Bollettino Legale n. 59 – Maggio 2023.

Meta sanzione: 1,2 miliardi di euro… e poi?

La sanzione inflitta il 12 maggio dall'autorità irlandese a Meta, la società madre di Facebook, è la più alta mai comminata da un'autorità per la protezione dei dati da quando il GDPR è entrato in vigore, proprio nel momento in cui il regolamento celebra il suo quinto anniversario di applicazione.

Al centro di questa decisione c'è il Facebook trasferisce i dati dei suoi utenti europei negli Stati Uniti, un Paese che non è più considerato in grado di offrire un livello di protezione adeguato. dalla decisione della Corte di giustizia dell'Unione europea del 16 luglio 2020 (sentenza Schrems II).

Questa nuova sanzione è anche un simbolo di cooperazione tra le autorità di protezione dei dati, poiché la decisione dell'autorità irlandese è il risultato di una procedura lunga e ardua, per non parlare di un braccio di ferro con le sue controparti europee.

L'APD è stata quindi costretta ad ampliare la portata della sua decisione e a imporre una sanzione significativa.

Secondo l'ONG NOYB e il suo presidente Max Schrems, che ha presentato la denuncia, non c'è necessariamente nulla da festeggiare.

La procedura è durata tre anni, durante i quali un'autorità nazionale ha sistematicamente bloccato il processo in varie fasi, e ha comportato spese legali per oltre dieci milioni di euro... a fronte di una multa che andrà allo Stato irlandese.

 

Quali sono le conseguenze concrete per Meta?

La decisione prevede un periodo di attuazione: l'azienda ha tempo fino a metà ottobre per interrompere il trasferimento dei dati dei propri utenti negli Stati Uniti.

Dovrà inoltre eliminare tutti i dati già trasferiti dai suoi data center statunitensi entro la metà di novembre.

Sebbene l'azienda abbia minacciato di interrompere la fornitura dei propri servizi in Europa, la probabilità che questo annuncio si concretizzi è dubbia, poiché l'Europa rappresenta la sua principale fonte di fatturato dopo gli Stati Uniti, grazie anche alla presenza di diversi data center sul territorio europeo.

L'azienda ha annunciato che presenterà un ricorso a livello nazionale contro l'autorità irlandese e che chiederà la sospensione del provvedimento in attesa dell'esaurimento dei procedimenti legali.

Meta probabilmente sta prendendo tempo, confidando in un nuovo accordo transatlantico che regolarizzi i trasferimenti di dati verso gli Stati Uniti prima dell'autunno.

Occorre tuttavia ricordare, da un lato, che un nuovo accordo non legalizzerà i trasferimenti passati e le violazioni di legge già accertate, e dall'altro, che gli standard per un futuro accordo transatlantico sono elevati.

Il progetto attuale ha già suscitato forti critiche da parte del Parlamento europeo e non è certo che reggerà al vaglio della Corte di giustizia dell'Unione europea (CGUE).

 

Impatto sui GAFAM e sui responsabili del trattamento dei dati in generale

Le leggi statunitensi in materia di sorveglianza, che costituiscono la base delle decisioni dell'autorità irlandese, dell'EDPB e della CGUE, rappresentano un problema per tutti i principali fornitori di servizi cloud statunitensi, come Microsoft, Google o Amazon.

Occorre precisare che la relativa legge statunitense in materia di sorveglianza (FISA 702) deve essere rinnovata entro dicembre 2023.

Sebbene diverse autorità di controllo europee abbiano già dichiarato illegale l'utilizzo di servizi americani che implicano il trasferimento di dati, le loro decisioni non sono state accompagnate da sanzioni pecuniarie di entità pari a quella inflitta a Meta.

Ciò potrebbe incoraggiare le principali aziende tecnologiche americane e tutte quelle che utilizzano servizi "cloud" di origine americana a rivedere le proprie pratiche e a effettuare almeno un'analisi d'impatto dei trasferimenti.

 

Tuttavia, sarebbe comunque necessario che le autorità di protezione dei dati agissero in modo sufficientemente dissuasivo nell'applicazione del GDPR.

Ora vengono criticati per la loro inefficacia, come dimostra il recente rapporto del Consiglio irlandese per le libertà civili (ICCL).

La sua analisi dimostra che il GDPR viene raramente applicato nei confronti delle grandi aziende tecnologiche.

Pochi casi europei di rilievo avrebbero portato a misure coercitive serie: "il registro delle decisioni finali dell'EDPB rivela che la maggior parte (64 %) delle 159 misure coercitive adottate alla fine del 2022 consisteva in semplici richiami".

