cortile.

Non è consentito installare telecamere sul luogo di lavoro.

• Solo se perseguono un obiettivo legittimo come la sicurezza dei beni e delle persone,
• In aree delimitate e non invasive come ingressi e uscite di edifici, corridoi o magazzini.

Sono inoltre richiesti obblighi in materia di sicurezza e trasparenza:

• L'accesso alle immagini deve essere sicuro e consentito solo al personale autorizzato, e i dati devono essere conservati per un periodo limitato, da pochi giorni a un mese in linea di principio.
• Il responsabile deve informare e consultare preventivamente i rappresentanti dei lavoratori e provvedere all'affissione di un avviso per i dipendenti e il pubblico.

Rimangono possibili eccezioni in merito agli obblighi di trasparenza: in circostanze eccezionali e a determinate condizioni, il titolare del trattamento può installare temporaneamente telecamere non visibili ai dipendenti, a condizione che venga analizzata la compatibilità del dispositivo con il GDPR e che sia in grado di giustificarne l'utilizzo.

È stata l'assenza di un'analisi d'impatto e la mancata partecipazione del responsabile della protezione dei dati all'implementazione di un sistema di videosorveglianza occulto che ha portato La Samaritaine a essere sanzionata dalla CNIL lo scorso settembre.

L'azienda aveva segnalato dei furti commessi nelle riserve e aveva spiegato che il sistema era temporaneo, ma non aveva effettuato alcuna analisi preliminare né documentato la natura temporanea dell'installazione.

Questa incapacità di mantenere un equilibrio tra l'obiettivo perseguito e la tutela della privacy dei dipendenti ha comportato una multa di 100.000 euro per l'azienda.

Infine, va notato che per i luoghi accessibili al pubblico, il dispositivo deve essere autorizzato dal prefetto del dipartimento o dal prefetto di polizia di Parigi.

 

      

Il 31 ottobre la Corte dei Conti ha pubblicato una relazione sulle "questioni di sovranità dei sistemi informativi civili dello Stato".

Fa diverse osservazioni:

• Alcuni ministeri utilizzano soluzioni informatiche extraeuropee, talvolta per dati sensibili, a scapito della sovranità digitale.

Il rapporto cita a questo proposito la piattaforma di dati sanitari, gestita da oltre cinque anni da un'azienda americana.

Egli osserva inoltre che gli operatori privati offrono applicazioni di servizio pubblico senza essere soggetti agli stessi obblighi dello Stato.

• Non esiste una mappatura dei dati sensibili per amministrazione, che costituirebbe un quadro di riferimento per identificare coloro la cui sovranità deve essere preservata come priorità.
• L'adozione del cloud computing sovrano da parte delle agenzie governative rimane limitata, i cloud interni degli stati faticano a raggiungere una scala sufficiente e conciliare i requisiti di sovranità con gli imperativi di prestazione si rivela complesso.
• DINUM gestisce due infrastrutture sovrane: la rete interministeriale dello Stato (RIE) e il sistema di identità digitale (FranceConnect), considerate successi anche se sono ancora necessari progressi, in particolare in termini di resilienza.
• Oltre al controllo dei dati sensibili, lo Stato non mira alla sovranità totale, bensì a stabilire un livello di fiducia sufficientemente elevato attraverso l'utilizzo di appalti pubblici, la messa in comune degli acquisti e la validazione da parte dell'ANSSI, al fine di limitare i rischi.

Il 15 ottobre, il Consiglio di Stato ha confermato la multa di 8.000.000 di euro inflitta dalla CNIL ad Apple per aver trattato i dati degli utenti francesi a fini di pubblicità personalizzata senza il loro consenso.

• Il Consiglio di Stato ha ritenuto che la sanzione non fosse sproporzionata, tenuto conto del numero di persone coinvolte — quasi 27,5 milioni di utenti tra luglio 2020 e luglio 2021 — e del peso economico del gruppo.
• Ha inoltre confermato la giurisdizione della CNIL a pronunciarsi sulle sue attività in Francia, respingendo così l'argomentazione della società secondo cui solo la sua filiale irlandese rientrerebbe nella giurisdizione dell'autorità di regolamentazione europea.

Il Ministero del Lavoro e della Solidarietà, la CNIL e l'AFCDP hanno incaricato l'Afpa di realizzare una nuova indagine sull'osservatorio della professione di DPO, riguardante l'impatto dell'IA su questa professione.

