Bollettino Legale n. 61 – Luglio 2023.

Le API sono al centro della condivisione dei dati personali.

Le interfacce di programmazione delle applicazioni, comunemente chiamate "API" in riferimento al loro nome inglese "application programming interface", sono spesso utilizzate per facilitare la condivisione di informazioni tra organizzazioni pubbliche o private.

Questa condivisione dei dati è supportata dal legislatore, come confermato dalla strategia europea sulla sovranità digitale: l'obiettivo è sviluppare un mercato unico dei dati "promuovendo l'accesso, la condivisione e il riutilizzo responsabili, nel rispetto dei valori dell'Unione europea e in particolare della protezione dei dati personali".

Essa integra la strategia europea sull'intelligenza artificiale.

Le API, se integrano la protezione dei dati fin dalla fase di progettazione del sistema di condivisione, possono fornire un quadro tecnico favorevole, in conformità con il GDPR.

La CNIL ne incoraggia pertanto l'utilizzo, come indicato in una raccomandazione adottata il 7 luglio.

Sottolinea in particolare l'importanza di un livello di sicurezza commisurato ai rischi di riutilizzo e di una condivisione dei dati limitata al minimo necessario.

La raccomandazione si rivolge a tre tipologie di soggetti: i detentori dei dati, i gestori delle API e coloro che riutilizzano i dati.

Il titolare dei dati è caratterizzato dal fatto che controlla i dati in modo tecnico o organizzativo.

Un gestore API è l'organizzazione responsabile di alcune o di tutte le componenti tecniche su cui si basa la condivisione dei dati.

Finalmente, il riutilizzatore dei dati Si tratta di qualsiasi organizzazione che intende accedere o ricevere dati tramite API per proprio uso.

La CNIL (Autorità francese per la protezione dei dati) sottolinea che la stessa organizzazione può ricoprire più ruoli, ad esempio quando il titolare del trattamento sviluppa direttamente un'API: in tal caso, è anche l'amministratore dell'API e deve attenersi alle raccomandazioni relative a entrambi i ruoli. Identificare il proprio ruolo specifico nell'utilizzo di un'API è quindi fondamentale.

Ciascuna categoria è orientata verso misure che consentano di raggiungere il livello di sicurezza desiderato e di rispettare i principi di protezione dei dati.

Si incoraggiano le parti interessate a collaborare per mettere in pratica queste raccomandazioni.                              

• I detentori dei dati dovranno prestare particolare attenzione a informare coloro che riutilizzano i dati, all'accuratezza e all'integrità degli stessi, nonché alla sicurezza dei dati (separazione e disponibilità, autenticazione, registrazione).
• I responsabili delle API si concentreranno sulla documentazione, sulla minimizzazione dei dati, sull'esercizio dei diritti relativi alla condivisione dei dati e sulla sicurezza (comunicazioni, sicurezza dei sistemi informativi, registrazione degli eventi).
• I riutilizzatori hanno obblighi specifici in merito all'informazione delle persone interessate, alla minimizzazione dei dati e alla sicurezza (gestione del rischio, protezione delle chiavi, registrazione degli eventi).

La raccomandazione affronta casi specifici di condivisione dei dati, ad esempio tra social network e ricercatori, o l'apertura dei dati governativi.

La qualificazione dei diversi soggetti non pregiudica il loro status di titolari o responsabili del trattamento dei dati ai sensi del GDPR.

Tuttavia, si possono tracciare alcune linee guida: in generale, il titolare dei dati sarà responsabile del trattamento dei dati condivisi, nella misura in cui abbia liberamente deciso le finalità e i mezzi del trattamento o quando sia stato legalmente obbligato a effettuarlo.

Spesso, chi riutilizza i dati sarà un "destinatario" ai sensi del GDPR.

Da parte sua, il gestore dell'API agirà in qualità di subappaltatore, ovvero per conto e sotto le istruzioni del titolare dei dati e/o del riutilizzatore.

Le raccomandazioni della CNIL dovrebbero presto essere integrate dalla gradita pubblicazione di casi pratici sul sito web della Commissione.

 

E anche

• Il 27 luglio, la CNIL ha pubblicato un invito a presentare contributi in merito al suo lavoro sull'intelligenza artificiale.

In questa occasione, fornisce un primo aggiornamento sui progressi del suo lavoro a seguito della pubblicazione del suo piano d'azione sull'intelligenza artificiale il 16 maggio, e lancia un invito a presentare contributi per arricchire la sua riflessione, in vista delle prime pubblicazioni previste per l'autunno.