Lo studio, come prevedibile, punta il dito contro la Commissione irlandese per la protezione dei dati, dato che 75 delle sue decisioni in materia di indagini su casi UE sono state ribaltate a maggioranza dal Comitato europeo per la protezione dei dati.

Il contesto relativo ai rimedi sta evolvendo verso una maggiore tutela degli individui: la direttiva europea sui rimedi collettivi dovrebbe essere implementata quest'estate, offrendo agli utenti europei un ulteriore strumento di ricorso, consentendo loro di avviare azioni collettive in caso di violazione del GDPR in tutta l'Unione europea.

Nei Paesi Bassi, dove già è consentito questo tipo di ricorso, si sta assistendo a un aumento delle azioni legali.

L'organizzazione olandese per la tutela dei consumatori "Consumentenbond" sta attualmente riunendo gli utenti olandesi di Facebook per presentare un reclamo contro il trasferimento di dati tra l'Unione Europea e gli Stati Uniti.

Infine, una recente sentenza della Corte di giustizia dell'Unione europea (Österreichische Post AG) ha aperto la strada alle "azioni per risarcimento danni di modesta entità" per violazione della privacy, confermando che non è richiesto un livello minimo di gravità per il danno morale subito, il che potrebbe consentire agli utenti di chiedere un risarcimento per violazioni riguardanti, ad esempio, l'essere sottoposti a sorveglianza di massa da parte degli Stati Uniti.

Ciò porterebbe a richieste di risarcimento che supererebbero di gran lunga le sanzioni attuali.

 

E anche

     

• Il 16 maggio, la CNIL ha pubblicato un piano d'azione per l'implementazione di sistemi di intelligenza artificiale che rispettino la privacy degli individui.

L'obiettivo è quello di ampliare il lavoro sulle fotocamere aumentate e di estendere la propria attività all'intelligenza artificiale generativa e ai modelli linguistici di grandi dimensioni (LLM), nonché alle applicazioni derivate (inclusi i chatbot).

Questo lavoro contribuirà anche a preparare l'entrata in vigore del progetto di regolamento europeo sull'intelligenza artificiale.

• La CNIL ha inflitto una multa di 380.000 euro alla società DOCTISSIMO.

La Commissione ha rilevato diverse carenze nel GDPR, in particolare per quanto riguarda i periodi di conservazione dei dati, la raccolta di dati sanitari tramite test online, la sicurezza dei dati e le modalità di installazione dei cookie sui terminali degli utenti.

• Il 23 maggio la CNIL ha pubblicato il suo rapporto di attività per il 2022.

Il documento elenca i punti salienti dell'anno trascorso, tra cui il rafforzamento del sostegno alle imprese e alle amministrazioni, le campagne di informazione pubblica e l'educazione digitale per i giovani, la gestione dei reclami e le azioni repressive.

• Il Consiglio di Stato ha pubblicato online la registrazione della giornata di dibattiti che ha ospitato il 10 febbraio 2023, in collaborazione con la CNIL e l'Alliance IHU France, sul tema "Intelligenza artificiale e big data: come rivoluzioneranno la ricerca e la pratica medica di domani".

Ciò fa seguito allo studio del Consiglio di Stato "Intelligenza artificiale e azione pubblica" dell'agosto 2022.

• Con una sentenza del 23 aprile 2023, la Corte d'Appello di Parigi ha stabilito che i messaggi WhatsApp devono essere equiparati agli SMS quando scambiati alle stesse condizioni.

Nell'ambito di una controversia tra un'azienda e degli ex dipendenti, il tribunale ha stabilito che il datore di lavoro poteva accedere a messaggi "personali" non specificati provenienti da un gruppo WhatsApp sui telefoni aziendali degli ex dipendenti.

 

istituzioni e organismi europei

• In occasione del quinto anniversario del GDPR, numerosi studi presentano valutazioni contrastanti sulla sua implementazione.

L'ONG noyb pubblica a questo proposito una panoramica degli 800 casi GDPR che ha presentato negli ultimi cinque anni alle autorità di protezione dei dati (DPA), di cui 86 sono ancora in attesa di una decisione.

L'ONG ha individuato oltre 60 problemi procedurali che ostacolano l'applicazione del GDPR.

Sebbene la multa inflitta a Meta stia facendo notizia, l'ONG ritiene che le autorità preposte alla protezione dei dati in genere non applichino il GDPR in modo tempestivo.

• Una valutazione condotta dal Future of Privacy Forum (FPF) rivela che le violazioni dell'articolo 25 del GDPR, relativo alla "privacy by design", sono quelle che hanno comportato le sanzioni più elevate.

Lo studio si basa su oltre 90 casi e spiega che "alcune autorità di protezione dei dati applicano l'articolo 25 prima che si verifichino altre violazioni del GDPR o addirittura prima che abbia luogo il trattamento dei dati previsto".