L'indagine esplora i modelli di governance dell'IA all'interno delle organizzazioni, il ruolo del Responsabile della protezione dei dati (DPO), le principali sfide affrontate dai DPO e le loro esigenze in termini di strumenti e formazione. I risultati saranno pubblicati nella prima metà del 2026.

Il 28 ottobre, la CNIL ha pubblicato il resoconto del suo evento del 20 maggio, dal titolo "GDPR: quale impatto economico?". 

L'evento ha riunito economisti e autorità di regolamentazione francesi (CNIL) ed europee (Autorità britannica per la protezione dei dati, Commissione europea), contribuendo alla valutazione ex post dell'attuazione del GDPR.

Ripresa dalle richieste degli operatori del settore della distribuzione in merito alla portabilità dei dati relativi ai programmi fedeltà, la legge ha anche specificato a metà ottobre quali informazioni devono essere trasmesse, in particolare per quanto riguarda il codice a barre e i dati relativi alle promozioni a cui i clienti hanno avuto accesso.

 

istituzioni e organismi europei

Secondo una versione informale del documento diffusa dalla stampa, le modifiche al GDPR previste dal Digital Omnibus Act potrebbero andare oltre quanto inizialmente annunciato.

La proposta, la cui pubblicazione ufficiale è prevista per il 19 novembre, chiarirebbe (pur limitando) alcune definizioni chiave, allenterebbe alcune norme in materia di riservatezza e autorizzerebbe l'utilizzo dei dati personali per l'addestramento dell'intelligenza artificiale.

La società civile ha già reagito, evidenziando i pericoli di una simile semplificazione dei diritti fondamentali.

Giovedì 9 ottobre, la Commissione europea ha annunciato l'avvio di una consultazione pubblica sulla bozza di linee guida relative all'interazione tra il Regolamento sui mercati digitali (DMA) e il GDPR.

Questo progetto è stato sviluppato in collaborazione con il Comitato europeo per la protezione dei dati (EDPB).

L'articolo 5(2) è al centro di queste linee guida: il DMA richiede ai “gatekeeper” di ottenere il consenso dell'utente per la condivisione dei suoi dati tra diversi servizi, ma non definisce le condizioni precise di tale consenso.

Il testo ora specifica che tale consenso deve essere valido ai sensi del GDPR, ma soprattutto che deve essere richiesto separatamente per ciascuna finalità di trattamento distinta (personalizzazione dei contenuti e pubblicità mirata).

La consultazione è aperta fino al 4 dicembre.

Il 24 ottobre, la Commissione europea ha concluso in via preliminare che Meta e TikTok violavano il Digital Services Act (DSA).

Le aziende non consentono ai ricercatori un accesso adeguato ai dati disponibili pubblicamente.

La Commissione conclude inoltre, in via preliminare, che Facebook e Instagram non hanno adempiuto ai loro obblighi (1) di fornire agli utenti meccanismi semplici per segnalare contenuti illegali, come la pedopornografia o i contenuti terroristici, e (2) di consentire agli utenti di contestare efficacemente le decisioni di moderazione dei contenuti prese da Meta.

TikTok e Meta hanno la possibilità di accedere al fascicolo dell'indagine e di rispondere ad esso.

La Commissione europea ha pubblicato il suo quadro di riferimento per un cloud sovrano per le autorità preposte agli appalti pubblici.

Il documento si basa su diverse iniziative europee, tra cui il quadro europeo di certificazione della sicurezza informatica (ENISA, NIS2, DORA).

Si fa riferimento anche a politiche nazionali come "cloud at the center" in Francia con SecNumCloud di Anssi e Sovereign Cloud in Germania.

La Commissione propone un punteggio di sovranità per le offerte cloud, basato su diversi criteri, che sta generando reazioni contrastanti.

Il metodo non soddisfa particolarmente i fornitori di servizi cloud europei riuniti nell'associazione Cispe, che lo considerano opaco e, allo stato attuale, favorevole agli operatori stranieri.

I membri del Parlamento europeo chiedono un'indagine della DSA (Autorità garante della concorrenza e del diritto internazionale) su Shein, Temu e AliExpress.

In seguito all'apertura di un'indagine da parte della procura di Parigi nei confronti di queste quattro aziende per la vendita di "bambole sessuali con sembianze infantili", oltre 40 eurodeputati hanno sollecitato la Commissione ad avviare un'inchiesta, secondo quanto riportato da Euractiv.