• La CNIL propone inoltre una nuova "sandbox" per supportare tre progetti che utilizzano l'intelligenza artificiale (IA) a beneficio dei servizi pubblici.

Il bando per la presentazione dei progetti è aperto fino al 30 settembre 2023.

• Nell'ambito del suo piano d'azione sulle applicazioni mobili, la CNIL pubblica e sottopone a consultazione pubblica una bozza di raccomandazione, volta a chiarire gli obblighi dei vari attori di questo ecosistema, a facilitarne l'adempimento e a promuovere l'adozione di buone prassi.
• Più di sessanta ONG europee hanno scritto al commissario europeo Thierry Breton il 26 luglio per chiedergli chiarimenti in merito alle sue recenti dichiarazioni, secondo le quali il blocco delle piattaforme online potrebbe essere una misura applicabile e giustificata ai sensi del Digital Services Act (DSA).

Questi commenti fanno seguito alle dichiarazioni del Presidente della Repubblica, il quale aveva accennato alla possibilità di bloccare l'accesso alle piattaforme dei social media in caso di disordini dell'ordine pubblico.

Le ONG ritengono che tali commenti potrebbero incoraggiare il blocco arbitrario delle piattaforme online da parte dei governi di tutto il mondo.

Chiedono alla Commissione europea di garantire che l'attuazione e l'applicazione del DSA da parte degli Stati membri non portino a un'interpretazione eccessivamente ampia di tali misure, il che sarebbe contrario ai suoi obiettivi normativi e violerebbe la Carta dei diritti fondamentali dell'UE.

• Il 26 giugno, il Consiglio di Stato ha stabilito che il diritto di rettifica può essere esercitato per correggere i dati successivi a un cambio di identità, ma non retroattivamente per correggere documenti anteriori al cambio di identità: questi dati precedenti non possono infatti essere considerati inesatti.
• Il 28 giugno l'Assemblea nazionale ha adottato all'unanimità il "disegno di legge per istituire una maggioranza digitale e combattere l'odio online".

Il progetto è stato inoltre adottato all'unanimità dal Senato il 29 giugno 2023.

Il testo stabilisce la maggiore età digitale a 15 anni, età a partire dalla quale un minore non avrà più bisogno del consenso dei genitori per registrarsi su un social network.

 

istituzioni e organismi europei

• Il 10 luglio, la Commissione europea ha adottato la sua decisione di adeguatezza per il "quadro UE-USA in materia di protezione dei dati", concludendo che la protezione garantita dagli Stati Uniti per i dati trasferiti è paragonabile a quella offerta nell'UE.

Il nuovo quadro normativo è entrato in vigore l'11 luglio.

Secondo la Commissione, gli impegni americani introducono "nuove garanzie vincolanti per affrontare tutte le preoccupazioni sollevate dalla Corte di giustizia europea, in particolare limitando l'accesso dei servizi di intelligence statunitensi ai dati dell'UE a quanto necessario e proporzionato e istituendo un Tribunale per la protezione dei dati".

Non sorprende che Max Schrems ritenga che il nuovo quadro transatlantico per la protezione dei dati personali sia in gran parte una copia del "Privacy Shield" e che impugnerà la decisione in tribunale.

Da parte sua, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato una nota informativa per fornire indicazioni alle aziende e ai singoli individui interessati.

• Il 4 luglio, la Commissione europea ha pubblicato la sua "Proposta di regolamento che stabilisce norme procedurali aggiuntive per l'applicazione del GDPR", volta a garantire un'applicazione coerente del regolamento nei casi transfrontalieri.

In un messaggio su Twitter, l'EDPB ha accolto con favore la rapida risposta della Commissione alle sue richieste di chiarimento.

La proposta di regolamento è tuttavia criticata da alcune ONG, le quali sottolineano il rischio che essa limiti la partecipazione dei cittadini alle denunce presentate alle autorità di protezione dei dati in caso di uso improprio dei loro dati.

• I dispositivi connessi, come telecamere di sorveglianza, frigoriferi e smart TV, potrebbero presto offrire una maggiore protezione contro gli attacchi informatici.

Gli Stati membri dell'UE hanno recentemente concordato una posizione comune in merito ai requisiti di sicurezza per i suddetti prodotti digitali.

La proposta di legge sulla resilienza informatica introdurrebbe requisiti obbligatori per la progettazione, lo sviluppo e la produzione dei dispositivi.

• Con una sentenza del 4 luglio 2023, la Corte di giustizia dell'Unione europea si è pronunciata in una controversia tra Meta e un'autorità tedesca garante della concorrenza.