• Il Comitato europeo per la protezione dei dati (EDPB) ha appena eletto Anu Talus, commissaria finlandese per la protezione dei dati, come suo presidente.

Il nuovo presidente subentrerà alla presidente uscente, Andrea Jelinek, e supervisionerà i lavori del comitato per i prossimi cinque anni.

• Il Comitato europeo per la protezione dei dati (EDPB) pubblica una raccolta di casi relativi al diritto di opposizione e alla cancellazione ai sensi dell'articolo 17 del GDPR. Esamina una selezione di decisioni esemplificative tratte dal suo registro pubblico.
• Il gruppo direttivo "Trasparenza e quadro di riferimento per il consenso" di IAB Europe ha pubblicato la versione 2.2 del suo quadro di riferimento.

Le principali modifiche includono l'eliminazione della base giuridica del legittimo interesse per la personalizzazione di pubblicità e contenuti, il miglioramento delle informazioni fornite agli utenti finali e l'obbligo per i fornitori di fornire ulteriori informazioni sulle proprie attività di trattamento dei dati.

• Un gruppo di 30 esperti di informatica e sicurezza informatica con sede in Europa ha scritto una lettera aperta ai leader dell'UE.

Essi esprimono la loro preoccupazione per i gravi rischi che la proposta di regolamento della Commissione europea sugli abusi sessuali sui minori (CSA) comporta per la riservatezza e la sicurezza di tutte le comunicazioni, nonché per la salute generale di Internet e dell'ecosistema dell'informazione.

 

Notizie dai paesi membri dell'Unione Europea.

• L'Autorità federale tedesca per la protezione dei dati (BfDI) ha confermato che la valutazione degli sviluppi tecnologici, come l'intelligenza artificiale generativa, dal punto di vista della protezione dei dati rientra tra le sue competenze.
• L'autorità danese per la protezione dei dati ha rimproverato un titolare del trattamento per aver condiviso dati personali con Meta Ireland senza prima accertarsi che quest'ultima avesse rispettato il GDPR durante il trasferimento dei dati alle piattaforme di Meta negli Stati Uniti.
• A seguito di un clamoroso scandalo di violazione dei dati e dopo una denuncia presentata dall'ONG noyb, l'Autorità maltese per la protezione dei dati (DPA) ha ordinato a C-Planet di ottemperare a una richiesta di accesso ai dati e di rivelare la fonte dei dati personali in suo possesso. In questo caso, i dati erano stati esposti nell'ambito di una violazione riguardante le opinioni politiche di 335.000 elettori dell'isola.
• L'Unione olandese dei consumatori ha intentato una causa collettiva contro Google per aver tracciato la posizione degli utenti, la loro navigazione web e l'utilizzo delle app senza un valido consenso. Google dovrà risarcire tutti gli utenti che hanno utilizzato i suoi servizi a partire dal 1° marzo 2012.
• L'Autorità belga per la protezione dei dati (APD) ha imposto il divieto di trasferimento dei dati fiscali dei cittadini statunitensi residenti in Belgio verso gli Stati Uniti. Secondo l'APD, l'accordo FATCA, che consente tali trasferimenti, non è conforme al GDPR e l'autorità fiscale belga avrebbe dovuto effettuare una valutazione d'impatto.
• Il Comitato norvegese per i ricorsi in materia di privacy ha stabilito che una piattaforma di noleggio auto ha una base giuridica ai sensi dell'articolo 6, paragrafo 1, lettera f) del GDPR per valutare la solvibilità di un interessato al fine di ridurre il rischio finanziario dell'azienda.
• A seguito di una denuncia anonima contro un'agenzia di recupero crediti, l'Autorità croata per la protezione dei dati (APD) ha inflitto una sanzione di 2.265.000 euro per mancanza di misure di sicurezza, mancato consenso e violazione dell'obbligo di fornire informazioni da parte del titolare del trattamento.
• A seguito di una denuncia, il 10 maggio 2023 l'Autorità austriaca per la protezione dei dati (APD) ha emesso una decisione nei confronti della società di riconoscimento facciale Clearview AI. La decisione ha riscontrato violazioni del GDPR (articoli 5, 6 e 9), ha ordinato al titolare del trattamento di cancellare i dati del denunciante e di nominare un rappresentante in Austria ai sensi dell'articolo 27 del Regolamento.
• Il 15 maggio, l'Ufficio del Garante per la protezione dei dati (ICO) ha multato TikTok di 12.700.000 sterline per una serie di violazioni della normativa sulla protezione dei dati, tra cui l'uso illecito dei dati personali dei minori.