La proposta della CSAM per un regolamento volto a prevenire e combattere gli abusi sessuali sui minori è stata nuovamente all'ordine del giorno della riunione del Consiglio europeo del 14 ottobre.

La Germania, che in precedenza aveva sostenuto con forza il disegno di legge, avendo ritirato il proprio appoggio alla bozza di regolamento, ha costretto al rinvio della votazione.

La controversa proposta prevedeva la scansione delle comunicazioni sul terminale dell'utente prima dell'invio, un elemento eliminato dalla presidenza danese del Consiglio al fine di ottenere un sostegno sufficiente da parte degli Stati membri.

La Danimarca intende comunque estendere a tempo indeterminato l'attuale autorizzazione temporanea per le analisi "volontarie" relative agli abusi sessuali sui minori e "i fornitori di servizi ad alto rischio [...] potrebbero comunque essere tenuti ad adottare misure per sviluppare tecnologie pertinenti al fine di mitigare il rischio di abusi sessuali sui minori identificati nei loro servizi".

I ministri degli Interni dell'UE si riuniranno nuovamente all'inizio di dicembre.

Nella sua riunione plenaria di ottobre, il Comitato europeo per la protezione dei dati (EDPB) ha scelto il tema della sua quinta azione coordinata sui controlli, che si concentrerà sul rispetto degli obblighi di trasparenza e informazione previsti dal GDPR.

Il regolamento garantisce che le persone interessate siano informate quando i loro dati vengono trattati (ai sensi degli articoli 12, 13 e 14).

Il Comitato europeo per la protezione dei dati (EDPB) ribadisce che questo diritto all'informazione è un elemento centrale della trasparenza e garantisce ai singoli individui un maggiore controllo sui propri dati.

Le autorità di protezione dei dati partecipanti aderiranno a questa iniziativa su base volontaria nelle prossime settimane, e l'iniziativa stessa sarà lanciata nel corso del 2026.

Un'inchiesta sui broker di dati personali, condotta dal quotidiano belga L'Echo, dalla pubblicazione specializzata tedesca Netzpolitik.org, dall'emittente radiofonica olandese BNR, dall'emittente radiofonica tedesca BR e da Le Monde, mostra la portata della sorveglianza resa possibile dai dati pubblicitari geolocalizzati.

Questi dati, ottenuti da "Le Monde" e dai suoi partner, hanno permesso di identificare e rintracciare diverse personalità di spicco dell'Unione Europea, talvolta persino fino alle loro abitazioni.

 

Notizie dai paesi membri dell'Unione europea.

Lo stato tedesco dello Schleswig-Holstein ha abbandonato i propri sistemi governativi di posta elettronica e calendario a favore di software open source.

La migrazione, durata sei mesi, ha sostituito Microsoft Exchange e Outlook con Open-Xchange e Mozilla Thunderbird.

Il trasferimento ha coinvolto oltre 40.000 account di posta elettronica e più di 100 milioni di messaggi e voci di calendario.

In Austria, l'ONG Noyb riporta che l'autorità per la protezione dei dati ha emesso una sentenza in cui conclude che Microsoft 365 Education traccia illegalmente gli studenti e utilizza i loro dati per scopi propri.

Il colosso del software non ha inoltre risposto a una richiesta di accesso relativa a Microsoft 365 Education, ampiamente utilizzato nelle scuole europee.

Un tribunale austriaco ha confermato la multa di 1.500.000 euro inflitta a IKEA per la videosorveglianza illegale ed eccessiva all'interno e nei dintorni di uno dei suoi punti vendita, che ha ripreso, tra le altre cose, i clienti mentre digitavano i loro codici PIN.

Ha così ribaltato una decisione dell'APD che riteneva responsabile solo il venditore per le violazioni commesse durante l'acquisto.

In Belgio, l'Autorità belga per la protezione dei dati (APD) ha richiamato un'azienda per aver conservato illegalmente l'indirizzo email e il numero di telefono di un ex dipendente dopo la cessazione del contratto di lavoro. L'APD ha riscontrato che il titolare del trattamento aveva violato diverse disposizioni del GDPR, tra cui il principio di limitazione delle finalità, i principi di minimizzazione dei dati e di limitazione della conservazione, i principi di informazione dell'interessato e il diritto alla cancellazione.

Infine, non sussisteva più alcuna base giuridica per continuare a trattare questi dati.