La Corte di giustizia dell'Unione europea ha stabilito che un'autorità garante della concorrenza può accertare una violazione del GDPR e, senza sostituirsi all'autorità garante della protezione dei dati, rimane libera di trarre le proprie conclusioni nell'ottica dell'applicazione del diritto della concorrenza.

La Corte di giustizia dell'Unione europea osserva inoltre che Facebook probabilmente tratterà dati "sensibili" derivanti dall'attività degli utenti anche senza che questi abbiano necessariamente voluto renderli pubblici, il che esclude l'esenzione dal consenso.

La Corte ha inoltre escluso la possibilità per Meta di invocare la necessità di esecuzione di un contratto e il legittimo interesse per giustificare la personalizzazione dei contenuti.

Infine, si osserva che la posizione dominante di Facebook nel mercato dei social network solleva preoccupazioni circa la validità del consenso e che spetta al gestore dimostrare che il consenso è effettivamente dato liberamente.

Meta ha annunciato il 1° agosto l'intenzione di modificare la base giuridica utilizzata per la sua pubblicità mirata in Europa: l'azienda richiederà il consenso degli utenti.

Questo cambiamento è una diretta conseguenza delle decisioni del Comitato europeo per la protezione dei dati (EDPB) e delle autorità giudiziarie nazionali ed europee.

• Nel contesto delle discussioni sul progetto di regolamento europeo sulla libertà dei media, 80 organizzazioni della società civile, organi di stampa, editori e emittenti, nonché sindacati, chiedono al Parlamento europeo di vietare, senza eccezioni, l'utilizzo di software spia contro i giornalisti.
• Il 3 luglio, gruppi della società civile ed esperti di Internet hanno scritto ai commissari Jourova e Reynders per esprimere la loro profonda preoccupazione in merito al disegno di legge del governo britannico sulla protezione dei dati e le informazioni digitali (DPDI), che trasformerebbe il Regno Unito in una "valvola che perde" e minerebbe i diritti di protezione dei dati dei cittadini europei.

 

Notizie dai paesi membri dell'Unione Europea.

• L'Autorità belga per la protezione dei dati (APD) ha ritenuto che un'associazione di farmacisti, conservando a tempo indeterminato dati relativi a sanzioni disciplinari imposte in base a una vecchia normativa, violasse, tra l'altro, i principi di legalità, limitazione delle finalità, minimizzazione dei dati, accuratezza e limitazione della conservazione.

L'associazione è stata multata di 30.000 euro.

• Secondo l'Autorità belga per la protezione dei dati, un titolare del trattamento dei dati con sede negli Stati Uniti la cui attività comprende l'organizzazione di conferenze in Europa è soggetto al GDPR e deve, tra gli altri obblighi, nominare un rappresentante in Belgio.
• L'Autorità lettone per la protezione dei dati (APD) ha ritenuto che l'utilizzo di un identificativo personale univoco non fosse sufficiente a identificare in modo univoco l'interessato e a prevenire la divulgazione illecita di categorie particolari di dati da parte del fornitore del servizio sanitario nazionale.

È stato necessario ricorrere a criteri aggiuntivi, come il nome della persona interessata.

• L'Agenzia spagnola per la protezione dei dati (APD) ha multato di 10.000 euro una guardia giurata per aver ripreso immagini dal sistema di videosorveglianza di un carcere e averle diffuse tramite WhatsApp, in violazione dell'articolo 6 del GDPR.
• Con una decisione del 22 giugno, il Garante per la protezione dei dati personali (APD) ha multato la società autostradale italiana per un milione di euro per non aver identificato il proprio ruolo di titolare del trattamento dei dati nell'ambito dell'utilizzo dei servizi di cashback.
• L'Autorità islandese per la protezione dei dati (APD) ha multato l'Ufficio del medico legale nazionale per circa 82.000 euro per molteplici violazioni del GDPR a seguito di una falla di sicurezza sul sito web Heilsuvera, che offre un sistema sanitario online e un portale per le prescrizioni mediche.
• Dopo aver verificato quattro aziende che utilizzavano Google Analytics sui propri siti web, l'Agenzia svedese per la protezione dei dati ha ordinato a queste aziende di interrompere l'utilizzo dello strumento.

Due delle aziende sono state sanzionate con provvedimenti amministrativi, mentre un'altra ha volontariamente smesso di utilizzare lo strumento.