 

• Si sta diffondendo sempre più l'utilizzo dell'intelligenza artificiale in ambito professionale. Ad esempio, un avvocato americano ha utilizzato ChatGPT per cercare casi legali da presentare in tribunale, e almeno sei dei casi citati si sono rivelati inesistenti: un tipico caso di "allucinazione" da parte dell'IA, in cui il chatbot inventa informazioni.

Il giudice che presiede il caso ha scritto: "La Corte si trova di fronte a una situazione senza precedenti. Una memoria presentata dall'avvocato del querelante in opposizione a una mozione di archiviazione è piena di citazioni di casi inesistenti". L'avvocato si è scusato e ora dovrà affrontare un procedimento disciplinare.

• Il 16 maggio, Sam Altman, CEO di OpenAI, ha testimoniato davanti al Congresso degli Stati Uniti.

Dopo aver riconosciuto che l'IA potrebbe potenzialmente "andare storta" e aver espresso il desiderio di collaborare con il governo per impedirlo, ha precisato le sue affermazioni: lo sviluppatore di ChatGPT ritiene importante consentire alle aziende e ai progetti open source di sviluppare determinati modelli "al di sotto di una soglia di capacità significativa", senza una regolamentazione rigida o meccanismi come licenze o verifiche.

• Il 23 maggio, il Congresso degli Stati Uniti ha pubblicato un rapporto intitolato "Intelligenza artificiale generativa e privacy dei dati: un'introduzione": il rapporto si concentra sulle questioni relative alla privacy e sulle considerazioni politiche di interesse per il Congresso.
• Sempre nell'ambito dell'IA, l'Electronic Privacy Information Center (EPIC) ha pubblicato il suo rapporto intitolato "Generating Harms – Generative AI's Impact & Paths Forward". Il documento colma il divario tra i settori della privacy e dell'IA dal punto di vista dei potenziali danni.
• La Commissione federale per il commercio degli Stati Uniti ha pubblicato una dichiarazione programmatica sulla raccolta di informazioni biometriche che non è passata inosservata.

L'agenzia dichiara che utilizzerà la propria esperienza in materia di pratiche sleali per perseguire i trattamenti illeciti di informazioni biometriche e sta sviluppando un'interpretazione estensiva dei dati biometrici, compresi dati come le fotografie del volto, anche se non vengono trattati per identificare la persona interessata.

• Il 18 maggio, il procuratore generale dello Stato di Washington ha annunciato che Google avrebbe pagato 39,9 milioni di dollari allo Stato per pratiche di geolocalizzazione ingannevoli.

Google implementerà inoltre una serie di riforme per aumentare la trasparenza delle sue impostazioni di geolocalizzazione.

• La Commissione europea, in collaborazione con l'ASEAN (Associazione delle Nazioni del Sud-est asiatico), ha pubblicato una guida sul trasferimento dei dati personali utilizzando le clausole contrattuali standard adottate dalle due organizzazioni.

La guida sarà pubblicata in due parti: una "Guida di riferimento" che fornirà un confronto tra le CMC dell'ASEAN e le CSC dell'UE, e una "Guida all'implementazione" che illustrerà le migliori pratiche adottate dalle aziende che soddisfano i requisiti di entrambe le serie di clausole contrattuali.

• La Rete iberoamericana delle autorità per la protezione dei dati ("RIPD") ha annunciato l'8 maggio che avrebbe coordinato un'indagine riguardante ChatGPT.
• L'11 aprile 2023, l'Amministrazione cinese per il cyberspazio (CAC) ha pubblicato una bozza di provvedimenti amministrativi per i servizi di intelligenza artificiale generativa ("bozza di provvedimenti sull'IA").

Questo progetto sarebbe in linea con l'approccio generale della Cina alla regolamentazione dei dati, alla sicurezza informatica e ai contenuti online, che pone una forte enfasi sul mantenimento dell'ordine politico e sociale.

Il 30 maggio la CAC ha inoltre pubblicato le linee guida sulla registrazione dei contratti standard per l'esportazione di dati personali.

• Il 23 maggio, il Ministero pakistano dell'Informatica e delle Telecomunicazioni ha finalizzato una bozza di legge sulla protezione dei dati personali.

Entrerà in vigore non oltre due anni dalla data della sua promulgazione, secondo quanto stabilito dal governo federale.

• Le autorità brasiliane hanno ordinato il blocco dell'app Telegram, ampiamente utilizzata in Brasile, sostenendo che non stesse collaborando a sufficienza in un'indagine in corso sui gruppi neonazisti.

Il tribunale ha condannato Telegram al pagamento di una sanzione di circa 200.000 euro al giorno per non aver fornito tali informazioni. La richiesta, infatti, conteneva solo parzialmente i dettagli richiesti.