In Spagna, l'APD ha multato una società di servizi finanziari (Servicios Financieros Carrefour) per 1.500.000 euro per non aver garantito la sicurezza e la riservatezza del trattamento dei dati a seguito di una violazione dei dati che ha portato all'invio di numerose email di phishing.

In Irlanda, la nomina di Niamh Sweeney, ex lobbista di Meta, a commissario dell'autorità irlandese per la protezione dei dati ha recentemente attirato nuova attenzione.

Il Consiglio irlandese per le libertà civili (ICCL) ha presentato un reclamo contro l'Irlanda alla Commissione europea il 25 ottobre, sostenendo che l'Irlanda non aveva fornito garanzie sufficienti in merito all'indipendenza e all'imparzialità del suo processo di nomina.

Secondo quanto riferito, la Commissione europea ha risposto affermando di non avere competenza in materia di nomine nazionali relative agli aiuti pubblici allo sviluppo.

L'Autorità olandese per la protezione dei dati (APD) ha multato Experian Nederland per 2,7 milioni di euro per molteplici violazioni del GDPR.

Fino al 1° gennaio 2025, Experian forniva ai propri clienti valutazioni di solvibilità per le quali raccoglieva dati, ad esempio, su comportamenti di pagamento negativi, debiti non saldati o fallimenti.

L'APD ha rilevato la mancanza di una valida base giuridica per la raccolta delle informazioni e la mancata informazione delle persone interessate.

L'azienda ha dovuto cessare le proprie attività nel paese e si è impegnata a cancellare l'intero database dei dati personali entro la fine dell'anno.

 

 

L'Autorità britannica per la protezione dei dati (DPA) ha multato un fornitore di servizi aziendali specializzato nell'amministrazione delle pensioni e il suo subappaltatore, rispettivamente per 8.000.000 e 6.000.000 di sterline, a seguito di un attacco informatico che ha consentito a terzi non autorizzati di accedere ai dati di oltre 6 milioni di persone.

L'APD ha rilevato una mancanza di misure di sicurezza adeguate.

L'IAPP riferisce che, per la prima volta dal 2019, l'Organizzazione internazionale per la standardizzazione ha aggiornato il suo standard internazionale per la gestione dei programmi di conformità alla privacy, ISO 27701.

Lo standard è ora un sistema di gestione autonomo, il che significa che le organizzazioni non avranno più bisogno di un sistema di gestione della sicurezza delle informazioni certificato ISO 27001.

Tuttavia, chi possiede un SGSI sarà in grado di integrare entrambi i sistemi di gestione.

Lo standard definisce i requisiti di alto livello per l'implementazione di un PIMS, che devono essere soddisfatti e attuati da qualsiasi organizzazione che intenda ottenere la certificazione.

Sebbene non possa essere considerato un sostituto della legislazione, rimane strettamente allineato al GDPR dell'UE e del Regno Unito.

Negli Stati Uniti, la polizia di immigrazione scansiona i volti delle persone per strada per verificarne la cittadinanza.

Secondo quanto riportato dal media americano 404, alcuni video che circolano sui social media mostrano agenti dell'ICE (Immigration and Customs Enforcement) e del CBP (Customs and Border Protection) che utilizzano la tecnologia di riconoscimento facciale sui passanti sul campo.

L'applicazione utilizzata, Mobile Fortify, collegherebbe i volti a un database di 200 milioni di immagini provenienti dai database dell'FBI, del Dipartimento di Stato e di altre agenzie.

L'applicazione potrebbe anche effettuare ricerche incrociate su veicoli, telefoni, indirizzi e armi da fuoco.

Sebbene il Dipartimento per la Sicurezza Interna si rifiuti di confermare o smentire le capacità di "Mobile Fortify", il CBP (Customs and Border Protection) avrebbe ammesso di fare affidamento su "vari strumenti tecnologici per migliorare l'efficacia degli agenti".

La competizione per integrare l'intelligenza artificiale nei browser internet e per sfidare la posizione dominante del ormai classico Google Chrome si sta intensificando.

Microsoft ha quindi integrato il suo strumento di intelligenza artificiale Copilot nel browser Edge.

Le "azioni" proposte permettono a Copilot di compilare moduli o prenotare hotel, mentre i "Percorsi" consentono a Copilot di tracciare i collegamenti tra le schede aperte dall'utente.

L'annuncio di Microsoft è arrivato due giorni dopo un lancio simile da parte di OpenAI, che ha presentato il suo nuovo browser Atlas, visivamente molto simile a quello di Microsoft.