Le verifiche sono state effettuate a seguito delle denunce presentate dall'organizzazione noyb, che accusava le aziende di trasferire illegalmente dati personali negli Stati Uniti in violazione della legislazione europea.

• A seguito della sentenza della Corte di giustizia dell'Unione europea citata in precedenza, l'Autorità norvegese per la protezione dei dati ha dichiarato illegale la pubblicità comportamentale su Facebook e Instagram.

Per i prossimi tre mesi, o fino a quando non sarà in grado di dimostrare la conformità alla legge norvegese, la società di social media non potrà più utilizzare questo approccio.

 

• A metà luglio, la Casa Bianca ha presentato misure provvisorie sotto forma di impegni volontari per "lo sviluppo e l'utilizzo sicuri, protetti e trasparenti dell'intelligenza artificiale".

Amazon, Anthropic, Google, Inflection, Meta, Microsoft e OpenAI hanno concordato di dare priorità alla ricerca sui rischi sociali posti dai sistemi di intelligenza artificiale e di incoraggiare l'individuazione e la segnalazione di problemi e vulnerabilità.

Tuttavia, secondo alcuni esperti accademici, questi accordi sono tutt'altro che sufficienti.

"Gli Stati Uniti continuano a offrire misure volontarie, mentre l'Unione Europea sta per adottare la legislazione sull'IA più completa che abbiamo visto finora", ha affermato Brandie Nonnecke, direttrice fondatrice del Citris Policy Lab presso l'Università di Berkeley.

• Nel frattempo, la Federal Trade Commission (FTC) sta indagando su OpenAI in merito al funzionamento di ChatGPT, ponendo domande dettagliate sui suoi ricavi finanziari, sulle modalità di addestramento dei modelli e di elaborazione dei dati, sui rischi e sulle procedure di sicurezza, sulla generazione di contenuti relativi a singoli individui, sugli attacchi esterni volti a manipolare il modello LLM ("iniezioni di prompt") e sulla protezione dei dati personali.
• OpenAI ha interrotto lo sviluppo del suo strumento per distinguere tra testo generato da esseri umani e testo generato dall'intelligenza artificiale: "A partire dal 20 luglio 2023, il classificatore basato sull'IA non è più disponibile a causa del suo basso tasso di precisione". L'azienda sta comunque proseguendo la ricerca per sviluppare uno strumento più efficace.
• Amazon ha accettato di pagare più di 30 milioni di dollari per risolvere due cause intentate dalla FTC per violazione della privacy degli utenti, compresi i minori, tramite il suo assistente vocale Alexa e le telecamere per campanelli Ring.

Amazon è stata accusata di aver conservato per diversi anni le registrazioni video di Ring e le registrazioni vocali di Alexa, insieme ai relativi dati di geolocalizzazione, senza consenso e nonostante le richieste dei consumatori di eliminare tali dati.

• L'Autorità per lo sviluppo dei media e delle tecnologie dell'informazione di Singapore ha annunciato una partnership con Google a supporto di un'iniziativa di "sandbox tecnologica".

Questa iniziativa aiuterà le aziende a "proteggere la privacy degli utenti e a fornire loro strumenti che consentano di continuare ad accedere ai dati senza cookie di terze parti".

La partnership tra IMDA e Google è aperta a tutte le aziende con sede a Singapore.

• Il 3 luglio, l'autorità sudafricana garante della protezione dei dati ha emesso un avviso di infrazione e una sanzione amministrativa di 5 milioni di rand (circa 240.000 euro) al Dipartimento di Giustizia e Sviluppo Costituzionale per la mancata conformità alla Legge sulla protezione dei dati personali (POPIA).

L'autorità di regolamentazione aveva emesso un'ingiunzione a maggio, chiedendo al ministero di rinnovare alcune licenze di sicurezza informatica (antivirus, antintrusione, SIEM) e di avviare procedimenti disciplinari contro i funzionari coinvolti.

• In Vietnam, il 1° luglio è entrato in vigore un decreto sulla protezione dei dati personali.

In particolare, prevede l'esecuzione di valutazioni d'impatto sui trasferimenti di dati e la nomina di un responsabile della protezione dei dati per il trattamento dei dati sensibili.

• Il 26 luglio, le filiali di Meta, Onavo, e Facebook Israele sono state multate in Australia per 20 milioni di dollari australiani per non aver adeguatamente informato gli utenti VPN che i loro dati sarebbero stati raccolti a fini commerciali.

La sanzione imposta dall'ACCC (Autorità australiana per la concorrenza e la tutela dei consumatori) è la più severa mai comminata in Australia in materia di protezione della privacy.